[渗透测试学习五]被动信息收集

[渗透测试学习五]被动信息收集

黑客资讯访客1970-01-01 8:00:00400A+A-

被动信息收集

被动:不直接与目标接触

  • 公开渠道可获得的信息
  • 与目标系统不产生直接交互
  • 尽量避免留下一切痕迹
  • OSINT


信息收集内容

  • IP地址段
  • 域名信息
  • 邮件地址
  • 文档图片数据
  • 公司地址
  • 公司组织架构
  • 联系电话/传真号码
  • 人员姓名/职务
  • 目标系统使用的技术架构
  • 公开的商业信息

信息用途

  • 用信息描述目标
  • 发现目标系统/开放服务
  • 社会工程学攻击
  • 物理缺口


信息收集——DNS

  • 域名解析为IP地址
  1. 域名和FQDN(完全限定域名)的区别:
    qq.com(域名)
    www.qq.com(完全限定域名)
  2. 域名记录:
    A(A记录)、C name(别名记录)、NS(域名服务器记录)、MX(邮件交换记录)、PTR(反向地址解析记录)

DNS信息收集——nslookup

  • nslookup
nslookup www.baidu.com
  • 参数
nslookup -q=ns sina.com  # q代表type
nslookup -q=mx sina.com 114.114.114.114  # 指定域名服务器
# q可以为a、mx、ns、ptr、any(所有记录)
# 当q=ptr时 后跟IP地址

扩充:any参数查出的spf记录


DNS收集——DIG

与nslookup相似,强于nslookup

  • 格式
dig sina.com any @8.8.8.8
# @可以接指定DNS服务器(可不加)

只显示关键查询内容:

dig +noall +answer sina.com any @8.8.8.8

SOA记录:起始授权记录


  • 反向查询
dig -x 220.181.14.157

  • 强大之处
  1. 查询DNS服务器bind版本
    作用:有机会渗透DNS服务器
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
# ndspod的dns服务器
  1. DNS追踪
dig +trace www.sina.com

DNS区域传输

  • dig
dig @ns3.sina.com sina.com axfr
# @后跟dns服务器

  • host
host -T -l sina.com ns3.sina.com
# -T:使用TCP传输;-l :相当于axfr(区域传输作用)

DNS字典爆破

熟练掌握一个即可

  • Fierce
    优点:会先尝试进行区域传输

查找他的自带字典路径:

dpkg -L fierce

发现一个/usr/share/fierce/hosts.txt文件,more一下发现是他的字典。
利用字典进行爆破

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txt

  • Dnsdict6
    优点:速度快,字典可选择大小,命中率高

安装:

  1. 配置安装环境:
    先把源改为阿里云或中科大的镜像源,不然很慢
apt-get updat
apt-get upgrade -y
apt-get upgrade --fix-missing -y
apt-get install libpcap-dev libssl-dev libnetfilter-queue-dev -y  # 安装环境
  1. 下载安装包并解压:
cd ~/Downloads # 下载到Downloads文件夹
wget https://src.fedoraproject.org/lookaside/pkgs/thc-ipv6/thc-ipv6-2.7.tar.gz/2975dd54be35b68c140eb2a6b8ef5e59/thc-ipv6-2.7.tar.gz
tar zxvf thc-ipv6-2.7.tar.gz

注意: Kali2.0后集成dnsdict,需要单独下载。 虚拟机使用wget可能会提示证书错误,建议用物理机下载再拖进虚拟机。

  1. 安装:
cd thc-ipv6-2.7
# 执行编译安装
make && make install

使用方法

dnsdict6 -d4 -t 16 -x sina.com.cn
# -t:线程数,最大32
# -x:使用什么级别的字典,字典级别从小到大依次为s、m、l、x、u

导出导一个文件

dnsdict6 -d4 -t 16 -x sina.com > 1.txt

  • dnsenum
    优点:会查找A、NS、MX等记录,会查询bind版本以及对所有查询到的ns记录进行区域传输

先找一下它自带的字典文件:

dpkg -L dnsenum

发现了字典文件:
/usr/share/dnsenum/dns.txt

使用方法:

dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 sina.com -o sina.txt

  • Dnsrecon
    优点:可指定超时时间,能查询A、C记录

先找一下它自带的字典文件:

dpkg -L dnsenum

发现了字典文件:
/usr/share/dnsrecon/namelist.txt

使用字典爆破:

dnsrecon -d sina.com --lifetime 10 -t brt -D /usr/share/dnsrecon/namelist.txt
# -t:破解方式:暴力破解

可自己整合一个专有的大字典进行爆破


DNS注册信息

  • Whois
whois sina.com
whois 114.134.80.144

如果是为本公司做安全建设,建议通过服务商进行域名注册并且尽可能少填写公司信息,这些信息都可能被利用



搜索引擎

  • 公司新闻动态
  • 重要雇员信息
  • 机密文档/网络拓扑
  • 用户名密码
  • 目标系统软硬件技术架构

SHODAN

  • 搜索联网的设备
    当拿到了服务器ip时可进行搜索尝试
  • Banner:http、ftp、ssh、telnet
  • 常见filter:
    net(192.168.20.1)、city、county(CN、US)、port(80、21、22、53)、OS、Hostname(主机名)、server

使用方法:

C段搜索

net: 211.144.144.0/24

指定国家

net: 211.144.144.0/24 country: CN

指定端口

country: CN city: beijing port: 22

指定操作系统

os:windows

指定主机名

hostname: baidu.com

指定服务

server: Apache

指定设备

200 OK cisco county: CN

搜索特征字符串

linux upnp avtech
# 某摄像头

可相互结合



用户信息

  • 发现邮件、主机
proxchains theHarvester -d sina.com -l 300 -b baidu
# -d:指定搜索域
# -b:指定搜索媒介:有baidu、google、bing、twitter、all等参数
# -l:限制搜索结果数量

如何使用proxchains?

  • 文件
proxychains metagoogoofil -d sina.com -t pdf -l 200 -o text -f 1.html
# -t:指定文件类型如pdf、doc、xls、ppt、docx等
# -l:限制搜索数量
# -n:限制下载数量
# -o:指定输出的目录
# -f:指定输出的文件

(需要安装)

  • MELTAGO的基本使用
  1. 注册登录
  2. 新建一个区域
    在这里插入图片描述
  3. 拖拽DNS Name 到空白区域
    在这里插入图片描述
  4. 双击填写域名
    在这里插入图片描述
  5. 查询DNS名称在这里插入图片描述
  6. 查询MS、NS记录
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    (NS记录)
    在这里插入图片描述
    更多功能等待你的探索。。。
  • 其它途径
    社交网络
    工商注册
    新闻组/论坛
    招聘网站
    查看网站历史镜像(需代理)

个人专属的密码字典

  • 按个人信息生成其专属的密码字典(社会工程学字典)
  1. 真空密码字典生成器(Windows):提取码:8r1l
  2. cupp
    首先安装
apt-get install cupp

查看是否安装成功
在这里插入图片描述
根据用户信息生成社工字典

cupp -i

不知道的信息直接回车
在这里插入图片描述
输入内容:
在这里插入图片描述
字典生成在当前目录下。

  • kali自带字典目录
/usr/share/wordlists

/dirb目录

big.txt #大的字典
small.txt #小的字典
catala.txt #项目配置字典
common.txt #公共字典
euskera.txt #数据目录字典
extensions_common.txt #常用文件扩展名字典
indexes.txt #首页字典
mutations_common.txt #备份扩展名
spanish.txt #方法名或库目录
others #扩展目录,默认用户名等
stress #压力测试
vulns #漏洞测试

/dirbuster
apache-user-enum-** # apache用户枚举
directories.jbrofuzz # 目录枚举
directory-list-1.0.txt # 目录列表大,中,小 big,medium,small

/fern-wifi
common.txt #公共wifi账户密码

/metasploit
各种典型密码

METADATA

  • 查询Exif图片信息
apt-get install exiftool -y  # 安装
exiftool a.jpg  # 查看一张图片信息

这里我选择了查询了一张手机拍的照片。
可以看到查到很多信息。
在这里插入图片描述
未展示完…

如果看不懂也可执行

exiftool a.jpg > a.txt

将查询结果保存到a.txt中,再打开a.txt复制去翻译:

ExifTool版本号:11.97
文件名:a.jpg
目录:。
文件大小:2.6 MB
文件修改日期/时间:2020:05:13 00:45:02-04:00
文件访问日期/时间:2020:05:13 00:48:16-04:00
文件索引节点更改日期/时间:2020:05:13 00:46:12-04:00
文件权限:rwxrw rw-
文件类型:JPEG
文件类型扩展名:jpg
MIME类型:图像/jpeg
JFIF版本:1.01
Exif字节顺序:Big endian(Motorola,MM)
品牌:苹果
相机型号名称:iPhone 8
X分辨率:72
Y分辨率:72
分辨率单位:英寸
软件:13.4.1
修改日期:2020:05:03 21:36:03
平铺宽度:512
平铺长度:512
曝光时间:1/7
F编号:1.8
曝光程序:程序AE
国际标准化组织:100
Exif版本:0231
日期/时间原件:2020:05:03 21:36:03
创建日期:2020:05:03 21:36:03
偏移时间:+08:00
原始偏移时间:+08:00
数字化偏移时间:+08:00
组件配置:Y、Cb、Cr-
快门速度值:1/7
光圈值:1.8
亮度值:0.1323811246
曝光补偿:0
计量方式:现场
闪光:关,没有开火
焦距:4.0 mm
主题领域:1621 1469 753 756
运行时标志:有效
运行时间值:51217132457208
运行时间范围:100000000
运行时纪元:0
加速度矢量:-0.954296649-0.01446681655-0.3435807226
秒以下原始时间:491
亚秒数字化时间:491
Flashpix版本:0100
Exif图像宽度:4032
Exif图像高度:3024
感测方法:单芯片色域
场景类型:直接拍摄
曝光模式:自动
白平衡:自动
35mm焦距:28mm
场景捕获类型:标准
镜头信息:3.99000001mm f/1.8
镜头品牌:苹果
镜头型号:iPhone 8后置摄像头3.99mm f/1.8
GPS纬度参考:北
GPS经度参考:东
GPS高度参考:高于海平面
GPS速度参考:km/h
GPS速度:0
GPS Img方向参考:正北
GPS Img方向:206.1360856
GPS目标方位参考:正北
GPS目标方位:206.1360856
GPS水平定位误差:65m
当前IPTC摘要:d41d8cd98f00b204e9800998ecf8427e
IPTC摘要:d41d8cd98f00b204e9800998ecf8427e
轮廓坐标测量机类型:苹果电脑公司。
配置文件版本:4.0.0
配置文件类:显示设备配置文件
颜色空间数据:RGB
纵断面连接空间:XYZ
简介日期时间:2017:07:07 13:22:32
配置文件签名:acsp
主要平台:苹果电脑公司。
CMM标志:未嵌入,独立
设备制造商:苹果电脑公司。
设备型号:
设备属性:反射、光泽、正片、颜色
渲染意图:感知
连接空间光源:0.9642 1 0.82491
个人资料创建者:苹果电脑公司。
配置文件ID:ca1a9582257f104d389913d5d1ea1582
外形描述:显示P3
资料版权:版权所有苹果公司,2017年
媒体白点:0.95045 1 1.08905
红色基质柱:0.51512 0.2412-0.00105
绿色基质柱:0.29198 0.69225 0.04189
蓝基质柱:0.1571 0.06657 0.78407
红色色调再现曲线:(二进制数据32字节,使用-b选项提取)
色彩适应:1.04788 0.02292-0.0502 0.02959 0.99048-0.01706-0.00923 0.01508 0.75168
蓝调再现曲线:(二进制数据32字节,使用-b选项提取)
绿调再现曲线:(二进制数据32字节,使用-b选项提取)
图像宽度:4032
图像高度:3024
编码过程:基线DCT,哈夫曼编码
每个样本位数:8
颜色组件:3
Y Cb-Cr亚采样:YCbCr4:2:0(2 2)
图像高度:3024
编码过程:基线DCT,哈夫曼编码
每个样本位数:8
颜色组件:3
Y Cb-Cr亚采样:YCbCr4:2:0(2 2)
开机后运行时间:5天22:16:11
孔径:1.8
图像大小:4032x3024
百万像素:122
35 mm当量的比例因数:7.0
快门速度:1/7
创建日期:2020:05:03 21:36:03.491+08:00
日期/时间原件:2020:05:03 21:36:03.491+08:00
修改日期:2020:05:03 21:36:03+08:00
GPS高度:海拔527米
GPS纬度:30度39'49.67“N
GPS经度:东经104度5'2.34“
混淆圈:0.004 mm
视野:65.5度
焦距:4.0毫米(相当于35毫米:28.0毫米)
GPS位置:北纬30度39'49.67“,东经104度5'2.34”
超焦距:2.07m
光值:4.5

RECON-NG

全特性的web侦查框架(基于python开发)

  • 启动方式:
recon-ng

创建一个工作区启动(sina):

recon-ng -w sina

首先更新模块列表并下载所有模块(需代理,代理设置见options)

marketplace refresh
marketplace install all
  • 帮助:
help  # 查看可用命令
  • 退出:
exit
  • workspaces:
workspaces list  # 工作区列表
workspaces create baidu  # 创建名为baidu的工作区
workspaces delete baidu  # 删除名为baidu的工作区
workspaces select sina  # 切换工作区

keys相关命令:接入搜索引擎API时需要key。
(这里以添加shodankey为例)
首先进入shodan官网,登录账户,点击我的账户,复制API key

keys add shodan RItJb24tBi2QFKARO3rU3Ti061fUkEuh  # 添加API
keys list  # 查看已添加API的列表
keys remove shodan  # 删除
  • options:
options list  # 选项列表
# 选项设置
options set PROXY 127.0.0.1:8888  # 设置本地8888端口代理,此处用的http代理
options set USER-AGENT Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36
# 设置USER-AGENT
options unset USER-AGENT  # 清空设置

如何获得浏览器USER-AGENT?
首先访问百度,右键
在这里插入图片描述
刷新页面,点击网络,点击name为www.baidu.com的一项,下翻。
在这里插入图片描述

实战:子域名查询

modules search google  # 在模块里搜索谷歌

在这里插入图片描述

# 载入模块
modules load recon/domains-hosts/google_site_web
options list  # 查看配置
options set SOURCE sina.com  # 设置目标域
run  # 开始搜索(由于代理原因可能不成功,确保代理没问题可再次执行命令)
  • 同理可使用bing搜索:
back  # 返回上一级
modules search bing
# 复制recon/domains-hosts/bing_domain_web
modules load recon/domains-hosts/bing_domain_web  # 载入模块
options set SOURCE sina.com  # 设置搜索目标域名
options list  # 查看设否设置成功
run  # 开始搜索
  • 查询搜索结果
show hosts

也可以通过数据库查询语句查询

db query select * from hosts
  • 查询指定内容
# 查询包含sina.com.cn的域名
db query select * from hosts where host like '%sina.com.cn%'
  • 爆破域名
modules search brute  # 首先搜索模块
# 发现域名爆模块recon/domains-hosts/brute_hosts
modules load recon/domains-hosts/brute_hosts  # 载入模块
options options list  # 查看是否设置正确
run  # 开始爆破

实战:域名解析

将发现的域名解析为IP地址

modules search resolve  # 搜索模块
modules load recon/hosts-hosts/resolve  # 载入模块
# 解析指定域名
# options set SOURCE query select host from hosts where host like '%sina.com.cn%'
# 解析包含sina.com.cn的域名
run  # 即会将所有hosts里的域名解析为IP

实战:生成报告

搜索报告模块

modules search report

显示以下结果

[*] Searching installed modules for 'report'...

  Reporting
  ---------
    reporting/csv
    reporting/html
    reporting/json
    reporting/list
    reporting/proxifier
    reporting/pushpin
    reporting/xlsx
    reporting/xml

选择你想生成的报告形式,载入模块

modules load html
options list  # 查看选项
options set CREATOR ZhangSan  # 设置创建人
options set CUSTOMER sina.com  # 设置客户名
options set FILENAME /root/Desktop/sina.com.html  # 生成报告的路径及文件名
run  # 生成报告

在这里插入图片描述
更多功能期待你的发现…

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理