src信息搜集汇总

前言:

关于渗透测试领域内的信息收集的重要性想必大家都意识到了,网上也有各种谈信息收集的文章,本文主要将笔者在实际渗透测试中,用到的一些技巧及感悟分享出来欢迎大家讨论。通常我们谈论的信息收集指的是子域名信息收集,由于黑盒测试天生的局限性,尽可能的收集到子域名就显得格外重要。除了子域名收集外,笔者认为系统的公司资产信息、员工邮箱信息、代码信息、敏感目录等也同样重要。
0×00子域名

当我们进行子域名收集的时候,主要有以下几个方式:1.暴力破解 2.搜索引擎 3.公开的DNS(可能由于之前泄露过DNS数据)
一、搜索引擎:

1.Google、baidu等传统搜索引擎

2.威胁情报:微步在线、 ti.360.cn、 Virustotal

3.大数据分析: 5118.con

4.网站备案查询 http://www.beianbeian.com

5.天眼查 https://www.tianyancha.com/
二、字典枚举法:

字典枚举法是一种传统查找子域名的技术,这类工具有 DNSReconcile、Layer子域名挖掘机等。

它的使用示例如下: python dnsrecon.py -n DNS服务器 -d 域名 -D 字典 -t brt
三、公开DNS源

Rapid7下Sonar项目发布的: https://scans.io/study/sonar.fdns_v2。

DNS历史解析: https://dnsdb.io/zh-cn/

社工库
四、综合工具:

Sublist3r,是一个常用的工具,它会列举常见的百度、谷歌等搜索引擎中收入的子域名,也会列举出Virustotal、ThreatCrowd、DNSdumpster和ReverseDNS中等第三服务中可查找到的子域名信息,并且也有字典破解的功能。
0×01公众号、APP

随着近几年移动端的兴起,很多公司都有自己的APP和公众号,在信息收集环节,一定要在APP搜索市场(苹果的APPSTORE)和微信搜索框里,搜寻一下。技巧就是可以按公司名或者公司简称来搜索。比如我们要给勤邦生物技术有限公司做信息收集。首先我们可以直接搜索“勤邦生物技术有限公司”,然后在搜索“勤邦”,要做一下对比分析来确定对方范围。
0×02敏感目录

针对web安全测试,找到敏感目录非常有助于进一步的渗透。有时开发人员将一些测试的代码在正式发布的时候忘记删除了,比如网站备份、调试后台等,或者使用了一些中间件存在的敏感路径未做修改或删除,比如fck编辑器、weblogic/jboss等的默认后台。

针对敏感目录的收集,可以采用以下几种途径来收集:搜索引擎、暴力破解、SVN源码泄露等。
一、搜索引擎

google hack语法
二、暴力破解

windows:御剑

其他系统:DirBuster-0.12、brup
三、SVN源码泄露

Seay SVN漏洞利用工具
0×03代码信息

程序员有时会将自己开发的代码放到互联网托管平台,来方便同事或者伙伴使用,这一便利之举也带来了一定的安全隐患,有心人士也可以看到代码。除了常用的github之外,当然还有其他的类似的代码托管平台,以后再信息收集的时候,就不要只盯着github 了。

  1. http://gitee,开源中国出品的代码托管、协作开发平台,灵活便捷地支撑个人、团队、企业的各类开发需求。

2、gitcafe.com, 是国内做的与github最相似代码托管网站。

3、code.csdn.net推出的类似github的代码托管服务。
0×04邮箱信息

收集邮箱信息主要有两个作用:1.通过发现目标系统账号的命名规律,可以用来后期登入其他子系统。2.爆破登入邮箱用。

通常邮箱的账号有如下几种生成规律: 比如某公司有员工名叫做“张小三”,它的邮箱可能如下:

[email protected]     [email protected]        [email protected]

当我们收集几个邮箱之后,便会大致猜出对方邮箱的命名规律。除了员工的邮箱之外,通过公司会有一些共有的邮箱,比如人力的邮箱、客服的邮箱,[email protected]/[email protected],这种邮箱有时会存在弱口令,在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱:
手工的方式:

1.可以到百度等搜索引擎上搜索邮箱信息

2.github等第三方托管平台

3.社工库

工具方式:

在邮箱收集领域不得不提一个经典的工具,The Harvester,The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要运行该工具。

使用方式很简单:

./theHarvester.py -d 域名 -1 1000 -b all

6.png
https://mp.weixin.qq.com/s/juGoL1QlirhxwCjDZD3nfg
aerfa 我的安全视界观 2017-12-02

   生活的艺术,就是艺术的生活;

   挖洞的思路,就是思考着挖洞。


   各路SRC的迅速崛起,无疑给广大白帽子带来了福音与福利。展露拳脚,占据排行,赚零花钱,获得认可,节日礼物,与小姐姐聊天.......可谓干劲十足,即使拖着疲倦的身躯回到家,也想打开电脑、关灯、戴上耳塞听着音乐,开始沉浸在自由自在的世界。


   信息收集是伊始,个人觉得也是重中之重。

0x01 常规操作–官方域名

   基本上SRC都会提供相关域名,常以 *.xx.oo 形式告诉一级域名。

0x02 常规操作–域名加工

   根据主域名,可以获取二级域名、三级域名、......主要姿势可以有:

   其中不得不称赞:

【1】DNS域传送漏洞

   如果存在,不仅能搜集子域名,还能轻松找到一枚洞,这样子的好事百试不厌。如果SRC一级域名不多,直接在kali下 dnsenum xx.oo ,如果一级域名很多,写个py调用dnseum或dig也是轻松+愉快。

【2】备案号查询

   这算是奇招吧,通过查询系统域名备案号,再反查备案号相关的域名,收获颇丰。

【3】SSL证书

   通过查询SSL证书,获取的域名存活率很高,这应该也是不错的思路。

【4】google搜索C段

   这招用的比较少,国内没条件的就用bing或百度吧(国内站点足矣),在没什么进展的时候或许会有意外惊喜。

【5】APP提取

   根据SRC的APP,进行提取(相关工具可以看看Seay的博客),此外在APP上挖洞的时候,可以发现前面招式找不到的域名。

【6】微信公众号

   企业的另一通道,渗透相关公众号,绝对会有意外收获:不少漏洞+域名,这里面有不少技巧,打算在后续写公众号分享。        

【7】其他的比较普遍,就不再介绍。

0x03 常规操作–IP网段

   有了庞大的域名,接下来就是帮助SRC梳理资产了。



    域名可以先判断存活,活着的继续进行确定IP环节。根据IP的分布,确定企业的公网网段。这其实是一项不小的工程,精准度比较难以拿捏。不过通过不断实战,肯定可以琢磨出一些 东西,所以有人称白帽子可能会比企业的运维更了解资产信息。

0x04 常规操作–指纹识别

    在这个过程中,可以加入端口扫描、敏感文件扫描之类的操作。



   具体的“神器”,我也没有自己习惯哪一款就用哪一款,没有喜欢的就自学自造,只要保证用起来不习惯或者想偷懒又或者不顺手了,就主动一点吧。如果把上一篇公众号文章“运维安全那些洞”中的漏洞部分或全部自动化,那么就可以坐收渔翁之利。

0x05 常规操作?–历史漏洞

   现在可以从wooyun镜像站点搜索相关漏洞。



   仔细分析,大胆验证,发散思维,对企业的运维、开发习惯了解绝对是有很大的帮助。可以把漏洞保存下来,进行统计,甚至炫一点可以做成词云展示给自己看,看着看着或者就知道会有什么漏洞。

0x06 常规操作?–敏感信息

   之前在归纳梳理漏洞的时候,稍微根据自己的习惯总结了信息泄露类,涉及的很不全,这里想偷懒一下贴出之前的图:

   最想强调的是github信息泄露了,直接去github上搜索,收获往往是大于付出。可能有人不自信认为没能力去SRC挖洞,可是肯定不敢说不会上网不会搜索。github相关的故事太多,但是给人引出的信息泄露远远不仅在这里:github.com、rubygems.org...

pan.baidu.com…

QQ群备注或介绍….甚至混入企业qq工作群…

   信息搜集是一门深不可测的艺术,

   需要大家的智慧一起探讨,如果有任何思路请发消息微公众号

你可能感兴趣的:(信息搜集)