【笔记】被动信息收集

被动信息收集

公开渠道可获得的信息

与目标系统不产生直接交互

尽量避免留下一切痕迹

OSINT：美国军方+北大西洋公约组织

信息收集内容

IP地址段，域名信息，邮件地址，文档图片数据，公司地址，公司组织架构，联系电话/传真号码，人员姓名/职务，目标系统使⽤用的技术架构，公开的商业信息

信息用途

用信息描述目标；发现；社会工程学攻击；物理缺口

1、信息收集：DNS

域名解析成IP地址；FQDN；域名记录：A、C name、NS、MX、ptr；

递归查询 vs 迭代查询；

A. nslookop

将域名解析成IP地址；跨平台；

nslookup # 进入nslookup本身的命令提示符；
> www.sina.com # c name记录；
> us.sina.com.cn # 一步一步解析，一直解析到A记录；
> set type=a # type(q)=a, mx, nx, any
> server 8.8.8.8 # 以8.8.8.8为域名服务器进行查询；
nslookup -type=ns example.com 156.154.70.22 # 直接在命令行输入

ps: spf反垃圾邮件的反向查询。

cat /etc/resolv.conf # 查阅本机的域名服务器地址

B. dig

ps: 多尝试不同的域名服务器进行查询（不同地域对查询形成的影响）。

dig www.sina.com any @8.8.8.8
dig +noall +anser mail.163.com any | awk '{print $5}' # 筛选显示
dig +noall +answer -x 8.8.8.8  # 筛选显示+反向查询
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com # 查询bind的版本
dig +trace examle.com # DNS追踪

tips：wireshark抓包感受一下NDS的迭代查询和递归查询的区别。

C. DNS区域传输

目的：想知道某一个域里面的所有主机记录，知道所有的A和Cname记录，就知道这些公司在网上都有哪些存在的主机，从而进行下一步的主动扫描等等。

dig @ns1.example.com example.com axfr # 执行全区域传输（axfr）；TCP的53端口
host -T -l sina.com 8.8.8.8 # 8.8.8.8也是ns3.sina.com等
host -h # 查一下host的命令使用方式

查阅命令手册：

xxx -h
xxx --help
man xxx
info xxx

D. DNS字典爆破

向DNS服务器发送请求，尝试将目标域以及子域进行暴力破解。

集成成自己的个人字典~

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt
dnsdict6 -d4 -t 16 -x sina.xom # 现在kali好像已经没有了
dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -o sina.xml # 好用
dnsmap sina.com -w dns.txt # 不好用！慢！出不来！
dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt # 好用
dnsrecon -t std -d sina.com # 慢！

如何寻找当前命令的字典文件：

dpkg -L fierce # 显示生成文件
more xxx.txt # 发现字典
cat xxx.txt | grep www # 筛选字典
find / -name dnsenum # 目录结构逐层进行查找
cat xxx/xxx/xxx.txt | grep www # 筛选字典

E. DNS注册信息

【社会工程学】

whois
whois -h whois.apnic.net 192.0.43.10 # afrinic; apnic; arin; iana; icann; lacnic; nro; ripe; internic
whois sina.com # 查询域名注册时留下的信息
whois x.x.x.x # 此IP可能是维护人员的办公地址；运营商或公司；

2、搜索引擎

公司新闻动态；重要雇员信息；机密文档/网络拓扑；用户名密码；目标系统软硬件技术架构；

A. SHODAN

用于搜索联网设备；

需要申请账号；

http://www.shodan.io/explore这个网址上是一些帮助信息，一些摄像头啊思科设备啊之类的命令；

firefox上有shodan的插件，自动搜索shodan的数据库，关于目前的网页的内容会显示出来；

爬网收集banner信息: http, ft, ssh, telnet

显示开放端口（53——DNS服务）；

使用人的地点；

https://www.shodan.io/

常见的filter：

net:8.8.8.8
net:211.114.145.0/24 # 某一个段
net:1.179.177.0/24 coutry:CN
country:CN city:beijing port:22 # UN
country:CN city:beijing port:81 HTTP/1.1 200 # 有希望进去的
nc 115.159.0.151 3306 # mysql端口
os:"windows" # 设备系统
os:linux
hostname:baidu.com # 也可以将域名解析为相应的IP地址进行搜索
server: Apache/2.2.3 # 加个空格

特殊例子，特殊测字符串；

提炼和总结属于自己的搜索方式；像cam, default, password之类的；

200 OK cisco country:JP # 访问成功，思科设备；cisco/cisco 或者字典进行密码破解；
user:admin pass:password
linux upnp avtech # 摄像头设备 admin/admin

B. google

网页的页面文件；

页面的源文件（intitle有关）；

筛选指令举例：

- +充值 -支付

- 北京的电子商务公司——北京 intitle：电子商务 intext:法人 intext:电话

- 阿里网站上的北京公司联系人——北京 site:alibaba.com inurl:contact

- 塞班司法案的PDF⽂文档——SOX filetype:pdf

- 法国的支付相关页面，某一个国家的站点（cn是中国）——payment site:fr

在搜索的结构里有cached，存在在google的服务器数据库里，有可能丢弃了css等样式；

inurl:"level/15/exec/-/show" #思科交换机；权限级别；show arp；配置管理工具之类的；
intitle:"netbotz appliance" "ok" #某一特定类型的机架型的摄像头的设备之类的；可能得放在特定浏览器下才能显示；
inurl:/admin/login.php #后台管理的界面
inurl:qq.txt #账号密码之类的
filetype:xls "username | password"
inurl:ftp "password" filetype:xls site:baidu.com
inurl:Service.pwd #frontpage的漏洞，可以直接搜出账号密码；

GHDB谷歌搜索语句指令大全

http://exploit-db.com/google-dorks

C. yandex

世界第四大搜索引擎——俄罗斯，偶尔会有惊喜；

https://www.yandex.com/

用户信息

调用搜索引擎进行搜索的命令语句。

theharvester -d sina.com -l 300 -b google # 邮件、主机及其IP
metagoofil -d microsoft.com -t pdf -l 200 -o test -f 1.html # 文件

终端窗口复用器

tmux

通过代理调用theharvester

vi /etc/proxychains.conf #检查一下配置文件
netstat -pantu | grep 9150 #查看9150端口是否已经打开
proxychains theharvest xxx

meltago

开源全图形化界面；启动向导；首次登陆需要账号注册；创建新的工作模板区；然后就开始延展性的搜索，获取所有有关的网上的信息。（transfor）

其他途径

社交网络；工商注册；新闻组/论坛；招聘网站；

http://www.archive.org/web/web.php

历史归档的网站【需要翻墙，现在已经没有了哭哭】

个人专属密码字典

按个人信息生成其专属的密码字典

CUPP——Common User Password Profiler

git clone https://github.com/Mebus/cupp.git python cup.py -i

metadata

exif图片信息；foca(一个软件，windows底下的软件，看上去不是很好用。)

exiftool w.jpg

recon-ng

全特性的web侦察框架；

基于python开发；

web信息搜索框架；

命令格式与msf一致；

基于python开发；

使用方法：模块，数据库，报告；

recon-ng
>help
>exit
recon-ng -h
recon-ng -w sina # 创建工作区
>workspaces list
>keys list # 支持的网站的api，需要自己设置查询
>keys add twitter_api xxxx # 增加api
>search google # 搜索与google有关的模块名称
>shell ls # 执行shell命令
>show options # 当前有什么options选项可以设置
>set PROXY 127.0.0.1:8087 # 设置代理
>set USER-AGENT xxx
>show schema # 显示recong-ng数据库结构
>snapshots list # 双击tab显示有啥命令
>snapshots take # 当前快照
>snapshots load xxx.db
>use +mokuai

全局选项：USER-AGENT, Proxy, Workspace, Snapshot；

show schema

help

query 数据库

Select * from hosts where host like ‘%baidu.com%’ order by ip_address

DNS查询：Google, baidu, bing, yahoo, brute force；

解析IP地址（查询数据库）；

联系人；contact

报告；

API

>search google
>use recon/domains-hosts/google_site_web
>>show options # 这个模块下变量名称
>>show info # 模块的信息
>>set SOURCE sina.com
>>run # 运行这个模块
>>back
>show options
>search baidu
>use xxx
>>show options
>>run
>>^C
>>show hosts
>>query select * from hosts
>search bing
>use xxxbingxxx
>>run # 发现新增的模块内容
>query select * from hosts where host like '%www%' # 显示带有www内容的查询结果

>search brut #采用爆破的方式；没有解析ip地址的操作
>use recon/domains-hosts/brute_hosts
>>show options
>run
>search res # 将域名解析成IP地址
>use recon/hosts-hosts/resolve
>>show options
>>show info
>>set SOURCE query select host from hosts where host like '%sina.com.cn%'
>>run
>show hosts

导出成报告

>search report
>use reporting /hmtl
>>show options
>>set CREATOR xxx
>>set CUSTOMER sina.com
>>set FILENAME /root/Desktop/sina.html
>>run