title: 被动信息收集
date: 2016-04-11 08:48:52
tags: Kali第六章 被动信息收集
0x00 被动信息收集
被动信息收集指的是通过公开渠道可获得的信息,与目标系统不产生直接交互,尽量避免留下一切痕迹。
OSINT:
关于开源智能信息收集可以参看一下两篇文章:
美国军方:http://www.fas.org/irp/dodair/army/atp2-22-2.pdf
被大西洋公约组织:http://information-retireval.info/docs/NATO-OSINT.html
信息收集的过程
Passive reconnaissance(no direct interaction)->Normal interaction->Active reconnaissance->More information greater chance of detection
信息收集的内容
ip地址段,域名信息,邮件地址(判断是个人搭建的邮件信息服务器还是使用的企业级邮件服务器),文档图片数据,公司地址,公司组织架构,联系电话/传真号码,人员姓名/职务,目标系统使用的技术架构,公开的商业信息
信息用途
用信息描述目标,发现目标的物理系统,为社会工程学攻击奠定基础,以及发现一些可能的物理缺口
0x01 信息收集之-DNS
DNS域名,FQDN与IP地址,PTP,NS,A,Cname,MX
对于一个网站最想了解的或许就是域名,比如sinlang.com这是一个域名(Domain Name),www.sinlang.com则是完全限定域名(FQND:Fully Qualified Domain Name),FQND即是是该域名(sinlang.com)下的一个主机记录,主机记录也叫做A记录,当然也有可能是一个别名记录(C name)。每个域名都一个或者多个域名服务器,用来负责对该域名的解析,而域名服务器地址又是通过DNS里面的NS记录进行定义和注册的。此外每个域名或者也有自己的邮件服务器(MX记录)。而前面所有的解析记录都是将主机名解析成另外一个主机名或者IP地址,但是ptr则是一个反向解析记录的过程,即是将IP地址解析成主机名。
DNS 查询以各种不同的方式进行解析。有时,客户端也可使用从先前的查询获得的缓存信息就地应答查询。DNS 服务器可使用其自身的资源记录信息缓存来应答查询。DNS 服务器也可代表请求客户端查询或联系其他 DNS 服务器,以便完全解析该名称,并随后将应答返回至客户端。这个过程称为递归。另外,客户端自己也可尝试联系其他的 DNS 服务器来解析名称。当客户端这么做的时候,它会根据来自服务器的参考答案,使用其他的独立查询。该过程称作迭代。
0x02 DNS信息收集工具-NSLOOKUP
root@jack:~# nslookup
> www.sina.com
Server: 112.100.100.100 {本地缓存DNS服务器,就是所在地的运营商的服务器,如果不想使用本地服务商解析,可以更换任意的DNS服务器进行解析,比如:server 8.8.8.8更换为谷歌的DNS服务器进行解析!}
Address: 112.100.100.100#53
解析结果:
Non-authoritative answer:
www.sina.com canonical name = us.sina.com.cn.
us.sina.com.cn canonical name = news.sina.com.cn.
news.sina.com.cn canonical name = jupiter.sina.com.cn.
jupiter.sina.com.cn canonical name = hydra.sina.com.cn.
Name: hydra.sina.com.cn
Address: 218.30.108.188
Name: hydra.sina.com.cn
Address: 218.30.108.182
Name: hydra.sina.com.cn
Address: 218.30.108.190
Name: hydra.sina.com.cn
Address: 218.30.108.183
Name: hydra.sina.com.cn
Address: 218.30.108.181
Name: hydra.sina.com.cn
Address: 218.30.108.191
Name: hydra.sina.com.cn
可以看到www.sina.com并没有被直接解析为一个特定的IP地址,所以www.sina.com不是一个A记录,而是一个C name记录,转而被继续解析成us.sina.com.cn,一直解析知道主机记录。
查找新浪FTP服务器的IP
首先查MX记录
root@jack:~# nslookup
> set type=mx
> sina.com
查询结果:
Server: 112.100.100.100
Address: 112.100.100.100#53
Non-authoritative answer:
sina.com mail exchanger = 5 freemx1.sinamail.sina.com.cn.
sina.com mail exchanger = 10 freemx2.sinamail.sina.com.cn.
sina.com mail exchanger = 10 freemx3.sinamail.sina.com.cn.
再查询三A个记录的IP
Authoritative answers can be found from:
> set type=a
> freemx1.sinamail.sina.com.cn.
Server: 112.100.100.100
Address: 112.100.100.100#53
Non-authoritative answer:
Name: freemx1.sinamail.sina.com.cn
Address: 202.108.3.242
> freemx2.sinamail.sina.com.cn.
Server: 112.100.100.100
Address: 112.100.100.100#53
Non-authoritative answer:
Name: freemx2.sinamail.sina.com.cn
Address: 218.30.115.106
> freemx3.sinamail.sina.com.cn.
Server: 112.100.100.100
Address: 112.100.100.100#53
Non-authoritative answer:
Name: freemx3.sinamail.sina.com.cn
Address: 60.28.2.248
查询新浪的所有域名服务器
root@jack:~# nslookup
> set type=ns
> sina.com
返回结果:
Non-authoritative answer:
sina.com nameserver = ns3.sina.com.
sina.com nameserver = ns2.sina.com.cn.
sina.com nameserver = ns2.sina.com.
_sina.com nameserver = ns1.sina.com._
sina.com nameserver = ns1.sina.com.cn.
sina.com nameserver = ns3.sina.com.cn.
sina.com nameserver = ns4.sina.com.cn.
sina.com nameserver = ns4.sina.com.
Authoritative answers can be found from:
解析
解析sina.com nameserver = ns1.sina.com.对应的ip地址:
> set type=a
> ns1.sina.com
返回结果:
Server: 112.100.100.100
Address: 112.100.100.100#53
Non-authoritative answer:
Name: ns1.sina.com
Address: 114.134.80.144
以此类推我们可以将sina的所有ip地址全部解析出来!
参数set type=any
any可以解析所有的服务器记录。
> set type=any
> sina.com
返回结果:
Address: 66.102.251.33
sina.com text = "v=spf1 include:spf.sinamail.sina.com.cn -all"
sina.com
origin = ns1.sina.com.cn
mail addr = zhihao.staff.sina.com.cn
serial = 2005042601
refresh = 900
retry = 300
expire = 604800
minimum = 300
sina.com nameserver = ns2.sina.com.
sina.com nameserver = ns3.sina.com.
sina.com nameserver = ns1.sina.com.cn.
sina.com nameserver = ns2.sina.com.cn.
sina.com nameserver = ns1.sina.com.
sina.com nameserver = ns4.sina.com.cn.
sina.com nameserver = ns4.sina.com.
sina.com nameserver = ns3.sina.com.cn.
sina.com mail exchanger = 10 freemx2.sinamail.sina.com.cn.
sina.com mail exchanger = 10 freemx3.sinamail.sina.com.cn.
sina.com mail exchanger = 5 freemx1.sinamail.sina.com.cn.
我们可以看到any查询出了sina.com域名的所有记录,ns记录,mail邮件交换记录。除此以为我们可以看到有一条特殊的记录即"text",SPF记录,其作用就是反垃圾邮件的,根据方向解析,获得垃圾邮件的来源地址,对服务器得到ip进行对比,若匹配则判断为正规邮件,不匹配则为垃圾邮件!
__ 当然以上的命令可以合成一条:nslookup -q=any 163.com__