|
原创:Qftm 合天智汇
"仅有不奋斗的黑客,无攻不破的系统"。
这篇文案《信息收集-旅行记》是笔者几年的经验总结,在SRC漏洞挖掘中,信息收集占很大一部分,能收集到别人收集不到的资产,就能挖到别人挖不到的漏洞。
收集域名信息
晓得目的域名之后,咱们要做的第1件事情便是获取域名的注册信息,包含该域名的DNS服务器信息和注册人的联系信息等。
Whois 查找
Whois 简单来讲,便是一个用来查找域名是不是已然被注册,以及注册域名的仔细信息的数据库(如域名所有人、域名注册商、域名注册日期和过期日期、DNS等)。经过域名Whois服务器查找,能够查找域名归属者联系方式,以及注册和到期时间。 Kali下whois查找 https://www.kali.org/downloads/
域名Whois查找 - 站长之家 http://whois.chinaz.com/
Whois 爱站 http://whois.aizhan.com/ip138 https://site.ip138.com/Whois Lookup https://www.whois.net/ICANN Lookup https://lookup.icann.org/域名信息查找 - 腾讯云https://whois.cloud.tencent.com/domain?domain=nicolasbouliane http://nicolasbouliane.com/utils/whois/?url=http://baidu.com新网 whois信息查找 http://whois.xinnet.com/IP WHOIS查找 - 站长工具 http://tool.chinaz.com/ipwhois/
Whois网络注册信息探测
:
http://www.hetianlab.com/expc.do?ec= 66a18063-8287-4b7c-9dfd-97faf52282f1(经过本实验的学习,认识Whois的概念,把握Whois网络注册信息探测的目的和技术办法。)复制链接做实验。
备案信息查找
国内网站注册需要向国家相关分部申请备案,防止网站从事违法活动,而国外网站不需要备案2333。 ICP备案查找网 http://www.beianbeian.com/
ICP备案查找 - 站长工具 http://icp.chinaz.com/
seo综合查找 - 爱站 https://www.aizhan.com/seo/批量查找 - 站长工具 http://icp.chinaz.com/searchs
工业和信息化部ICP/IP/域名信息备案管理 http://www.beian.miit.gov.cn/publish/query/indexFirst.action
信用信息查找
国家企业信用信息公示系统 http://www.gsxt.gov.cn/index.html
全国企业信息查找 http://company.xizhi.com/
个人信用查找搜索-企业信息查找搜索-统一社会信用代码查找-信用中国 https://www.creditchina.gov.cn/
IP反查站点的站
在线网站
Dnslytics
Dnslytics位置:https://dnslytics.com/
利用Dnslytics反查IP能够得到如下信息 IP information
Network information
Hosting information
SPAM database lookup
Open TCP/UDP ports
Blocklist lookup
Whois information
Geo information
Country information
Update information
利用Dnslytics反查域名能够得到如下信息 Domain and Ranking InformationHosting
Information{ A/ AAAA Record NS Record MX Record SPF Record}Web InformationWhois Information浏览器插件
经过Google、FireFox等插件的运用,收集域名信息
myip.ms
浏览器插件的运用:
http://www.hetianlab.com/expc.do?ec= ECID9d6c0ca797abec2017042513322900001(学习平常浏览器插件的运用。)
收集关联应用信息
天眼查 https://www.tianyancha.com/
企查查 https://www.qichacha.com/
微X公众号&博客
天眼查
按照前面获取的企业名叫作能够获取目的企业的微X公众号、博客、备案站点、软件著作权等信息。
天眼查-商场安全工具 https://www.tianyancha.com/
微X公众号
博客
APP
七麦数据
https://www.qimai.cn/
经过当前APP查找同研发商应用,得到目的所有APP应用
AppStore
https://apps.apple.com/
通过当前APP查找同研发商应用,得到目的所有APP应用
收集子域名信息
子域名亦便是二级域名,指的是顶级域名下的域名。假设咱们的目的网络规模比很强,直接从主域入手显然是很不睬智的,由于针对这种规模的目的,通常其主域都是重点防护区域,因此不如先进入目的的某个子域,而后再想办法迂回接近真正的目的,这无疑是个比较好的选取。那样问题来了,怎么样才可尽可能多地搜集目的的高价值子域呢?常用的办法有以下这几种。
在线平台
第三方平台查找
重点是有些第三方网站和有些博主供给的服务 ip138 https://site.ip138.com/
站长工具 http://tool.chinaz.com/subdomain/?domain=
hackertarget https://hackertarget.com/find-dns-host-records/
phpinfo https://phpinfo.me/domain/
t1h2ua https://www.t1h2ua.cn/tools/
dnsdumpster https://dnsdumpster.com/
chinacycc https://d.chinacycc.com/
zcjun http://z.zcjun.com/
权重综合查找
爱站 https://www.aizhan.com/seo/
站长工具 http://rank.chinaz.com/all/
全国政府网站基本数据库
http://114.55.181.28/databaseInfo/index
IP反查绑定域名网站
IP相关域名,大部分网站一个IP多个域名 http://s.tool.chinaz.com/same?shttp://dns.aizhan.com/
资产搜索引擎
google、shodan、FOFA、zoomeye
Google语法查找
搜索子域名 "site:xxxxx"
FOFA语法查找
https://fofa.so/
搜索子域名 "domain:xxxxx" domain="baidu.com"
工具枚举
常用子域名工具如下(Github上都可搜到) OneForAllLayer
Sublist3r
subDomainsBrute
K8
wydomain
dnsmaper
dnsbrute
Findomain
fierce等个人举荐:OneForAll、Layer、Sublist3r、subDomainsBrute
OneForAll
OneForAll是一款功能强大的子域收集工具,持有多个模块和接口扫描,收集子域信息很全,包含子域、子域IP、子域常用端口、子域Title、子域Banner、子域状态等。
项目位置: https://github.com/shmilylty/OneForAll
子域名收集:python3 oneforall.py --target=target.com run
Layer
Layer子域名挖掘机的运用办法比较简单,在域名对话框中直接输入域名就能够进行扫描,它的表示界面比较细致,有域名、解析IP、开放端口、Web服务器和网站状态等
subDomainsBrute
subDomainsBrute的特点是能够用小字典递归地发掘三级域名、四级域名,乃至五级域名等不易被探测到的域名。
项目位置: https://github.com/lijiejie/subDomainsBrute
子域名收集:python subDomainsbrute.py xtarget.com
Sublist3r
Sublist3r亦是一个比较常用的工具, 它能列举多种资源,如在Google、Yahoo、 Bing、 Baidu和Ask等搜索引擎中可查到的子域名,还能够列出Netcraft、VirusTotal、ThreatCrowd、 DNSdumpster、SSL Certificates、和Reverse DNS查到的子域名。
项目位置: https://github.com/aboul3la/Sublist3r
子域名收集:python sublist3r.py -d target.com -b -t 50 -p 80,443,21,22
证书透明度公开日志枚举
证书透明度(Certificate Transparency, CT)是证书授权公司(CA) 的一个项目,证书授权公司会将每一个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书一般包括域名、子域名和邮件位置, 这些亦经常作为攻击者非常期盼得到的有用信息。查询某个域名所属证书的最简单的办法便是运用搜索引|擎搜索有些公开的CT日志。
在线第三方平台查找crt.sh: https://crt.sh
censys: https://censys.io
myssl:https://myssl.comcrt:
https://crt.sh/?q=baidu.com
工具枚举查找
经过工具能够调用各个证书接口进行域名查找
常用工具 FindomainSublist3r(SSL Certificates)等Findomain
Findomain不运用子域名寻找的常规办法,而是运用证书透明度日志来查询子域,并且该办法使其工具更加快速和靠谱。该工具运用多个公共API来执行搜索 CertspotterCrt.
shVirustotalSublist3rFacebook **Spyse (CertDB) *BufferoverThreadcrowVirustotalwith apikey **项目位置: https://github.com/Edu4rdSHL/findomain
子域名收集:findomain -t target.com
运用所有API搜索子域并将数据导出到CSV文件:findomain -t target.com -a -o csv
DNS历史解析
dnsdb https://www.dnsdb.io
viewdns https://viewdns.info/
DNS域传送漏洞
日前来看"DNS域传送漏洞"已然很少了。
DNS记录归类
平常的DNS记录有以下几类: A记录 IP位置记录,记录一个域名对应的IP位置
AAAA记录 IPv6位置记录,记录一个域名对应的IPv6位置CNAME记录 别名记录,记录一个主机的别名
MX记录 电子邮件交换记录,记录一个邮件域名对应的IP位置
NS记录 域名服务器记录 ,记录该域名由哪台域名服务器解析
PTR记录 反向记录,亦即从IP位置到域名的一条记录
TXT记录 记录域名的关联文本信息DNS信息收集-dnsrecon、fierce和dnsmap:
http://www.hetianlab.com/expc.do?ec= ECID172.19.104.182016012111000300001(经过该实验认识dnsrecon、fierce、dnsmap这三个工具的运用办法,并运用该工具对DNS服务器进行信息收集整理,认识并熟练她们的常用参数道理。)复制链接做实验。
DNS注册信息
Whois查找
DNS域传送漏洞原理
DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要运用“DNS域传送”。域传送指的是备份服务器从主服务器拷贝数据,并用得到的数据更新自己数据库。
若DNS服务器配置欠妥,可能引起攻击者获取某个域的所有记录。导致全部网络的拓扑结构泄密给潜在的攻击者,包含有些安全性较低的内部主机,如测试服务器。同期,黑客能够快速的判定出某个特定zone的所有主机,收集域信息,选取攻击目的,找出未运用的IP位置,绕过基于网络的拜访掌控。
DNS域传送漏洞检测
nslookup
基本过程 1) nslookup #进入交互式shell
2) server dns.xx.yy.zz #设定查找将要运用的DNS服务器
3) ls xx.yy.zz #列出某个域中的所有域名
4) exit #退出
漏洞检验-不存在漏洞 > nslookup
Server: lkwifi.cn
Address: 192.168.68.1
*** lkwifi.cn cant find nslookup: Non-existent domain
> server ss2.bjfu.edu.cn
Default Server: ss2.bjfu.edu.cn
Address: 202.204.112.67
> ls bjfu.edu.cn
[ss2.bjfu.edu.cn
]*** Cant list domain bjfu.edu.cn: Query refusedThe DNS server refused to transfer the zone bjfu.edu.cn to your computer. If thisis incorrect, check the zone transfer security settings for bjfu.edu.cn on the DNSserver at IP address 202.204.112.67.> exit
漏洞检验-存在漏洞 > nslookup
> server dns1.xxx.edu.cn
> ls xxx.edu.cn
nmap
利用nmap漏洞检测脚本"dns-zone-transfer"进行检测 nmap --script dns-zone-transfer
--script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn--script dns-zone-transfer 暗示加载nmap漏洞检测脚本dns-zone-transfer.nse,扩展名.nse可省略 --script-args dns-zone-transfer.domain=xxx.edu.cn 向脚本传递参数,设置列出某个域中的所有域名
-p 53 设置扫描53端口
-Pn 设置经过Ping发掘主机是不是存活
dig
运用说明 dig -h
漏洞测试 dig @dns.xxx.edu.cn axfr xxx.edu.cnaxfr 是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的所有记录。
查询真实IP
倘若挖掘的目的购买了CDN服务,能够直接ping目的的域名,但得到的并非真正的目的Web服务器,只是离咱们近期的一台目的节点的CDN服务器,这就引起了咱们没法直接得到目的的真实IP段范围。
CDN简介
CDN的全叫作是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。经过在网络各处安置节点服务器所形成的在现有的互联网基本之上的一层智能虚拟网络,CDN系统能够实时地按照网络流量和各节点的连接、负载情况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户近期的服务节点上。
国内外CND
国内平常CDN 阿里云
腾讯云
百度云
网宿科技(ChinanNet Center)
蓝汛
金山云
UCloud
网易云
世纪互联
七牛云
京东云等国外平常CDN Akamai(阿卡迈)
Limelight Networks(简叫作LLNW)
AWS Cloud(亚马逊)
Google(谷歌)
Comcast(康卡斯特)判断目的是不是存在CDN
因为CDN需要代价,通常小企业很大几率不会存在CDN服务。
假如有些企业存在CDN服务,那该怎样寻找其真实IP呢,往下看,平常几种手法
Ping目的主域
一般经过ping目的主域,观察域名的解析状况,以此来判断其是不是运用了CDN
对京东和阿里还有一家电器企业进行ping测试,观察域名的解析状况,能够看到京东和阿里都采用了自家CDN,而那个电器企业无CDN服务 C:\Users\Qftm>ping www.jd.com
C:\Users\Qftm>ping www.alibaba.com
C:\Users\Qftm>ping www.dfle.com.cn
Nslookup
区别DNS域名解析
区别DNS域名解析状况对比,判断其是不是运用了CDN
区别DNS解析结果若不同样,特别有可能存在CDN服务 C:\Users\Qftm>nslookup www.dfle.com.cn 8.8.8.8
C:\Users\Qftm>nslookup www.dfle.com.cn 114.114.114.114
λ Qftm >>>: nslookup www.baidu.com 8.8.8.8
λ Qftm >>>: nslookup www.baidu.com 114.114.114.114
nslookup默认解析
若解析结果有多个,特别有可能存在CDN,相反,若解析结果有一个,可能不存在CDN(不可肯定)
全国Ping
利用全国多地区的ping服务器操作,而后对比每一个地区ping出的IP结果,查看这些IP是不是一致, 倘若都是同样的,极有可能不存在CDN。倘若IP大多不太同样或规律性很强,能够尝试查询这些IP的归属地,判断是不是存在CDN。
在线网址 Ping检测-站长工具 http://ping.chinaz.com/
17CE https://www.17ce.com/
ipip https://tools.ipip.net/newping.php (支持国内、国外)站长工具测试目的:www.jd.com
17CE
测试目的:www.baidu.com
IPIP
工具查找
这儿工具只能做为辅助,有必定误报的概率,只能做为参考
Cdnplanet
cdnplanet https://www.cdnplanet.com/tools/cdnfinder/ (查找可能比较慢)
绕过CDN查询真实IP
在确认了目的确实用了CDN以后,就需要绕过CDN寻找目的的真实IP,下面介绍有些常规的办法。
内部邮箱源
通常的邮件系统都在内部,无经过CDN的解析,经过利用目的网站的邮箱注册、找回秘码或RSS订阅等功能,查看邮件、寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就能够得到目的的真实IP。
重视:必须是目标自己的邮件服务器,第三方或公共邮件服务器是无用的。
国外请求
非常多时候国内的CDN对国外得覆盖面并不是很广,故此能够利用此特点进行探测。经过国外代理拜访就能查看真实IP了,或经过国外的DNS解析,可能就能得到真实的IP。
国际Ping
国际ping测试站点 ipiphttps://tools.ipip.net/newping.phpASM https://asm.ca.com/en/ping.php测试站点:www.yeah.net
国外DNS解析世界各地DNS服务器位置大全: http://www.ab173.com/dns/dns_world.php
测试站点:www.yeah.net
美国加利福尼亚州山景市谷歌机构DNS服务器: 8.8.4.4
分站域名&C段查找
非常多网站主站的拜访量会比很强,因此主站都是挂CDN的,然则分站可能无挂CDN,能够经过ping二级域名获取分站IP, 可能会显现分站和主站不是同一个IP但在同一个C段下面的状况,从而能判断出目的的真实IP段。 分站域名详细见上面<收集子域名信息>部分
C段查找在线查找
工具K8_C段旁注工具6.0、nmap、IISPutScanner、小米范WEB查询器 等
小米范WEB查询器: http://pan.baidu.com/s/1pLjaQKF
网络资产搜索引擎Fofa、Shodan、ZoomEye
利用这些网络空间资产搜索引擎来搜索暴露在外的端口信息
利用语法搜索C段信息
网站漏洞
经过网站的信息泄密如phpinfo泄密,github信息泄密,命令执行等漏洞获取真实ip。 有些测试文件phpinfo、test等
SSRF漏洞
服务器主动向外发起连接,找到真实IP位置
查找域名解析记录
通常网站从安排起始到运用cdn都有一个过程,周期倘若较长的话 则能够经过这类历史解析记录查找等方式获取源站ip,查看IP与域名绑定的历史记录,可能会存在运用CDN前的记录。
在线网站查找 dnsdb https://www.dnsdb.io
NETCRAFT https://sitereport.netcraft.com/?url=
viewdns https://viewdns.info
/threatbook https://x.threatbook.cn/
securitytrails https://securitytrails.com/
目的网站APP应用
倘若目的网站有自己的App,能够尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目的的真实IP。
网络空间引擎搜索
shodan、FOFA、zoomeye
声明:笔者初衷用于分享与普及网络知识,若读者因此呢作出任何害处网络安全行径后果自负,与合天智汇及原作者无关!
| 
发表于 2024-8-22 19:55:29
