與目標系統(tǒng)不產(chǎn)生直接交互
信息收集的內(nèi)容包括:IP地址段、域名信息、郵件地址、文檔圖片數(shù)據(jù)、公司地址、公司組織架構、聯(lián)系電話/傳真號碼、人員姓名/職務、目標系統(tǒng)使用的技術架構、公開的商業(yè)信息。
- 1、DNS信息收集
域名:sina.com.cn
FQDN:www.sina.com.cn //完全限定域名
域名記錄:
A記錄
CNname
NS:指定哪臺服務器負責解析域名
MX:郵件服務器
Ptr:反向解析 ip--->dns
#nslookup
>set type=a/ns/mx或使用set q=a/ns/mx
>域名
>server 8.8.8.8 //將其改為谷歌的域名解析,返回的結果會更全面
>set q=any
>sina.com
其spf用于反垃圾郵件,反向解析后判斷
或合并命令#nslookup –type=ns example.com 8.8.8.8
- 2、DIG
#dig sina.com any @8.8.8.8
#dig +noall +answer sina.com //只顯示對應的A記錄信息
#dig –x IP地址 //反向查詢
#dig +noall +answer txt chaos VERSION.BIND @ ns3.dnsv4.com //查看ns3.dnsv4.com的bind版本信息,類chaos中的txt類型
#dig +trace www.sina.com //迭代DNS追蹤
#dig sina.com //遞歸DNS追蹤
比較抓包結果(迭代查詢包較多,沒有截圖),可以發(fā)現(xiàn)遞歸只發(fā)送個本地DNS,然后本地DNS直接返回,而迭代則需要多次發(fā)送給被動DNS,然后本地DNS返回.域/.com域/.sina域的DNS服務器
- 3、DNS區(qū)域傳輸
獲取目標DNS服務器的所有記錄,區(qū)域傳輸用于同步,由于錯誤配置,則可以拿到主機記錄。
#dig sina.com ns //找到sina的ns服務器
#dig @ns2.sina.com sina.com axfr //
通過抓包,DNS在查詢請求記錄的時候使用的是UDP,而在此次進行區(qū)域傳輸時,使用的是TCP。
#host –T –l sina.com 8.8.8.8
- 4、DNS字典爆破
使用dkpg命令查看與fierce相關的文件
fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txt
#dnsdict6 -d4 –t 16 –x sina.com //d4表示顯示IPv4和v6地址,t表示制定線程數(shù),-x表示字典大小
#dnsmap sina.com –w dns.txt
#dnsenum –f dns.txt –dnsserver 8.8.8.8 sina.com –o sina.xml
#dnsrecon –d sina.com --lifetime 10 –t brt – D dns.txt //lifttime指超時時間
#dnsrecon –t std –d sina.com //std指標準查詢
- 5、DNS注冊信息
#whois sina.com
#whois –h whois.apnic.net 192.0.43.10 //apnic負責分配IP及域名
- 6、搜索引擎:SHODAN
搜索可以查到的信息包括:公司新聞動態(tài)、重要雇員信息、機密文檔/網(wǎng)絡拓撲/用戶名密碼/目標系統(tǒng)軟硬件技術架構
SHODAN:負責搜索互聯(lián)網(wǎng)的設備,通過設備的banner信息搜索
網(wǎng)址:https:ww.shodan.io/
常見篩選指令filter:net(192.168.1.20)、city(CN、US)、port、os、hostname、server
搜索:
(1)net:1.1.1.0/24 country:CN HTTP/1.1 200 hostname:baidu.com
(2)200 OK cisco country:JP
(3)user: admin pass: password
(4)linux upnp avtech
訪問https://www.shodan.io/explore 可以通過此方式打開常用的搜索方法
- 7、搜索引擎:GOOGLE
(1)搜索: +充值-支付 //只搜索充值但不含有支付的頁面
(2)搜索:北京 intitle:電子商務 intext:法人 intext:電話 //北京的電子商務公司
(3)搜索:北京 site:alibaba.com inurl:contact //阿里巴巴網(wǎng)站上的北京公司聯(lián)系人,inurl指在URL里面包含聯(lián)系人(contact)
(4)搜索:SOX filetype:pdf //塞班司法案的PDF文檔
(5)搜索:payment site:fr//法國相關支付頁面
(6)inurl:”level/15/exec/-/show” //顯示cisco級別為15,并且可執(zhí)行命令
(7)intitle:”netbotz appliance” “ok”//顯示特定攝像頭(施耐德下的APC)
(8)inurl:/admin/login.php//找后臺頁面
inurl:qq.txt
filetype:xls “username | password”
inurl:ftp”passwoed” filetype:xls site:baidu.com
inurl:Service.pwd //基于FrontPage(微軟網(wǎng)頁制作軟件)漏洞,搜索賬號
谷歌搜索指令語法大全:
http://exploit-db.com/google-dorks
- 8、搜索引擎:并發(fā)搜索
世界第四大搜索引擎(俄羅斯):http://www.yandex.com
利用工具可以大并發(fā)的去搜索信息,比如用戶信息。
下面搜索執(zhí)行域名下的郵件、主機
theharvester –d youku.com –l 300 –b google
前提:使用tor網(wǎng)絡,并確定9150端口處于linsten狀態(tài)
- 9、Maltego
選擇domain name進行transform,進行相應查詢
- 10、其他途徑
社交網(wǎng)絡、工商注冊、新聞組/論壇、招聘網(wǎng)站
http:www.archive.org/web/web.php //可以搜索網(wǎng)站之前的各種快照
- 11、個人專屬的密碼字典
按個人信息生成其專屬的密碼字典
#git clone https://github.com/Mebus/cupp.git
#python cupp.py –i //然后輸入一些相關信息,自動回生成.txt的密碼文件
- 12、METADATA(元數(shù)據(jù))
查看圖片信息
Linux:exif
exiftool 圖片路徑
Windows:foca軟件
- 13、RECON-NG
全特性的web偵查/搜索框架,基于python開發(fā),命令格式與msf一致,使用方法包括模塊/數(shù)據(jù)庫/報告
#recon-ng
默認是在default工作區(qū),可以通過創(chuàng)建工作區(qū)
# recon-ng -w sina //創(chuàng)建一個sina的工作區(qū)
#workspaces list //進入recon-ng查看工作區(qū)
> keys add shodan_api YRJ5nLpCeaBDVoHHYhFaCJ5VnPeooAE3 //將shodan的api添加(//修改了API)
> keys list //查看添加的api
>show options //全局顯示設置
>set PROXY 127.0.0.1:8087 //設置代理服務器
>show schema
(1)使用模塊進行搜索:
> use recon/domains-hosts/bing_site_web
>run
>show hosts //查看搜索的記錄
> >query select * from hosts where host like "%w%" //使用query查詢
(2)使用模塊中的暴力破解模塊查找sina.com的主機名:
使用brute_hosts,會多出一個字典,用于暴力破解,然后run 執(zhí)行
(3)通過搜索的主機名查找IP
> use recon/hosts-hosts/resolve
> set SOURCE query select host from hosts where host like '%sina.com.cn'
>run
(4)導出報告
使用report/html輸出為html格式,并指定作者、輸出路徑等信息后,執(zhí)行run
查看sina.html報告
