信息收集

信息收集

1.1 第一步 域名探测

当我们要对一个站点进行渗透测试之前，一般渗透测试人员常见方法是直接通漏洞扫描器来对指定目标站点进行渗透，当指定的目标站点无漏洞情况，渗透测试员就需要进行信息收集工作来完成后期的渗透。

目前一般域名漏洞扫描工具有AWVS、APPSCAN、Netspark、WebInspect、Nmap、Nessus、天镜、明鉴、WVSS、RSAS等，后面会分开给大家讲解。

1.2 第二步 子域名探测

根据主域名，可以获取二级域名、三级域名、......主要姿势可以有：

【****1****】****DNS****域传送漏洞（不得不称赞）

   如果存在，不仅能搜集子域名，还能轻松找到一枚洞，这样子的好事百试不厌。如果SRC一级域名不多，直接在kali下 dnsenum oldboyedu.com 。

工具说明及用法可参考如下：

dnsenum的目的是尽可能收集一个域的信息，它能够通过谷歌或者字典文件猜测可能存在的域名，以及对一个网段进行反向查询。它可以查询网站的主机地址信息、域名服务器、mx record（函件交换记录），在域名服务器上执行axfr请求，通过谷歌脚本得到扩展域名信息（google hacking），提取自域名并查询，计算C类地址并执行whois查询，执行反向查询，把地址段写入文件。

参数说明：

-h 查看工具使用帮助

--dnsserver 指定域名服务器

--enum 快捷选项，相当于"--threads 5 -s 15 -w"

--noreverse 跳过反向查询操作

--nocolor 无彩色输出

--private 显示并在"domain_ips.txt"文件结尾保存私有的ips

--subfile 写入所有有效的子域名到指定文件

-t, --timeout tcp或者udp的连接超时时间，默认为10s（时间单位：秒）

--threads 查询线程数

-v, --verbose 显示所有的进度和错误消息

-o ,--output 输出选项，将输出信息保存到指定文件

-e, --exclude 反向查询选项，从反向查询结果中排除与正则表达式相符的PTR记录，在排查无效主机上非常有用

-w, --whois 在一个C段网络地址范围提供whois查询

-f dns.txt 指定字典文件，可以换成 dns-big.txt 也可以自定义字典

相关解析记录说明可参考：https://wenku.baidu.com/view/d2d597b669dc5022aaea0030.html

【****2****】备案号查询

   这算是奇招吧，通过查询系统域名备案号，再反查备案号相关的域名，收获颇丰。

网站备案查询地址：http://www.beianbeian.com、http://icp.bugscaner.com/

【****3****】****SSL****证书

   通过查询SSL证书，获取的域名存活率很高，这应该也是不错的思路。

查询网址: https://myssl.com/ssl.html 和https://www.chinassl.net/ssltools/ssl-checker.html

【****4****】****google****搜索****C****段

   这招用的比较少，国内没条件的就用bing或百度吧（国内站点足矣），在没什么进展的时候或许会有意外惊喜。

方法一：参考GoogleHack用法

方法二：用k8工具，前提条件记得注册bing接口

什么是C****段：比如在：127.127.127.4 这个IP上面有一个网站 127.4 这个服务器上面有网站我们可以想想..他是一个非常大的站几乎没什么漏洞！但是在他同C段 127.127.127.1~127.127.127.255 这 1~255 上面也有服务器而且也有网站并且存在漏洞,那么我们就可以来渗透 1~255任何一个站 之后提权来嗅探得到127.4 这台服务器的密码 甚至3389连接的密码后台登录的密码 如果运气好会得到很多的密码…

【****5****】****APP****提取

   反编译APP进行提取相关IP地址，此外在APP上挖洞的时候，可以发现前面招式找不到的域名，在APP里面有大量的接口IP和内网 IP，同时可获取不少安全漏洞。

【****6****】微信公众号

   企业的另一通道，渗透相关公众号，绝对会有意外收获：不少漏洞+域名，有关Burp如何抓取微信公众号数据可参考 Burp APP抓包。

【****7****】字典枚举法

   字典枚举法是一种传统查找子域名的技术，这类工具有 DNSReconcile、Layer子域名挖掘机、DirBuster等。

【****8****】公开****DNS****源

Rapid7下Sonar项目发布的： https://scans.io/study/sonar.fdns_v2。

DNS历史解析： https://dnsdb.io/zh-cn/

【****9****】威胁情报查询

华为安全情报 https://isecurity.huawei.com

1.3 第三步 敏感信息收集

【****1****】****Web****源代码泄露

通过工具暴破相关Web源代码泄露，流程如下：

最想强调的是github信息泄露了，直接去github上搜索，收获往往是大于付出。可能有人不自信认为没能力去SRC挖洞，可是肯定不敢说不会上网不会搜索。github相关的故事太多，但是给人引出的信息泄露远远不仅在这里：github.com、rubygems.org、pan.baidu.com...

QQ群备注或介绍等，甚至混入企业qq工作群...

然后说再多，也没这个好用：https://sec.xiaomi.com/article/37 全自动监控github

信息泄露收集可能会用到如下地址：

网盘搜索：http://www.pansou.com/或https://www.lingfengyun.com/ 网盘密码破解可参考：https://www.52pojie.cn/thread-763130-1-1.html

社工信息泄露：https://www.instantcheckmate.com/、http://www.uneihan.com/

源码搜索：https://searchcode.com/、https://gitee.com/、gitcafe.com、code.csdn.net

钟馗之眼： https://www.zoomeye.org/

天眼查 https://www.tianyancha.com/

其它：威胁情报：微步在线、 ti.360.cn、 Virustotal

【2】邮箱信息收集

收集邮箱信息主要有两个作用：1.通过发现目标系统账号的命名规律，可以用来后期登入其他子系统。2.爆破登入邮箱用。

通常邮箱的账号有如下几种生成规律： 比如某公司有员工名叫做“张小三”，它的邮箱可能如下：

[email protected] [email protected] [email protected]

当我们收集几个邮箱之后，便会大致猜出对方邮箱的命名规律。除了员工的邮箱之外，通过公司会有一些共有的邮箱，比如人力的邮箱、客服的邮箱，[email protected]/[email protected],这种邮箱有时会存在弱口令，在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱：

手工的方式：

1.可以到百度等搜索引擎上搜索邮箱信息

2.github等第三方托管平台

3.社工库

工具方式：

在邮箱收集领域不得不提一个经典的工具，The Harvester,The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要翻墙运行该工具。工具下载地址为：https://github.com/laramies/theHarvester

• 注：****python -m pip install -r requirements.txt 导入相关配置，****python3.6****版本

使用方式很简单：

   ./theHarvester.py 

【3】历史漏洞收集

仔细分析，大胆验证，发散思维，对企业的运维、开发习惯了解绝对是有很大的帮助。可以把漏洞保存下来，进行统计，甚至炫一点可以做成词云展示给自己看，看着看着或者就知道会有什么漏洞。

wooyun 历史漏洞库：http://www.anquan.us/ 、http://wooyun.2xss.cc/

漏洞银行：https://www.bugbank.cn/

360补天：https://www.butian.net/

教育行业漏洞报告平台（Beta）https://src.edu-info.edu.cn/login/

【4】工具信息收集

如：7kbscan、破壳Web极速扫描器等

1.4 第四步 指纹识别、Waf、CDN识别

在这个过程中，可以加入端口扫描、敏感文件扫描之类的操作，工具可自由选择，如：

御剑WEB指纹识别系统、whatweb、Wapplyzer等工具。

1、在线识纹识别：

http://whatweb.bugscaner.com/look/

http://www.yunsee.cn/finger.html

2、Waf识别

github.com/EnableSecurity/wafw00f

3、CDN识别

https://raw.githubusercontent.com/3xp10it/mytools/master/xcdn.py

1.5 第五步 资产梳理

有了庞大的域名，接下来就是帮助SRC梳理资产了。域名可以先判断存活，活着的继续进行确定IP环节。根据IP的分布，确定企业的公网网段。这其实是一项不小的工程，精准度比较难以拿捏。不过通过不断实战，肯定可以琢磨出一些东西，所以有人称白帽子可能会比企业的运维更了解资产信息。资产梳理过程中可能需要对相关资产漏洞进行查询、利用、发布等，可能会用到已下相关链接地址：

SRC****众测平台

国际漏洞提交平台 https://www.hackerone.com/

BugX区块链漏洞平台 http://www.bugx.org/

Gsrc瓜子src https://security.guazi.com/

区块链安全响应中心 https://dvpnet.io/

CNVD国家信息安全漏洞平台 http://www.cnvd.org.cn/

漏洞银行：https://www.bugbank.cn/

360补天：https://www.butian.net/

教育行业漏洞报告平台（Beta）https://src.edu-info.edu.cn/login/

国内平台

知道创宇Seebug漏洞平台 https://www.seebug.org/

工控系统行业漏洞平台 http://ivd.winicssec.com/

打造中文最大exploit库 http://www.expku.com/

为数不多的漏洞管理插件收集平台 http://www.bugscan.net/source/template/vulns/

一家管理漏洞收集的平台 http://www.0daybank.org/

国外平台

国际漏洞提交平台 https://www.hackerone.com/

xss poc http://xssor.io/

oday漏洞库 https://www.0day.today/

路由器漏洞库 http://routerpwn.com/

cve漏洞平台 http://cve.mitre.org/

威胁情报

安全数据交流平台 https://www.secsilo.com/

华为安全情报 https://isecurity.huawei.com/sec/web/intelligencePortal.do

威胁情报共享平台 https://www.threatcrowd.org/

被黑站点统计 http://www.hacked.com.cn/

社工库

微信伪造 http://www.jietuyun.com/

任意邮箱发送 http://tool.chacuo.net/mailanonymous和https://emkei.cz/

临时邮箱 http://www.yopmail.com/

邮箱池群 http://veryvp.com/

社工库 http://www.uneihan.com/