红队从资产收集到打点

最近想总结一下，在红队渗透拿到一个目标名或者刷src时候，怎么快速信息收集和批量检测来打到一个点，往往在实际项目中就是拼手速。

信息收集到打点大致我就分为

企业信息结构收集
敏感信息收集
域名主动被动收集
整理域名ip资产
扫描检测打点

其中每一步需要收集好几个方面的信息，手动很累也很慢

1.企业信息结构收集

企业信息结构收集包括对查询目标企业的公司信息，涉及到哪些主站域名，有哪些控股很多的子公司，这些子公司涉及到哪些域名，然后再进行备案反查，你又会得到一些新的公司，同理也能再次得到一些新的主站域名，将这些进行整理---->得到一批待爆破的域名。

还有的就是除了这些查到的主站域名，往往企业会有app、公众号、小程序这些资产，也要对这些资产进行收集，然后你又拿到了一批域名。

手动查询的话从以下查询

天眼查查企业/子公司/域名/公众号 https://www.tianyancha.com/
爱企查 https://aiqicha.baidu.com/
企查查询 https://www.qcc.com/
启信宝 https://www.qixin.com/

工具

推荐cSubsidiary利用天眼查查询企业子公司
https://github.com/canc3s/cSubsidiary

还有pigat：
https://github.com/teamssix/pigat

公众号和app的收集：
https://github.com/wgpsec/ENScan
https://github.com/wgpsec/ENScan_GO go版本

2.敏感信息收集

利用搜索引擎、github等托管平台配合一些dorks就可以搜到很多信息。
熟知的googlehack，gitdork，网盘泄露等等。
敏感信息一共要搜集这个几个方面：

googlehack语法
github泄露
目标人员姓名/手机/邮箱

1.googlehack

但比如googlehack，你需要搜的好几条语法加上域名
比如：

site:*.domain.com
inurl:domain.com
intitle:keyword
keyword filetyle:doc|pdf

一个域名可以配合多个语法搜，那么多域名手动输入搜很慢，推荐工具:

https://github.com/r00tSe7en/GoogleHackingTool 在线Google Hacking 小工具
https://www.exploit-db.com/google-hacking-database 语法，自己可以脚本里批量搜

2.github泄露敏感信息：

一些常用github dorks,直接搜对应目标信息：

xxxxx.com “Authorization” #“Authorization: Bearer”
xxxxx.com “filename：vim_settings.xml”
xxxxx.com “language：PHP”

也可以在github对各种信息搜索，比如文件类型

filename:manifest.xml
filename:travis.yml
filename:vim_settings.xml
filename:database
filename:prod.exs NOT prod.secret.exs
filename:prod.secret.exs
filename:.npmrc _auth
filename:.dockercfg auth
filename:WebServers.xml
filename:.bash_history
filename:sftp-config.json
filename:sftp.json path:.vscode
filename:secrets.yml password
filename:.esmtprc password
filename:passwd path:etc
filename:dbeaver-data-sources.xml
path:sites databases password
filename:config.php dbpasswd
filename:prod.secret.exs
filename:configuration.php JConfig password
filename:.sh_history

包含关键字的指定语言：

language:python username
language:php username
language:sql username
language:html password
language:perl password
language:shell username
language:java api
HOMEBREW_GITHUB_API_TOKEN language:shell

搜API/KEYS/TOEKNS关键字：

api_key
“api keys”
authorization_bearer:
oauth
auth
authentication
client_secret
api_token:
“api token”
client_id
password
user_password
user_pass
passcode
client_secret
secret
password hash
OTP
user auth

很多关键字可以搜，还是批量搜高效，工具：

https://github.com/obheda12/GitDorker
https://github.com/michenriksen/gitrob
https://github.com/dxa4481/truffleHog
https://github.com/techgaun/github-dorks

这类工具需要设置git令牌，附上gitrob过程，踩坑:不要下relase ，自己编译最好：

git clone https://github.com/michenriksen/gitrob.git
go mod init #to use go mod 如果报错运行go mod init github.com/michenriksen/gitrob
rm Gopkg* #remove the old stuff
go build #to build it

./build.sh

设置git令牌

set GITROB_ACCESS_TOKEN=xxxxx

3. 目标人员姓名/手机/邮箱

通过开源信息收集目标人员姓名/手机/邮箱，为后面打点做字典做准备。

https://github.com/laramies/theHarvester

通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email，子域名，主机，雇员名，开放端口和banner信息。
使用：
-d 开关用于定义域名，-l 用于限制结果数量

theHarvester -d kali.org -l 200 -b
anubis,baidu,pentesttools,projectdiscovery,qwant,rapiddns,
rocketreach,securityTrails,spyse,sublist3r,threatcrowd,threatminer,
trello,twitter,urlscan,virustotal,yahoo,zoomeye,bing,binaryedge,
bingapi,bufferoverun,censys,certspotter,crtsh,dnsdumpster,duckduckgo,
fullhunt,github-code,google,hackertarget,hunter,intelx,linkedin,
linkedin_links,n45ht,omnisint,otx

按github跑就是了，但是有点坑点：
配置api-keys在/etc/theHarvester 目录下api-keys.yaml填入对应的api key即可

有个坑点是key:后要加个空格在放key字符串，不然跑不起来

人员邮箱字典的构造：

https://github.com/pry0cc/GoogLinked/blob/master/GoogLinked.rb

还可以使用一些社工信息来做字典，这样的工具很多了，用一个就够了没必要用全部：Cupp/Cewl

https://github.com/r3nt0n/bopscrk
python3 bopscrk.py -i

3. 域名主动被动收集

域名主动信息收集内容就有点杂了。
通过1、2点我们拿到了一批等待爆破的域名和人员的信息，以及泄露的一些敏感信息(运气好的话用泄露的信息已经打到点了。)

现在需要对域名进行whois信息查询、dns域名正反查询、子域名探测爆破三个方面收集。

1.whois信息查询

whois需要查询域名的whois，然后根据whois信息来查询历史和反查，这样你就得到了一些邮箱和可疑域名。

查域名信息没什么说的，主要看网址注册人、到期记录、创建域的时间、名称服务器和联系信息等，查最新的一般都是托管的信息，而查看历史信息就有可能查到真实联系人邮箱电话等:

一些常见whois查询，手动的时候可以查询:

https://domaineye.com/reverse-whois
https://www.reversewhois.io/
https://tool.domains/whois-research
https://tools.webservertalk.com/reverse-whois
https://reverse-whois-api.whoisxmlapi.com/
http://whois.domaintools.com/
https://viewdns.info/reversewhois/
https://www.domainiq.com/reverse_whois

除了正向查询whois，还要查询whois历史信息:
以下几个网站允许用户访问连接的 WHOIS 数据库以进行调查。这些记录是十多年来对有关域注册的有用数据进行网络爬取的结果:

https://whois.domaintools.com/
https://drs.whoisxmlapi.com/?ts=gp&ref=hackernoon.com
https://whois-history-api.whoisxmlapi.com/?ts=gp&ref=hackernoon.com
https://www.whoxy.com/

whois历史信息查询不能错过，明显可以在whois历史信息中看真实邮箱并反查而不是目前托管的邮箱，以及非托管的dns服务器:

whois 信息反查

通过历史whois信息找到真实邮箱or组织名，再反查域名，又可以得到一批资产：
other:

https://www.reversewhois.io/

整理一下whois分了三步，先whois查询一个域名，然后对查询的信息进行历史whois查询和反查,最后得到一批邮箱和域名。手动知道过程就行，实际做项目用工具批量查了整理：

https://github.com/xugj-gits/domain-tool 批量whois查询
https://github.com/melbadry9/WhoEnum

2.dns域名正向反向查询

dns域名查询分两个部分，历史记录和ip反查：

DNS历史记录(doamin2ips)

Dnsdumpster 是一个在线实用程序，我们使用它来查找子域、目标的 DNS 记录。

ip反查(ip2domains)

同ip查询多个解析到这个ip的域名，寻找更多web资产

https://viewdns.info/reverseip/

https://dnslytics.com/
ip反查也可以使用dig、nslookup、host命令完成：

工具推荐：

https://www.infobyip.com/ipbulklookup.php 批量ip反查
https://github.com/Sma11New/ip2domain 国内域名推荐ip2domain，会查询权重、ICP备案等

通过dns查询，我们拿到了一些域名和可疑ip段

3.子域名探测爆破

没啥好说的，主要是收集的渠道全、过滤泛解析。
常见手法爆破子域名、证书透明度、搜索引擎、信息泄露、ASN号等等，很多工具已经做了这些工作

https://github.com/shmilylty/OneForAll
https://github.com/six2dez/reconftw
https://github.com/P1-Team/AlliN
https://github.com/d3mondev/puredns

4. 整理域名ip资产

到这里大致的收集就结束了，就是要对收集结果进行整理，通过上面收集能拿到：

一批待探测存活的域名
一批待确定的ip段
一些邮箱，姓名，手机号
一些敏感文件、信息、通用密码(敏感信息收集阶段看脸)

整理后大致如上，有一步需要做的就是把收集的这些域名，转成ip段，但是是需要判断这个ip属不属于cdn，属不属于泛解析的ip，然后转成ip后要判断ip段的权重，哪些段才可能是目标主要的C段。

https://github.com/EdgeSecurityTeam/Eeyes 对subdomain数据处理、获取其中真实IP并整理成c段
https://github.com/canc3s/cIPR 整理后查看权重

5. 扫描检测打点

这步就开始快速打点了。
上面整理后的资产，需要我们探测的是一批域名和一批C段

域名需要做的事：
探测存活
title、banner提取、指纹识别
爬虫、目录轻量扫描、轻量漏扫
C段需要做的事：
扫描端口，探测存活
将扫的web和非web进行分类，把扫到的web资产加入到域名需要做的事，和对待域名没区别
将扫到的非web(数据库/远程登录协议)进行爆破，比如mysql爆破，rdp爆破
一批域名和一批C段就这样做不同的事，来先探测是否有脆弱的点，最后才是回归常规web，一个站一个站的去撕

一些工具：

https://github.com/broken5/WebAliveScan web存活判断
https://github.com/fadinglr/EHole 红队重点攻击系统指纹探测工具
https://github.com/k8gege/K8CScan 漏洞扫描、密码爆破
https://github.com/b1gcat/DarkEye 主机发现+爆破
https://github.com/Adminisme/ServerScan 高并发网络扫描、服务探测工具
https://github.com/dean2021/titlesearch 批量抓取域名title工具
https://github.com/pmiaowu/PmWebDirScan 批量扫目录备份
还有的就是一些大家都熟知的xray，vulmap之类的漏洞，批量轻量去扫描一下即可。

把上面的几个步骤，工具串起来，行成快速信息收集，快速探测打点，最好写个贯穿流程的工具调用的脚本，自己写过效果不错但代码不好就不拿出来丢人了，基本这样过一遍就容易打到一些比较脆弱的点。

渗透测试-红队从资产收集到打点相关推荐

渗透测试-红/蓝队Hvv技术手册/面试
红/蓝队Hvv技术手册/面试介绍一下自己,喜欢研究的,实战过的项目,得过奖项的感悟. 经常关注的安全平台基本功网络协议(HTTP.TCP) 操作系统命令底层编程开发(应用框架) 加密解密编码 ...
红队作业 | 信息收集工具汇总
文章来源|MS08067 红队培训班第5期本文作者:风飞(红队培训班5期学员) 按老师要求尝试完成布置的作业如下: 工具名下载地址备注简介主域名收集 AppInfoScanner http ...
细谈渗透测试的前期工作——信息收集
细谈渗透测试的前期工作--信息收集前言 0x01 收集什么信息 0x02 作用和收集方法总结前言都说学安全的,查资料找信息什么的都是基本功,收集信息的能力都是杠杠的,经常网上有什么热门的事情, ...
红队大量资产指纹探测工具和摄像头漏-洞渗-透和利用工具
红队大量资产指纹探测工具和摄像头漏-洞渗-透和利用工具. Finger定位于一款红队在大量的资产中存活探测与重点攻-击系统指纹探测工具.在面临大量资产时候Finger可以快速从中查找出重点攻-击系统协 ...
渗透测试入门1之信息收集
渗透测试入门1之信息收集开源情报信息收集(OSINT) github whois查询/注册人反查/邮箱反查/相关资产 google hacking 创建企业密码字典子域名获取字典列表邮箱列表获 ...
《渗透攻击红队百科全书》--笔记
本文地址:https://blog.csdn.net/qq_42942594/article/details/108015364 目录 1.前言 1.1红队(RedTeam) 鱼叉攻击水坑攻击 1. ...
渗透攻击红队百科全书
据说原始扫描件有病毒,我就解析 Xref 提取图片然后重新生成了一份.我也拿不到纸质书,根据网上流传的版本加工了一下,不清楚是肯定的.其他的不说了,懂的都懂. 目录第一章信息搜集 1.1 主机发现 ...
适用于渗透测试不同阶段的工具收集整理
Red Teaming / Adversary Simulation Toolkit 内容侦察武器化交货命令与控制横向运动建立立足点升级特权数据泄露杂项参考侦察主动情报收集 E ...
适用于渗透测试不同阶段的工具收集整理（转载）
Red Teaming / Adversary Simulation Toolkit 该资源清单列表涵盖了一系列,适用于渗透测试不同阶段的开源/商业工具.如果你想为此列表添加贡献,欢迎你向我发送pul ...

渗透测试-红队从资产收集到打点