被动信息收集

被动:不直接与目标接触

  • 公开渠道可获得的信息
  • 与目标系统不产生直接交互
  • 尽量避免留下一切痕迹
  • OSINT

信息收集内容

  • IP地址段
  • 域名信息
  • 邮件地址
  • 文档图片数据
  • 公司地址
  • 公司组织架构
  • 联系电话/传真号码
  • 人员姓名/职务
  • 目标系统使用的技术架构
  • 公开的商业信息

信息用途

  • 用信息描述目标
  • 发现目标系统/开放服务
  • 社会工程学攻击
  • 物理缺口

信息收集——DNS

  • 域名解析为IP地址
  1. 域名和FQDN(完全限定域名)的区别:
    qq.com(域名)
    www.qq.com(完全限定域名)
  2. 域名记录:
    A(A记录)、C name(别名记录)、NS(域名服务器记录)、MX(邮件交换记录)、PTR(反向地址解析记录)

DNS信息收集——nslookup

  • nslookup
nslookup www.baidu.com
  • 参数
nslookup -q=ns sina.com  # q代表type
nslookup -q=mx sina.com 114.114.114.114  # 指定域名服务器
# q可以为a、mx、ns、ptr、any(所有记录)
# 当q=ptr时 后跟IP地址

扩充:any参数查出的spf记录

DNS收集——DIG

与nslookup相似,强于nslookup

  • 格式
dig sina.com any @8.8.8.8
# @可以接指定DNS服务器(可不加)

只显示关键查询内容:

dig +noall +answer sina.com any @8.8.8.8

SOA记录:起始授权记录

  • 反向查询
dig -x 220.181.14.157
  • 强大之处
  1. 查询DNS服务器bind版本
    作用:有机会渗透DNS服务器
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
# ndspod的dns服务器
  1. DNS追踪
dig +trace www.sina.com

DNS区域传输

  • dig
dig @ns3.sina.com sina.com axfr
# @后跟dns服务器
  • host
host -T -l sina.com ns3.sina.com
# -T:使用TCP传输;-l :相当于axfr(区域传输作用)

DNS字典爆破

熟练掌握一个即可

  • Fierce
    优点:会先尝试进行区域传输

查找他的自带字典路径:

dpkg -L fierce

发现一个/usr/share/fierce/hosts.txt文件,more一下发现是他的字典。
利用字典进行爆破

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txt
  • Dnsdict6
    优点:速度快,字典可选择大小,命中率高

安装:

  1. 配置安装环境:
    先把源改为阿里云或中科大的镜像源,不然很慢
apt-get updat
apt-get upgrade -y
apt-get upgrade --fix-missing -y
apt-get install libpcap-dev libssl-dev libnetfilter-queue-dev -y  # 安装环境
  1. 下载安装包并解压:
cd ~/Downloads # 下载到Downloads文件夹
wget https://src.fedoraproject.org/lookaside/pkgs/thc-ipv6/thc-ipv6-2.7.tar.gz/2975dd54be35b68c140eb2a6b8ef5e59/thc-ipv6-2.7.tar.gz
tar zxvf thc-ipv6-2.7.tar.gz

注意: Kali2.0后集成dnsdict,需要单独下载。 虚拟机使用wget可能会提示证书错误,建议用物理机下载再拖进虚拟机。

  1. 安装:
cd thc-ipv6-2.7
# 执行编译安装
make && make install

使用方法

dnsdict6 -d4 -t 16 -x sina.com.cn
# -t:线程数,最大32
# -x:使用什么级别的字典,字典级别从小到大依次为s、m、l、x、u

导出导一个文件

dnsdict6 -d4 -t 16 -x sina.com > 1.txt
  • dnsenum
    优点:会查找A、NS、MX等记录,会查询bind版本以及对所有查询到的ns记录进行区域传输

先找一下它自带的字典文件:

dpkg -L dnsenum

发现了字典文件:
/usr/share/dnsenum/dns.txt

使用方法:

dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 sina.com -o sina.txt
  • Dnsrecon
    优点:可指定超时时间,能查询A、C记录

先找一下它自带的字典文件:

dpkg -L dnsenum

发现了字典文件:
/usr/share/dnsrecon/namelist.txt

使用字典爆破:

dnsrecon -d sina.com --lifetime 10 -t brt -D /usr/share/dnsrecon/namelist.txt
# -t:破解方式:暴力破解

可自己整合一个专有的大字典进行爆破

DNS注册信息

  • Whois
whois sina.com
whois 114.134.80.144

如果是为本公司做安全建设,建议通过服务商进行域名注册并且尽可能少填写公司信息,这些信息都可能被利用

搜索引擎

  • 公司新闻动态
  • 重要雇员信息
  • 机密文档/网络拓扑
  • 用户名密码
  • 目标系统软硬件技术架构

SHODAN

  • 搜索联网的设备
    当拿到了服务器ip时可进行搜索尝试
  • Banner:http、ftp、ssh、telnet
  • 常见filter:
    net(192.168.20.1)、city、county(CN、US)、port(80、21、22、53)、OS、Hostname(主机名)、server

使用方法:

C段搜索

net: 211.144.144.0/24

指定国家

net: 211.144.144.0/24 country: CN

指定端口

country: CN city: beijing port: 22

指定操作系统

os:windows

指定主机名

hostname: baidu.com

指定服务

server: Apache

指定设备

200 OK cisco county: CN

搜索特征字符串

linux upnp avtech
# 某摄像头

可相互结合

用户信息

  • 发现邮件、主机
proxchains theHarvester -d sina.com -l 300 -b baidu
# -d:指定搜索域
# -b:指定搜索媒介:有baidu、google、bing、twitter、all等参数
# -l:限制搜索结果数量

如何使用proxchains?

  • 文件
cd /usr/share/metagoofil
proxychains metagoofil -d baidu.com -u -t xls,xlsx,xlsm,xlsb -l 100 -o baidu -r 30 -f -u
# -t:指定文件类型如pdf,doc,xls,ppt,odp,ods,docx,xlsx,pptx等,或ALL:17,576个格式
# -l:限制搜索数量
# -n:限制下载数量
# -o:指定输出的目录
# -r:下载线程
# -f:指定输出的文件
# -n:限制下载文件数
# -u:随机UA头(ua文件必须在当前路径)
# 报错...code...需要代理稳定(使用http代理效果较好)
# 爬取的文件名因为是url编码,可能无法保存,在主程序metagoofil.py中搜索第一个filename,并进行url解码:filename = urllib.parse.unquote(str(url.strip("/").split("/")[-1]))(导包:import urllib.parse)

(需要安装)

  • MELTAGO的基本使用
  1. 注册登录
  2. 新建一个区域
  3. 拖拽DNS Name 到空白区域
  4. 双击填写域名
  5. 查询DNS名称
  6. 查询MS、NS记录



    (NS记录)

    更多功能等待你的探索。。。
  • 其它途径
    社交网络
    工商注册
    新闻组/论坛
    招聘网站
    查看网站历史镜像(需代理)

个人专属的密码字典

  • 按个人信息生成其专属的密码字典(社会工程学字典)
  1. 真空密码字典生成器(Windows):提取码:8r1l
  2. cupp
    首先安装
apt-get install cupp

查看是否安装成功

根据用户信息生成社工字典

cupp -i

不知道的信息直接回车

输入内容:

字典生成在当前目录下。

  • kali自带字典目录
/usr/share/wordlists/dirb目录big.txt #大的字典
small.txt #小的字典
catala.txt #项目配置字典
common.txt #公共字典
euskera.txt #数据目录字典
extensions_common.txt #常用文件扩展名字典
indexes.txt #首页字典
mutations_common.txt #备份扩展名
spanish.txt #方法名或库目录
others #扩展目录,默认用户名等
stress #压力测试
vulns #漏洞测试/dirbuster
apache-user-enum-** # apache用户枚举
directories.jbrofuzz # 目录枚举
directory-list-1.0.txt # 目录列表大,中,小 big,medium,small/fern-wifi
common.txt #公共wifi账户密码/metasploit
各种典型密码

METADATA

  • 查询Exif图片信息
apt-get install exiftool -y  # 安装
exiftool a.jpg  # 查看一张图片信息

这里我选择了查询了一张手机拍的照片。
可以看到查到很多信息。

未展示完…

如果看不懂也可执行

exiftool a.jpg > a.txt

将查询结果保存到a.txt中,再打开a.txt复制去翻译:

ExifTool版本号:11.97
文件名:a.jpg
目录:。
文件大小:2.6 MB
文件修改日期/时间:2020:05:13 00:45:02-04:00
文件访问日期/时间:2020:05:13 00:48:16-04:00
文件索引节点更改日期/时间:2020:05:13 00:46:12-04:00
文件权限:rwxrw rw-
文件类型:JPEG
文件类型扩展名:jpg
MIME类型:图像/jpeg
JFIF版本:1.01
Exif字节顺序:Big endian(Motorola,MM)
品牌:苹果
相机型号名称:iPhone 8
X分辨率:72
Y分辨率:72
分辨率单位:英寸
软件:13.4.1
修改日期:2020:05:03 21:36:03
平铺宽度:512
平铺长度:512
曝光时间:1/7
F编号:1.8
曝光程序:程序AE
国际标准化组织:100
Exif版本:0231
日期/时间原件:2020:05:03 21:36:03
创建日期:2020:05:03 21:36:03
偏移时间:+08:00
原始偏移时间:+08:00
数字化偏移时间:+08:00
组件配置:Y、Cb、Cr-
快门速度值:1/7
光圈值:1.8
亮度值:0.1323811246
曝光补偿:0
计量方式:现场
闪光:关,没有开火
焦距:4.0 mm
主题领域:1621 1469 753 756
运行时标志:有效
运行时间值:51217132457208
运行时间范围:100000000
运行时纪元:0
加速度矢量:-0.954296649-0.01446681655-0.3435807226
秒以下原始时间:491
亚秒数字化时间:491
Flashpix版本:0100
Exif图像宽度:4032
Exif图像高度:3024
感测方法:单芯片色域
场景类型:直接拍摄
曝光模式:自动
白平衡:自动
35mm焦距:28mm
场景捕获类型:标准
镜头信息:3.99000001mm f/1.8
镜头品牌:苹果
镜头型号:iPhone 8后置摄像头3.99mm f/1.8
GPS纬度参考:北
GPS经度参考:东
GPS高度参考:高于海平面
GPS速度参考:km/h
GPS速度:0
GPS Img方向参考:正北
GPS Img方向:206.1360856
GPS目标方位参考:正北
GPS目标方位:206.1360856
GPS水平定位误差:65m
当前IPTC摘要:d41d8cd98f00b204e9800998ecf8427e
IPTC摘要:d41d8cd98f00b204e9800998ecf8427e
轮廓坐标测量机类型:苹果电脑公司。
配置文件版本:4.0.0
配置文件类:显示设备配置文件
颜色空间数据:RGB
纵断面连接空间:XYZ
简介日期时间:2017:07:07 13:22:32
配置文件签名:acsp
主要平台:苹果电脑公司。
CMM标志:未嵌入,独立
设备制造商:苹果电脑公司。
设备型号:
设备属性:反射、光泽、正片、颜色
渲染意图:感知
连接空间光源:0.9642 1 0.82491
个人资料创建者:苹果电脑公司。
配置文件ID:ca1a9582257f104d389913d5d1ea1582
外形描述:显示P3
资料版权:版权所有苹果公司,2017年
媒体白点:0.95045 1 1.08905
红色基质柱:0.51512 0.2412-0.00105
绿色基质柱:0.29198 0.69225 0.04189
蓝基质柱:0.1571 0.06657 0.78407
红色色调再现曲线:(二进制数据32字节,使用-b选项提取)
色彩适应:1.04788 0.02292-0.0502 0.02959 0.99048-0.01706-0.00923 0.01508 0.75168
蓝调再现曲线:(二进制数据32字节,使用-b选项提取)
绿调再现曲线:(二进制数据32字节,使用-b选项提取)
图像宽度:4032
图像高度:3024
编码过程:基线DCT,哈夫曼编码
每个样本位数:8
颜色组件:3
Y Cb-Cr亚采样:YCbCr4:2:0(2 2)
图像高度:3024
编码过程:基线DCT,哈夫曼编码
每个样本位数:8
颜色组件:3
Y Cb-Cr亚采样:YCbCr4:2:0(2 2)
开机后运行时间:5天22:16:11
孔径:1.8
图像大小:4032x3024
百万像素:122
35 mm当量的比例因数:7.0
快门速度:1/7
创建日期:2020:05:03 21:36:03.491+08:00
日期/时间原件:2020:05:03 21:36:03.491+08:00
修改日期:2020:05:03 21:36:03+08:00
GPS高度:海拔527米
GPS纬度:30度39'49.67“N
GPS经度:东经104度5'2.34“
混淆圈:0.004 mm
视野:65.5度
焦距:4.0毫米(相当于35毫米:28.0毫米)
GPS位置:北纬30度39'49.67“,东经104度5'2.34”
超焦距:2.07m
光值:4.5

RECON-NG

全特性的web侦查框架(基于python开发)

  • 启动方式:
recon-ng

创建一个工作区启动(sina):

recon-ng -w sina

首先更新模块列表并下载所有模块(需代理,代理设置见options)

marketplace refresh
marketplace install all
  • 帮助:
help  # 查看可用命令
  • 退出:
exit
  • workspaces:
workspaces list  # 工作区列表
workspaces create baidu  # 创建名为baidu的工作区
workspaces delete baidu  # 删除名为baidu的工作区
workspaces select sina  # 切换工作区

keys相关命令:接入搜索引擎API时需要key。
(这里以添加shodankey为例)
首先进入shodan官网,登录账户,点击我的账户,复制API key

keys add shodan RItJb24tBi2QFKARO3rU3Ti061fUkEuh  # 添加API
keys list  # 查看已添加API的列表
keys remove shodan  # 删除
  • options:
options list  # 选项列表
# 选项设置
options set PROXY 127.0.0.1:8888  # 设置本地8888端口代理,此处用的http代理
options set USER-AGENT Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36
# 设置USER-AGENT
options unset USER-AGENT  # 清空设置

如何获得浏览器USER-AGENT?
首先访问百度,右键

刷新页面,点击网络,点击name为www.baidu.com的一项,下翻。

实战:子域名查询

modules search google  # 在模块里搜索谷歌


# 载入模块
modules load recon/domains-hosts/google_site_web
options list  # 查看配置
options set SOURCE sina.com  # 设置目标域
run  # 开始搜索(由于代理原因可能不成功,确保代理没问题可再次执行命令)
  • 同理可使用bing搜索:
back  # 返回上一级
modules search bing
# 复制recon/domains-hosts/bing_domain_web
modules load recon/domains-hosts/bing_domain_web  # 载入模块
options set SOURCE sina.com  # 设置搜索目标域名
options list  # 查看设否设置成功
run  # 开始搜索
  • 查询搜索结果
show hosts

也可以通过数据库查询语句查询

db query select * from hosts
  • 查询指定内容
# 查询包含sina.com.cn的域名
db query select * from hosts where host like '%sina.com.cn%'
  • 爆破域名
modules search brute  # 首先搜索模块
# 发现域名爆模块recon/domains-hosts/brute_hosts
modules load recon/domains-hosts/brute_hosts  # 载入模块
options options list  # 查看是否设置正确
run  # 开始爆破

实战:域名解析

将发现的域名解析为IP地址

modules search resolve  # 搜索模块
modules load recon/hosts-hosts/resolve  # 载入模块
# 解析指定域名
# options set SOURCE query select host from hosts where host like '%sina.com.cn%'
# 解析包含sina.com.cn的域名
run  # 即会将所有hosts里的域名解析为IP

实战:生成报告

搜索报告模块

modules search report

显示以下结果

[*] Searching installed modules for 'report'...Reporting---------reporting/csvreporting/htmlreporting/jsonreporting/listreporting/proxifierreporting/pushpinreporting/xlsxreporting/xml

选择你想生成的报告形式,载入模块

modules load html

options list  # 查看选项
options set CREATOR ZhangSan  # 设置创建人
options set CUSTOMER sina.com  # 设置客户名
options set FILENAME /root/Desktop/sina.com.html  # 生成报告的路径及文件名
run  # 生成报告


更多功能期待你的发现…

【渗透测试笔记】之【被动信息收集 】相关推荐

  1. 渗透测试入门1之信息收集

    渗透测试入门1之信息收集 开源情报信息收集(OSINT) github whois查询/注册人反查/邮箱反查/相关资产 google hacking 创建企业密码字典 子域名获取 字典列表 邮箱列表获 ...

  2. 细谈渗透测试的前期工作——信息收集

    细谈渗透测试的前期工作--信息收集 前言 0x01 收集什么信息 0x02 作用和收集方法 总结 前言 都说学安全的,查资料找信息什么的都是基本功,收集信息的能力都是杠杠的,经常网上有什么热门的事情, ...

  3. 渗透测试入门18之信息收集

    渗透测试之信息收集 目录 信息收集 DNS域名信息的收集 整站分析 服务器类型(Linux/Windows) 网站容器(Apache/Nginx/Tomcat/IIS) 脚本类型(php/jsp/as ...

  4. 内网渗透测试:内网信息收集与上传下载

    在之前的几节中,我们讲了隐藏通讯隧道技术的运用,那其实都是渗透测试的后话,接下来要讲的信息收集才是内网渗透的基础. 可以说内网渗透测试,其本质就是信息收集.信息收集的深度,直接关系到内网渗透测试的成败 ...

  5. 渗透测试的灵魂:信息收集

    渗透测试之信息收集 Google Hack 域名信息收集 Whois信息查询 网站备案信息查询 子域名信息收集 证书透明度公开日志枚举 确定目标真实IP 什么是CDN 如何判断网站是否使用CDN 绕过 ...

  6. <渗透测试学习指南> 信息收集(三)获取目标应用版本等详细信息

    转载请注明作者和出处: 本章将讲述如何获取目标系统信息.端口信息等详细信息 上一章我们讲到了获取目标真实IP及子域名信息的几种典型方法,但是单靠真实IP和子域名还无法让我们顺利的完成一项渗透测试任务, ...

  7. 渗透测试与攻防对抗-信息收集与社工技巧

    文章目录 信息收集与社工技巧 1.信息收集总览 2.信息收集-DNS 3.信息收集-子域名收集 4.信息收集-C段扫描 5.信息收集-Web目录扫描 6.信息收集-指纹识别 7.Google Hack ...

  8. 渗透测试-C段主机信息收集

    提示:提示:注意:网络安全环境需要大家共同维护,请大家共同遵守网络安全规章制度,仅供大家参考,造成的法律后果,不由本人承担 文章目录 一.C段 二.C段信息收集 1. Nmap扫描获取C段信息 2. ...

  9. 渗透测试工具:主动信息收集Nmap

    文章目录 一.Nmap是什么(形式因)? 二.Nmap包含哪些(质料因)和如何使用(方法论)? (一).扫描目标说明: (二).扫描类型 1.主机发现: 2.端口扫描 (1).端口扫描基础: (2). ...

  10. 渗透测试(1)- 信息收集来咯

    声明: 1.本分享仅做学习交流,请自觉遵守法律法规! ICP备案查询 什么是ICP备案 ICP备案是指网站在信息产业部提交网站信息进行官方认可.对国内各大小网站(包括企业及个人站点)的严格审查工作,对 ...

最新文章

  1. MATLAB简易验证码识别程序介绍
  2. 如何在linux系统下修改mysql密码_如何在linux下修改mysql数据库密码?linux修改数据库密码的方法...
  3. python 文本分析库_Python有趣|中文文本情感分析
  4. 百度超级搜索技巧集锦
  5. 文献学习(part26)--Extended Comparisons of Best Subset Selection, Forward Stepwise Selection, and Lasso
  6. Node 环境变量 process.env.NODE_ENV 之webpack应用
  7. numpy ndarray可用的常规函数
  8. 解决只能滑动弹框内容不能滑动弹框底层内容
  9. 编译并刷入nexus 6p手机
  10. LHDC、AAC、aptx、ldac、wha哪个更好,各有什么优缺点?
  11. 华为云 远程连接Mysql
  12. android开发中,apk文件安装到\system\app 的解决办法 仅限root机
  13. 修真院_JAVA_TASK_1
  14. python shp文件_对python 读取线的shp文件实例详解
  15. 信息数据采集软件-什么工具可以快速收集信息
  16. 沈剑:技术核心管理者的时间,都只花在这 20% 的事情上
  17. 最小生成树的prim算法(java)
  18. jQuery 事件实现滑动示例
  19. v880+ 联通定制手机的永久ROOT和精简版本 国行
  20. 科通芯城配股筹资3亿美元 拟加速物联网

热门文章

  1. android无法监听焦点,android tv常见问题(二)如何监听ViewGroup子View的焦点状态
  2. linux usb音频,audio - 如何从linux USB捕获设备捕获与ffmpeg同步的音频和视频 - 堆栈内存溢出...
  3. 电气设备自动化控制中PLC技术的应用
  4. 温度芯片(TM75,LM75)
  5. python自动抓取网管软件的数据_python实现scrapy爬虫每天定时抓取数据的示例代码...
  6. 杜克大学的计算机,杜克大学计算机
  7. B863AV3.2-M、B863AV3.1-M2、E900V22C通刷固件(可救砖)
  8. 2191: 【USACO】Crowded Cows
  9. Git Git 第九章 国内代码托管中心 码云 -- 码云(简介 码云帐号注册和登录 码云创建远程库 IDEA 集成码云 导入GitHub项目)
  10. 如何提高面试的成功率--校招