当我们进行信息收集的时候,可能我们获取到的是一个域名或者公司名称或者一个IP等等,在这种情况下我们需要就需要针对不同的信息来进行下一步操作。
那么我们根据得到的不同信息来分开讲解应该怎么进行下一步收集。主要是最近要参加一个红队的攻防演练,所以就把信息收集的这篇文章发出来供大家分享,因为信息收集真的很重要也很费时间和精力。
域名
判断CDN
首先判断是否存在CDN,如果存在CDN那么我们需要进行绕过CDN来查找出真实IP。
通过使用Ping域名判断是否有CDN
如下图,当ping出来的域名很长一串或者存在明显的cdn,ali,tencent字段大概率存在CDN。
Nslookup判断是否使用CDN
如下图,使用nslookup检测到一个域名对应多个IP可判断大概率使用的CDN
如果上图看的不够直观,我们可以查看百度的,因为我们知道百度是一定使用了CDN的,可查看到百度返回界面也是一个域名对应多个IP
超级ping查看是否存在CDN
网站:https://ping.chinaz.com/
可发现存在两个www.youzan.com 存在CDN
当只存在一个IP大概率就不存在CDN
域名查看真实IP
通过上述CDN检测,我们现在就需要绕过CDN检测,从而获取真实IP
多地ping
url https://www.itdog.cn/ping
如下图,我们通过www.youzan.com 知道该域名存在CDN,那么我们使用该多地ping网站进行下一步真实IP测试,发现在新西兰,日本,韩国使用的IP是一样的,因此推测此IP为真实IP,此功能还可以进行CDN判断
子域名查询真实IP
因为CDN需要的费用比较大,所以大多数公司都是只对主站或者访问量较大的站做了CDN加速处理,那么我们可以获取子域名来查找真实IP。这一节不重点讲解子域名如何收集,后面会详细介绍子域名收集方法
子域名查询
可以通过360quake fofa hunter来进行查看,比如360quake,使用如下语句即可查看子域信息
domain:"baidu.com"
Dnsdb查询法
url https://dnsdb.io/zh-cn/
黑客只需输入baidu.com type:A就能收集百度的子域名和ip了。
通过子域信息查询真实IP我们可以去下面网站进行测试,一般子域不存在CDN
https://ping.chinaz.com/
https://www.itdog.cn/ping
http://ping.aizhan.com/
http://ce.cloud.360.cn/
DNS历史记录
查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录,相关查询网站有:
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP
利用SecurityTrails平台,攻击者就可以精准的找到真实原始IP。他们只需在搜索字段中输入网站域名,然后按Enter键即可,这时“历史数据”就可以在左侧的菜单中找到。
如何寻找隐藏在CloudFlare或TOR背后的真实原始IP
除了过去的DNS记录,即使是当前的记录也可能泄漏原始服务器IP。例如,MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记录中。
利用SSL查找真实IP
使用给定的域名
假如你在xyz123boot.com上托管了一个服务,原始服务器IP是136.23.63.44。 而CloudFlare则会为你提供DDoS保护,Web应用程序防火墙和其他一些安全服务,以保护你的服务免受攻击。为此,你的Web服务器就必须支持SSL并具有证书,此时CloudFlare与你的服务器之间的通信,就像你和CloudFlare之间的通信一样,会被加密(即没有灵活的SSL存在)。这看起来很安全,但问题是,当你在端口443(https://136.23.63.44:443) 上直接连接到IP时,SSL证书就会被暴露。
此时,攻击者将看到一个使用特定证书的IPv4主机列表,而真实原始 IP就藏在其中。
你可以通过导航到端口443上的IP来验证,看它是否重定向到xyz123boot.com?或它是否直接在IP上显示网站?
使用给定的SSL证书
如果你是执法部门的人员,想要找出一个隐藏在cheesecp5vaogohv.onion下的儿童色情网站。做好的办法,就是找到其原始IP,这样你就可以追踪到其托管的服务器,甚至查到背后的运营商以及金融线索。
隐藏服务具有SSL证书,要查找它使用的IPv4主机,只需将"SHA1 fingerprint"(签名证书的sha1值)粘贴到Censys IPv4主机搜索中,即可找到证书,使用此方法可以轻松找到配置错误的Web服务器。
网站漏洞查找
1)目标敏感文件泄露,例如:phpinfo之类的探针、GitHub信息泄露等。
2)XSS盲打,命令执行反弹shell,SSRF等。
3)无论是用社工还是其他手段,拿到了目标网站管理员在CDN的账号,从而在从CDN的配置中找到网站的真实IP。
网站邮件订阅查找
RSS邮件订阅,很多网站都自带 sendmail,会发邮件给我们,此时查看邮件源码里面就会包含服务器的真实 IP 了。
F5 LTM解码法
当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取,例如:Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。
子域名收集
当我们知道域名,我们除了需要判断是否存在CDN从而获得IP以外还需要使用各种方法来得到子域名信息,扩大资产收集范围。
google收集
通过如下语句即可收集大量信息,当然还有很多,但是我只选择我个人觉得比较好用的,还有百度也是一样的搜索方式,这里就不说了
site: baidu.com 只搜索网站里的关键字
intitle=公司名称
fofa收集
通过各种资产测绘工具也可以进行收集,比如fofa,hunter,360quake,微步在线等,这里只用fafo来进行演示,其他产品操作也是大同小异
domain="ke.com"
host="ke.com"
icon_hash="hash值"
通过icon_hash值也可以来查子域名
站长之家
直接搜索名称或者网站域名即可查看相关信息
url http://tool.chinaz.com/
在线查询工具
https://phpinfo.me/domain/
https://www.t1h2ua.cn/tools/
https://site.ip138.com/baidu.com/domain.htm
Layer子域名挖掘机
SubDomainBrute
github上面一款高性能子域名爆破工具,支持泛解析检查方式
https://github.com/lijiejie/subDomainsBrute
Sublist3r
字典强大,爆破率高
https://github.com/aboul3la/Sublist3r
OneForALL
利用证书透明度收集子域(目前有6个模块:censys_api、certspotter、crtsh、entrust、google、spyse_api)
https://github.com/shmilylty/OneForAll
隐藏域名hosts碰撞
https://mp.weixin.qq.com/s/fuASZODw1rLvgT7GySMC8Q
很多时候访问目标资产IP响应多为:401、403、404、500,但是用域名请求却能返回正常的业务系统(禁止IP直接访问),因为这大多数都是需要绑定host才能正常请求访问的 (目前互联网公司基本的做法)(域名删除了A记录,但是反代的配置未更新),那么我们就可以通过收集到的目标的 域名 和 目标资产 的IP段组合起来,以 IP段+域名 的形式进行捆绑碰撞,就能发现很多有意思的东西。
在发送http请求的时候,对域名和IP列表进行配对,然后遍历发送请求 (就相当于修改了本地的hosts文件一样),并把相应的title和响应包大小拿回 来做对比,即可快速发现一些隐蔽的资产。
进行hosts碰撞需要目标的域名和目标的相关IP作为字典
域名就不说了
相关IP来源有:
目标域名历史解析IP
https://site.ip138.com/
https://ipchaxun.com/
ip正则
https://www.aicesu.cn/reg/
总结
关于得到域名进行下一步的信息收集大概就到这里,下一节会讲我们获取到IP应该怎么收集。
IP
IP反查域名
SearchMap
SearchMap是一款集域名解析、IP反查域名、WHOIS查询、CDN检测、端口扫描、目录扫描、子域名挖掘为一体的前渗透测试综合信息收集工具。
我们获取到IP第一步就可以通过IP查询域名,在通过域名查询子域名从而进一步扩大信息收集范围
https://github.com/asaotomo/SearchMap
reverse_ip
http://www.ip-adress.com/reverse_ip
7C
http://www.7c.com/
发现端口无法进行利用我们可以收集C段
FOFA
fofa ip="1.1.1.1/24" C段搜索
IP138
https://site.ip138.com/www.hnu.edu.cn/
nmap
通过nmap收集 C段信息
nmap -sn -PE -n 192.168.1.1/24 -oX out.xml
-sn 不扫描端口
-PE ICMP扫描
-n 不进行dns解析
-oX 输出结果
通过nmap定向端口扫描
Nmap -sS -Pn -p 3389 152.136.248.0
-sS 半开放扫描
-Pn 不进行主机存活探测
全端口扫描
Nmap -sS -Pn -p 1-65535 -n ip
端口开放服务扫描
Nmap -ss -sV -p 1-65535 -n ip
查旁站
https://chapangzhan.com/
旁站查询
当我们使用C段的方法送出许多的IP的时候可能无法分辨出那些IP对我们是有效的,这时候我们可以使用旁站来信息收集
概念:旁站是在同一台服务器上的其他域名
webscan
这个平台也是我最喜欢的,每天都会更新大量的站点,基本上都是有求必应。
https://webscan.cc/
端口扫描
nmap
最流行的工具之一,非常强大,端口扫描首选工具,扫描正确率很高
https://zh.wikipedia.org/zh-cn/Nmap
nmap 10.6.0.0/24 基础扫描,扫描常用端口,也可以指定扫描IP而不是网段
nmap -p 80 10.6.0.0/24 扫描指定端口,可以指定多个端口
nmap -sV 10.6.0.1 扫描服务器端的软件版本信息
nmap -O 10.6.0.1 识别目标主机的操作系统 需要root权限
nmap -Pn 10.6.0.1 禁用ping检测,如果主机屏蔽ping请求则nmap认为没有开机无法进行检测,所以禁用ping进行全面扫描
nmap -A 10.6.0.1 全面扫描,不论操作系统还是版本信息等都能扫描,耗时也是最长的
nmap -sT 10.6.0.1 TCP扫描,三次握手成功则认为该端口开放
nmap -sS 10.6.0.1 SYN扫描(半开扫描),速度很快,扫描也很稳定
masscan
这款端口扫描工具和nmap很像,但是扫描速度却比nmap快10倍,而且很稳定,会显示扫描过程。基于快速扫描首先
https://github.com/robertdavidgraham/masscan
fofa
fafo作为资产测绘工具基本涵盖所有信息,端口扫描功能也是不俗的。
https://fofa.info/
总结
通过IP查询域名旁站和C段的方法大概可以通过改方式来进行收集,可能不是很全但是够用。
公司名称
我们可以通过企业查询来寻找想要的信息,比如爱企查,天眼查,凤鸟(现在注册可免费领1年SVIP哦)这些都可以查,大同小异,我这里就以爱企查演示
爱企查
当我们获取到公司名称,可以通过爱企查来查询公司信息
https://aiqicha.baidu.com/
基本信息
邮箱,网站,电话等
点击更多网址可查看更多信息,比如手机号,其他域名,子公司等
人事信息
股权穿透情况
通过该项可查看子公司持股比例,如果持股50%那么我们可以作为目标去打
产品信息
我们还可以通过知识产权处看软件著作,公司开发的产品等信息,比如微信小程序,APP等
小蓝本
此工具对于查询app,商标,媒体等信息非常好用,相较于爱企查类型的软件著作查询,使用小蓝本更适合用来查询app应用。
https://sou.xiaolanben.com/pc
app程序
商标注册信息
与其相同行业的其他公司产品
供应商
有些公司网站页面写有技术支持等信息,这种适用于比如公司名称为三易拓,那么我们可以使用fofa的如下语句去寻找使用该公司产品的网站,从而从其他公司入手。
body="北京三易拓科技有限公司"
通过上图fofa语句搜索如下网站即可查询到使用该公司产品的网站
ipc备案
作为中国的公司一般网站都需要进行备案,所以我们可以通过网站页面显示备案信息来搜索公司名称等信息
页脚会显示备案信息,比如fofa
通过如下备案网站查询
https://beian.miit.gov.cn/#/Integrated/index
输入备案号
成功查询公司信息
google产品手册
通过google搜索某公司使用手册,说不定会泄露默认账号密码信息
github泄露源码
in:name spring #仓库标题搜索含有关键字 SpringCloud
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
我们也可以锁定域名搜索结合厂商域名 灵活运用例如搜百度的
site:Github.com smtp @baidu.com
site:Github.com sa password
site:Github.com root password
site:Github.com User ID=’sa’;Password
site:Github.com inurl:sql
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部
总结
通过三个方面进行了信息收集讲解,从域名,IP,公司名称进行信息收集,获得了大量的域名,IP和邮箱,公司数量,小程序APP等资产,那么我们下一步就需要通过收集到的资产进行下一步的信息收集,比如目录扫描,指纹识别,Waf探测,非http协议端口怎么收集或处理还有一些其他操作等。
网站整体收集
当我们获取到网站我们需要识别中间件,脚本语言,使用的框架组件等信息。
wappalyzer
此工具作为火狐的一款插件,可通过该工具识别网站使用的组件,框架等指纹信息
数据包
通过数据包信息我们会发现到一些信息,比如中间件信息,脚本语言,特殊字段,比如shiro存在rememberMe=deleteMe
whatweb
此工具也可使用来进行指纹识别,很好用,命令简单,识别的信息也很全,比如脚本语言,系统等
whatweb -v reddit.com
TideFinger
通过分析web指纹的检测对象、检测方法、检测原理及常用工具,设计了一个简易的指纹搜集脚本来协助发现新指纹,并提取了多个开源指纹识别工具的规则库并进行了规则重组,开发了一个简单快捷的指纹识别小工具TideFinger,并实现了一套在线的指纹识别平台“潮汐指纹”
http://finger.tidesec.net/ https://github.com/TideSec/TideFinger
EHole
EHole(棱洞)魔改。可对识别出来的重点资产进行漏洞检测(支持从hunter和fofa中提取资产)支持对ftp服务识别及爆破
https://github.com/lemonlove7/EHole_magic
目录扫描
目录扫描是非常好用的收集方法,能够扫描出很多的敏感信息,比如robots.txt,www.zip,phpinfo等,主要根据网站使用的语言和框架来进行指定扫描
7kbscan
https://github.com/7kbstorm/7kbscan-WebPathBrute
自身功能用起来还是十分不错(支持自定义user-aget、可以设置线程、自定义字典等等)
dirsearch
很好用,我基本上都使用该工具进行目录扫描
https://github.com/maurosoria/dirsearch
BBScan
https://github.com/lijiejie/BBScan
BBScan 是一个高并发、轻量级的信息泄露扫描工具。
它可以在短时间内完成数十万目标的扫描,帮助渗透工程师从大量无标签的主机中,定位到可能存在弱点的目标,进行下一步半自动化测试,或者是开启重量级扫描器。 它可以作为一个轻量级插件,集成到自动化扫描系统中。
dirb
dirb是一个基于字典的web目录扫描工具,采用递归的方式来获取更多的目录,可以查找到已知的和隐藏的目录,它还支持代理和http认证限制访问的网站。
https:// sourceforge.net/project s/dirb/files/
JS信息收集
jsfinder
JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。LinkFinder的增强版
https://gitee.com/MrWQ1/JSFinder/blob/master/JSFinder.py
LinkFinder
JavaScript文件可能会泄露敏感信息,如注释中的机密信息、内部IP地址,以及包含未授权访问或其他漏洞的URL。手动检查这些信息效率低下,而该工具——LinkFinder,可用于自动收集JavaScript文件中的信息。
https://github.com/GerbenJavado/LinkFinder?tab=readme-ov-file
findsomething
FindSomething,基于浏览器插件的被动式信息提取工具
https://github.com/momosecurity/FindSomething 火狐浏览器安装
WAF探测
这个其实我没怎么了解过,一般来说网站使用的都是公司内部产品,根本不存在绕过的可能,所以大家最多就是知道该网站有WAF然后直接下一个目标,所以我这里只给出工具,大家可以自己去试一试。
https://github.com/EnableSecurity/wafw00f wafw00f
总结
信息收集大概就这些,希望对大家有用。如果大家对于上述文章提及的信息收集方法还有好的工具可以在下方留言,和其他的师傅们一起分享,感谢大家的观看。
参考文献
https://developer.aliyun.com/article/823990
https://www.cnblogs.com/qiudabai/p/9763739.html
https://www.freebuf.com/articles/web/340195.html