【零基础学渗透】被动信息收集

作者:Sec-Labs | 发布时间: | 更新时间:

停更已久的《零基础学渗透》系列,今天开始继续更新了

更多网络空间安全学习资料,您也可以在我们的社区里找到

相关声明

以下内容仅限于教育目的,请勿用于非法用途。

学习目标

1.明确目标,要收集什么信息

2.掌握常用的信息收集工具第三方服务

3.归纳总结自己的信息收集思路

网友绘制了一张社工思维导图,可以参考

虽然感觉比我之前绘制的要烂的很多,不过也有一定参考价值😂😂😂

首先,我们分享一下信息收集的常见内容

  • 1.IP地址段
  • 2.域名信息
  • 3.邮件地址
  • 4.文档图片信息
  • 5.公司地址
  • 6.公司组织架构
  • 7.联系电话
  • 8.人员姓名/职务
  • 9.目标系统使用的技术架构
  • 10.公开的商业信息

信息的用途

  • 1.用信息描述目标
  • 2.发现
  • 3.社会工程学攻击
  • 4.物理缺口

学习内容

1.信息收集内容、信息用途、信息收集DNS、DNS信息收集-NSLOOKUP

2.DNS信息收集

3.DNS区域传输、DNS字典爆破、DNS注册信息

4.搜索引擎、各种互联网资产搜索引擎(shodan、fofa、zoomeye等)

5.google搜索:实例

6.域名的历史解析记录

信息收集是一个比较庞大的工程,而且比较有趣,因此,我们在下面会详细展开说明,并附上在线视频教程,欢迎大家观看学习。

在线学习视频

被动信息收集

1.利用第三方服务对目标进行被动信息收集防止被发现

请参考下面视频中的第6-13节内容

  • 6【第3章 被动信息收集】1-被动信息收集概述
  • 7【第3章 被动信息收集】2-DNS域名解析原理
  • 8【第3章 被动信息收集】3-DNS信息收集
  • 9【第3章 被动信息收集】4-查询网站的域名注册信息和备案信息
  • 10【第3章 被动信息收集】5-使用Maltego收集子域名信息
  • 11【第3章 被动信息收集】6-使用Shodan暗黑谷歌搜索引擎收集信息
  • 12【第3章 被动信息收集】7-Google搜索引擎使用技巧
  • 13【第3章 被动信息收集】8-常见最新漏洞公布网站
data-postsbox="{"id":2467,"title":"【在线学习】2021年零基础安全渗透高级工程师课程","author":"Sec-Labs","author_id":10015,"cover_image":"","cover_video":"","views":12119,"comment_count":478,"category":"lsources","is_forum_post":false}">{"id":2467,"title":"【在线学习】2021年零基础安全渗透高级工程师课程","author":"Sec-Labs","author_id":10015,"cover_image":"","cover_video":"","views":12119,"comment_count":478,"category":"lsources","is_forum_post":false}

信息收集与漏洞挖掘

以下视频包含

  • 搜索引擎的利用
  • 信息收集专题概括
  • 信息收集与情报挖掘——如何收集骗子信息
  • 社交网站的信息挖掘
  • 钓鱼网站搭建前的准备
  • 网络定位IP的常见方法
此处内容已隐藏,请评论后刷新页面查看.

3.敏感信息收集

此处内容已隐藏,请评论后刷新页面查看.

4.信息采集

此处内容已隐藏,请评论后刷新页面查看.

5.大型目标渗透测试

  • 信息搜集上
  • 信息搜集下
  • 端口扫描
  • 查点
此处内容已隐藏,请评论后刷新页面查看.

图文资料

DNS注册信息

常见方式:

  • nslookup/dig
  • dns域名爆破
  • recon-ng(信息收集)

请在终端中尝试nslookupdig等命令,详细命令以及各种工具用法,请评论获取

此处内容已隐藏,请评论后刷新页面查看.

IP、MAC地址

IP、MAC的基础知识和常见自我保护手段

IP地址的唯一性:

网络上所有的设备都必须有一个独一无二的IP地址,就好比是邮件上都必须注明收件人地址,邮递员才能将邮件送到。

同理,每个IP信息包都必须包含有目的设备的IP地址,信息包才可以正确地送到目的地。同一设备不可以拥有多个IP地址,所有使用IP的网络设备至少有一个唯一的IP地址。

IP地址的格式和分段:

在计算机二进制中,1个字节 = 8位 = 8bit(比特)

IP地址(IPv4)由32位二进制数组成,分为4段(4个字节)

每一段为8位二进制数(1个字节)

每一段8位二进制,中间使用英文的标点符号“.”隔开

由于二进制数太长,为了便于记忆和识别,把每一段8位二进制数转成十进制,大小为0至255。

IP地址表示为:xxx.xxx.xxx.xxx

210.21.196.6就是一个IP地址的表示。

IP地址的组成:

IP地址包括网络地址和主机地址两个部分。

比如:210.21.196.6

其中210.21.196 是网络地址

6 是主机地址

同一网段内(近似理解为同一个机房内)的计算机网络地址相同,主机地址不会同时重复出现(因为主机是唯一的)。通过设置网络地址和主机地址,在互相连接的整个网络中保证每台主机的IP地址不会互相重叠,即IP地址具有了唯一性。

MAC地址:

称为物理地址,也叫硬件地址,用来定义网络设备的位置,MAC地址是网卡出厂时设定的,是固定的(但可以通过在设备管理器中或注册表等方式修改(常用于伪装自己的身份,往往一个网络硬件被生产出来,制造商是有MAC地址记录留存的),同一网段内的MAC地址必须唯一)。MAC地址采用十六进制数表示,长度是6个字节(48位),分为前24位和后24位。

IP隐藏技术:

SSR、VPN、SSH、S5、Proxifier等代理工具的使用,互联网不是法外之地,7层代理也可查,只不过是查你付出的成本高低而已。

使用方法百度即可,这里不多说了,命要紧。

加密聊天工具:

signal、小飞机等不需要手机号注册的匿名聊天APP,需要注册的也有绕过方式,代购手机卡、网络手机号等。

使用方法百度即可,这里不多说了,命要紧。

指纹清理、PC使用习惯、自我保护:

常见软件都会搜集你的MAC地址,将某台上网设备和你本人的实名信息绑定,所以,工作和私人要完全分开,避免留下相关指纹信息。

linux下通过macchanger命令可更改mac地址:

具体百度一看就知道了,再写入kali的开机自启,每次开机的mac就都不同了。

浏览器的选择,规避国产浏览器和外国浏览器的国内版,建议用bing国际版搜索火狐浏览器官网,下载安装。

比方:你在百度里搜索的火狐浏览器,基本都是这个网址:

https://www.firefox.com.cn/

页面拉到最下面是这样的

然而真正的官网应该是:

https://www.mozilla.org

然而就算你从这个链接点进去,也会跳转到国内版的网站(狗头保命)

所以,点另一个试试看:

https://www.mozilla.org/en-US/firefox/

现在拉到最下面就没有了:

域名

Domain Name,由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称

比如:

baidu.com

qq.com

由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点(baidu.com,你就知道是百度)

从而设计出域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住想要访问的IP。 你想访问百度,不用去记住一长串数字IP了,只用记住baidu.com就好

IP地址和域名是一一对应的,这份域名地址的信息存放在一个叫域名服务器(DNS,Domain name server)的主机内,域名服务器就是提供IP地址和域名之间的转换服务的服务器。

DNS就像是一个自动的电话号码簿,我们可以直接拨打baidu的名字来代替电话号码(IP地址)。我们直接调用网站的名字以后,DNS就会将便于人类使用的名字(如baidu.com)转化成便于机器识别的IP地址(如108.210.12.265)。

域名的种类:

不同级别的域名,包括顶级域名,二级域名,三级域名......

比如:www.baidu.com
顶级域名:com
二级域名:baidu.com
三级域名:www.baidu.com

域名备案:

国内网站都有备案,注册人的信息(注册人、邮箱、联系方式、地理位置)可以从获取到

CDN:

CDN的全称是Content Delivery Network,即内容分发网络

CDN的基本原理是广泛采用各种缓存服务器,将这些缓存服务器分布到用户访问相对集中的地区或网络中,在用户访问网站时,将用户的访问指向距离最近的工作正常的缓存服务器上,由缓存服务器直接响应用户请求。

其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。

简单来理解,打比方,就是一个服务器架设在东北的网站,我们从海南、西北等距离较远的地方直接访问网站内容会比较慢,有了CDN技术以后,全国各大城市,都有缓存服务器,把网站的内容缓存起来,离得近的用户输入域名的时候,直接连接到缓存服务器上,而不是连比较远的真实服务器。

域名的历史解析ip:

ip138工具

由于绑定CDN、网站升级或者业务变迁,域名解析的ip会发生改变,通过查询某个域名的历史解析IP,有可能绕过CDN云,找到他曾经直接解析的真实IP上。

你可以使用IP138工具,输入域名后查询到历史解析IP,一定程度上可以找到服务器的源IP地址。

域名信息收集的利用

信息收集的目标公司:广州市华软科技发展有限公司

主站网址是https://www.huaruan.com.cn/

一、whois 查询

我们从www.zzy.cn和站长之家查询得到如下结果

简单分析一下可能能用的信息:

联系人是:广州市华软科技发展有限公司

联系邮箱是:choice@huaruan.com.cn

联系人和联系邮箱都可以进行whois反查以及作为制作字典的素材,可以看这个联系人还注册了哪些域名。

99开头的新的域名邮箱就出来了

我们把1开头的邮箱进一步反查:

又得到2个新域名和注册人、联系方式。

......

所有得到的域名都要打开一遍,去对应的网站翻一遍还有没有什么信息可以搜集到,比如人名、联系方式、联系邮箱,后续可以社工和whois反查

域名还可以放到微步在线网站,查询更多能利用的信息。

所有得到的公司名称,都丢到企查查去看看,对应的老板名下还有哪些企业,该企业还有没有什么分公司,对应的企业再回来查whois

以上所有整理的和目标相关的信息,利用各种搜索引擎进一步搜集,注意要搜索那些年份比较早的信息,近几年的可能已经被改过了,但是互联网是有记忆的,早期安全意识比较差的时候,很多真实信息会暴露。(搜索引擎可设置查询年月日)

关于信息搜集整理工具,建议用XMIND思维导图,要不然信息过多你就梳理不清了

相信到这一步,你一定能通过被动信息收集,编织出一大张网状思维导图,根本目的,就是把目标的整个组织架构给摸清楚,越细节越好

这是后续开展渗透测试的重中之重,信息搜集的越多,攻击面就越大。

网络空间测绘引擎

您还可以通过网络空间测绘引擎,快速收集目标资产

  • 服务器
  • 数据库
  • 某个网站管理后台
  • 路由器
  • 交换机
  • 公共ip的打印机
  • 网络摄像头
  • 门禁系统
  • Web服务
data-postsbox="{"id":10011,"title":"免费网络空间测绘平台 奇安信Hunter——鹰图平台","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2022/02/20220219014721759.png","cover_video":"","views":20317,"comment_count":6,"category":"knowledge","is_forum_post":false}">{"id":10011,"title":"免费网络空间测绘平台 奇安信Hunter——鹰图平台","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2022/02/20220219014721759.png","cover_video":"","views":20317,"comment_count":6,"category":"knowledge","is_forum_post":false}
data-postsbox="{"id":193,"title":"如何使用shodan/zoomeye搜索引擎进行社工?","author":"FancyPig","author_id":1,"cover_image":"","cover_video":"","views":19033,"comment_count":13,"category":"sg","is_forum_post":false}">{"id":193,"title":"如何使用shodan/zoomeye搜索引擎进行社工?","author":"FancyPig","author_id":1,"cover_image":"","cover_video":"","views":19033,"comment_count":13,"category":"sg","is_forum_post":false}

真实IP收集方式

验证是否存在CDN

方法1:

很简单,使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN,

多地 Ping 网站有:

http://ping.chinaz.com/

http://ping.aizhan.com/

http://ce.cloud.360.cn/

方法2:

使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

有 CDN 的示例:

www.163.com服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:名称: 163.xdwscache.ourglb0.com
Addresses:
58.223.164.86
125.75.32.252
Aliases:
www.163.com
www.163.com.lxdns.com

无 CDN 的示例:

xiaix.me服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:名称: xiaix.me
Address: 192.3.168.172

绕过 CDN 查找网站真实 IP

1.多地ping

因为CDN的原因,国内的站用国外ping,反之亦然,可能获取真实IP。

不同的地方去Ping服务器,如果IP不一样,则目标网站肯定使用了CDN。 

在线ping:

 http://ping.chinaz.com/ 

http://ce.cloud.360.cn/ 

http://www.webkaka.com/ping.aspx

https://asm.ca.com/en/ping.php

2.子域名探测法

有些子域名可能由于成本的原因没有用CDN,所以要尽可能的多收集子域名,从而有效判断真实ip。

或许可以找到一些没有部署 CDN 的子域名,拿到某些服务器的真实 ip/ 段

3.搜索引擎 

常见的有钟馗之眼,shodan,fofa搜索。以fofa为例,只需输入:title:“网站的title关键字”或者body: “网站的body特征”就可以找出fofa收录的有这些关键字的ip域名,很多时候能获取网站的真实ip。

4.ssl证书收集

Censys工具能实现对整个互联网的扫描,Censys是一款用以搜索联网设备信息的新型搜索引擎,能够扫描整个互联网,Censys会将互联网所有的ip进行扫描和连接,以及证书探测。

举例:

xyz123boot.com证书的搜索查询参数为:parsed.names:xyz123boot.com

只显示有效证书的查询参数为:tags.raw:trusted

攻击者可以在Censys上实现多个参数的组合,这可以通过使用简单的布尔逻辑来完成。

组合后的搜索参数为:parsed.names: xyz123boot.com and tags.raw: trusted

censys将向你显示符合上述搜索条件的所有标准证书,以上这些证书是在扫描中找到的。

要逐个查看这些搜索结果,攻击者可以通过单击右侧的“Explore”,打开包含多个工具的下拉菜单。

What's using this certificate? > IPv4 Hosts

此时,攻击者将看到一个使用特定证书的IPv4主机列表,而真实原始 IP就藏在其中。

5.历史解析记录

一般网站从部署开始到使用cdn都有一个过程,周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站ip,查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录。

找国外的比较偏僻的DNS解析服务器进行DNS查询,因为大部分CDN提供商只针对国内市场,而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP 。

全世界DNS地址:

http://www.ab173.com/dns/dns_world.php

https://dnsdumpster.com/

https://dnshistory.org/

http://whoisrequest.com/history/

https://completedns.com/dns-history/

 http://dnstrails.com/ 

https://who.is/domain-history/

http://research.domaintools.com/research/hosting-history/

http://site.ip138.com/ 

http://viewdns.info/iphistory/ 

https://dnsdb.io/zh-cn/

https://www.virustotal.com/

https://x.threatbook.cn/

http://viewdns.info/ 

http://www.17ce.com/

https://securitytrails.com/

https://tools.ipip.net/cdn.php

6.邮件记录获取

就是想办法让目标Web服务器给自己发一封邮件,常见于注册账户、密码找回、订阅、咨询等功能点。

收到邮件后,我们可以查看源代码,特别是其中的邮件头,记录下其中的所有IP地址,包括子域名,这些信息很可能与托管服务有关。

然后,我们可以尝试通过这些地址访问目标。

7.利用网站返回的内容寻找真实原始IP

如果原始服务器IP也返回了网站的内容,那么可以在网上搜索大量的相关数据。

浏览网站源代码,寻找独特的代码片段。

在JavaScript中使用具有访问或标识符参数的第三方服务(例如Google Analytics,reCAPTCHA)是攻击者经常使用的方法。

以下是从HackTheBox网站获取的Google Analytics跟踪代码示例:

ga('create','UA-93577176-1','auto');

可以使用80.http.get.body:参数通过body/source过滤Censys数据

8.利用网站证书查询源IP

data-postsbox="{"id":6946,"title":"别让 SSL 证书暴露了你的源站 IP","author":"loli","author_id":11638,"cover_image":"","cover_video":"","views":2443,"comment_count":2,"category":"knowledge","is_forum_post":false}">{"id":6946,"title":"别让 SSL 证书暴露了你的源站 IP","author":"loli","author_id":11638,"cover_image":"","cover_video":"","views":2443,"comment_count":2,"category":"knowledge","is_forum_post":false}

子域名探测

参考先知社区的《子域名探测方法大全》

内网信息收集

参考Freebuf的

相关文档

这里也收藏了一些热心网友分享的文档供大家参考

立即下载 提取码puql3v

标签:DNS, kali, https, shodan, 端口扫描, ip, cdn, kali linux, 子域名, 信息收集, 真实IP, maltego, 域名, 指纹, domain, mac, 被动信息收集, 查点, 信息搜集, dns解析, 子域名爆破, dns查询, fierce, dnsrecon, rstp, 指纹清理, macchanger, domain name, 域名信息收集, 域名信息, whois查询, whois反查, 源IP, 历史解析, 历史解析记录, 子域名探测, 子域名挖掘, subdomainsbrute103