被动信息收集
被动:不直接与目标接触
公开渠道可获得的信息与目标系统不产生直接交互尽量避免留下一切痕迹OSINT
信息收集内容
IP地址段域名信息邮件地址文档图片数据公司地址公司组织架构联系电话/传真号码人员姓名/职务目标系统使用的技术架构公开的商业信息信息用途
用信息描述目标发现目标系统/开放服务社会工程学攻击物理缺口信息收集——DNS
域名解析为IP地址域名和FQDN(完全限定域名)的区别:(域名)
(完全限定域名)域名记录:
A(A记录)、C name(别名记录)、NS(域名服务器记录)、MX(邮件交换记录)、PTR(反向地址解析记录)
DNS信息收集——nslookup
nslookupnslookup
参数
nslookup -q=ns # q代表typenslookup -q=mx 114.114.114.114 # 指定域名服务器# q可以为a、mx、ns、ptr、any(所有记录)# 当q=ptr时 后跟IP地址
扩充:any参数查出的spf记录
DNS收集——DIG
与nslookup相似,强于nslookup
格式
dig any @8.8.8.8# @可以接指定DNS服务器(可不加)
只显示关键查询内容:
dig +noall +answer any @8.8.8.8
SOA记录:起始授权记录
反向查询
dig -x 220.181.14.157
强大之处查询DNS服务器bind版本
作用:有机会渗透DNS服务器
dig +noall +answer txt chaos VERSION.BIND @# ndspod的dns服务器
DNS追踪
dig +trace
DNS区域传输
digdig @ axfr# @后跟dns服务器
host
host -T -l # -T:使用TCP传输;-l :相当于axfr(区域传输作用)
DNS字典爆破
熟练掌握一个即可
Fierce
优点:会先尝试进行区域传输
查找他的自带字典路径:
dpkg -L fierce
发现一个/usr/share/fierce/hosts.txt文件,more一下发现是他的字典。
利用字典进行爆破:
fierce -dnsserver 8.8.8.8 -dns -wordlist /usr/share/fierce/hosts.txt
Dnsdict6
优点:速度快,字典可选择大小,命中率高
安装:
配置安装环境:
先把源改为阿里云或中科大的镜像源,不然很慢
apt-get updatapt-get upgrade -yapt-get upgrade --fix-missing -yapt-get install libpcap-dev libssl-dev libnetfilter-queue-dev -y # 安装环境
下载安装包并解压:
cd ~/Downloads # 下载到Downloads文件夹wget /lookaside/pkgs/thc-ipv6/thc-ipv6-2.7.tar.gz/2975dd54be35b68c140eb2a6b8ef5e59/thc-ipv6-2.7.tar.gztar zxvf thc-ipv6-2.7.tar.gz
注意: Kali2.0后集成dnsdict,需要单独下载。 虚拟机使用wget可能会提示证书错误,建议用物理机下载再拖进虚拟机。
安装:
cd thc-ipv6-2.7# 执行编译安装make && make install
使用方法:
dnsdict6 -d4 -t 16 -x # -t:线程数,最大32# -x:使用什么级别的字典,字典级别从小到大依次为s、m、l、x、u
导出导一个文件
dnsdict6 -d4 -t 16 -x > 1.txt
dnsenum
优点:会查找A、NS、MX等记录,会查询bind版本以及对所有查询到的ns记录进行区域传输。
先找一下它自带的字典文件:
dpkg -L dnsenum
发现了字典文件:
/usr/share/dnsenum/dns.txt
使用方法:
dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 -o sina.txt
Dnsrecon
优点:可指定超时时间,能查询A、C记录
先找一下它自带的字典文件:
dpkg -L dnsenum
发现了字典文件:
/usr/share/dnsrecon/namelist.txt
使用字典爆破:
dnsrecon -d --lifetime 10 -t brt -D /usr/share/dnsrecon/namelist.txt# -t:破解方式:暴力破解
可自己整合一个专有的大字典进行爆破
DNS注册信息
Whoiswhois whois 114.134.80.144
如果是为本公司做安全建设,建议通过服务商进行域名注册并且尽可能少填写公司信息,这些信息都可能被利用
搜索引擎
公司新闻动态重要雇员信息机密文档/网络拓扑用户名密码目标系统软硬件技术架构SHODAN
搜索联网的设备当拿到了服务器ip时可进行搜索尝试Banner:http、ftp、ssh、telnet常见filter:
net(192.168.20.1)、city、county(CN、US)、port(80、21、22、53)、OS、Hostname(主机名)、server
使用方法:
C段搜索
net: 211.144.144.0/24
指定国家
net: 211.144.144.0/24 country: CN
指定端口
country: CN city: beijing port: 22
指定操作系统
os:windows
指定主机名
hostname:
指定服务
server: Apache
指定设备
200 OK cisco county: CN
搜索特征字符串
linux upnp avtech# 某摄像头
可相互结合
用户信息
发现邮件、主机proxchains theHarvester -d -l 300 -b baidu# -d:指定搜索域# -b:指定搜索媒介:有baidu、google、bing、twitter、all等参数# -l:限制搜索结果数量
如何使用proxchains?
文件
cd /usr/share/metagoofilproxychains metagoofil -d -u -t xls,xlsx,xlsm,xlsb -l 100 -o baidu -r 30 -f -u# -t:指定文件类型如pdf,doc,xls,ppt,odp,ods,docx,xlsx,pptx等,或ALL:17,576个格式# -l:限制搜索数量# -n:限制下载数量# -o:指定输出的目录# -r:下载线程# -f:指定输出的文件# -n:限制下载文件数# -u:随机UA头(ua文件必须在当前路径)# 报错...code...需要代理稳定(使用http代理效果较好)# 爬取的文件名因为是url编码,可能无法保存,在主程序metagoofil.py中搜索第一个filename,并进行url解码:filename = urllib.parse.unquote(str(url.strip("/").split("/")[-1]))(导包:import urllib.parse)
(需要安装)
MELTAGO的基本使用 注册登录新建一个区域
拖拽DNS Name 到空白区域
双击填写域名
查询DNS名称查询MS、NS记录
(NS记录)
更多功能等待你的探索。。。其它途径
社交网络
工商注册
新闻组/论坛
招聘网站
查看网站历史镜像(需代理)
个人专属的密码字典
按个人信息生成其专属的密码字典(社会工程学字典) 真空密码字典生成器(Windows):提取码:8r1lcupp首先安装
apt-get install cupp
查看是否安装成功
根据用户信息生成社工字典
cupp -i
不知道的信息直接回车
输入内容:
字典生成在当前目录下。
kali自带字典目录
/usr/share/wordlists/dirb目录big.txt #大的字典small.txt #小的字典catala.txt #项目配置字典common.txt #公共字典euskera.txt #数据目录字典extensions_common.txt #常用文件扩展名字典indexes.txt #首页字典mutations_common.txt #备份扩展名spanish.txt #方法名或库目录others #扩展目录,默认用户名等stress #压力测试vulns #漏洞测试/dirbusterapache-user-enum-** # apache用户枚举directories.jbrofuzz # 目录枚举directory-list-1.0.txt # 目录列表大,中,小 big,medium,small/fern-wificommon.txt #公共wifi账户密码/metasploit各种典型密码
METADATA
查询Exif图片信息apt-get install exiftool -y # 安装exiftool a.jpg # 查看一张图片信息
这里我选择了查询了一张手机拍的照片。
可以看到查到很多信息。
未展示完…
如果看不懂也可执行
exiftool a.jpg > a.txt
将查询结果保存到a.txt中,再打开a.txt复制去翻译:
ExifTool版本号:11.97文件名:a.jpg目录:。文件大小:2.6 MB文件修改日期/时间::05:13 00:45:02-04:00文件访问日期/时间::05:13 00:48:16-04:00文件索引节点更改日期/时间::05:13 00:46:12-04:00文件权限:rwxrw rw-文件类型:JPEG文件类型扩展名:jpgMIME类型:图像/jpegJFIF版本:1.01Exif字节顺序:Big endian(Motorola,MM)品牌:苹果相机型号名称:iPhone 8X分辨率:72Y分辨率:72分辨率单位:英寸软件:13.4.1修改日期::05:03 21:36:03平铺宽度:512平铺长度:512曝光时间:1/7F编号:1.8曝光程序:程序AE国际标准化组织:100Exif版本:0231日期/时间原件::05:03 21:36:03创建日期::05:03 21:36:03偏移时间:+08:00原始偏移时间:+08:00数字化偏移时间:+08:00组件配置:Y、Cb、Cr-快门速度值:1/7光圈值:1.8亮度值:0.1323811246曝光补偿:0计量方式:现场闪光:关,没有开火焦距:4.0 mm主题领域:1621 1469 753 756运行时标志:有效运行时间值:51217132457208运行时间范围:100000000运行时纪元:0加速度矢量:-0.954296649-0.01446681655-0.3435807226秒以下原始时间:491亚秒数字化时间:491Flashpix版本:0100Exif图像宽度:4032Exif图像高度:3024感测方法:单芯片色域场景类型:直接拍摄曝光模式:自动白平衡:自动35mm焦距:28mm场景捕获类型:标准镜头信息:3.99000001mm f/1.8镜头品牌:苹果镜头型号:iPhone 8后置摄像头3.99mm f/1.8GPS纬度参考:北GPS经度参考:东GPS高度参考:高于海平面GPS速度参考:km/hGPS速度:0GPS Img方向参考:正北GPS Img方向:206.1360856GPS目标方位参考:正北GPS目标方位:206.1360856GPS水平定位误差:65m当前IPTC摘要:d41d8cd98f00b204e9800998ecf8427eIPTC摘要:d41d8cd98f00b204e9800998ecf8427e轮廓坐标测量机类型:苹果电脑公司。配置文件版本:4.0.0配置文件类:显示设备配置文件颜色空间数据:RGB纵断面连接空间:XYZ简介日期时间::07:07 13:22:32配置文件签名:acsp主要平台:苹果电脑公司。CMM标志:未嵌入,独立设备制造商:苹果电脑公司。设备型号:设备属性:反射、光泽、正片、颜色渲染意图:感知连接空间光源:0.9642 1 0.82491个人资料创建者:苹果电脑公司。配置文件ID:ca1a9582257f104d389913d5d1ea1582外形描述:显示P3资料版权:版权所有苹果公司,媒体白点:0.95045 1 1.08905红色基质柱:0.51512 0.2412-0.00105绿色基质柱:0.29198 0.69225 0.04189蓝基质柱:0.1571 0.06657 0.78407红色色调再现曲线:(二进制数据32字节,使用-b选项提取)色彩适应:1.04788 0.02292-0.0502 0.02959 0.99048-0.01706-0.00923 0.01508 0.75168蓝调再现曲线:(二进制数据32字节,使用-b选项提取)绿调再现曲线:(二进制数据32字节,使用-b选项提取)图像宽度:4032图像高度:3024编码过程:基线DCT,哈夫曼编码每个样本位数:8颜色组件:3Y Cb-Cr亚采样:YCbCr4:2:0(2 2)图像高度:3024编码过程:基线DCT,哈夫曼编码每个样本位数:8颜色组件:3Y Cb-Cr亚采样:YCbCr4:2:0(2 2)开机后运行时间:5天22:16:11孔径:1.8图像大小:4032x3024百万像素:12235 mm当量的比例因数:7.0快门速度:1/7创建日期::05:03 21:36:03.491+08:00日期/时间原件::05:03 21:36:03.491+08:00修改日期::05:03 21:36:03+08:00GPS高度:海拔527米GPS纬度:30度39'49.67“NGPS经度:东经104度5'2.34“混淆圈:0.004 mm视野:65.5度焦距:4.0毫米(相当于35毫米:28.0毫米)GPS位置:北纬30度39'49.67“,东经104度5'2.34”超焦距:2.07m光值:4.5
RECON-NG
全特性的web侦查框架(基于python开发)
启动方式:
recon-ng
创建一个工作区启动(sina):
recon-ng -w sina
首先更新模块列表并下载所有模块(需代理,代理设置见options)
marketplace refreshmarketplace install all
帮助:
help # 查看可用命令
退出:
exit
workspaces:
workspaces list # 工作区列表workspaces create baidu # 创建名为baidu的工作区workspaces delete baidu # 删除名为baidu的工作区workspaces select sina # 切换工作区
keys相关命令:接入搜索引擎API时需要key。
(这里以添加shodankey为例)
首先进入shodan官网,登录账户,点击我的账户,复制API key
keys add shodan RItJb24tBi2QFKARO3rU3Ti061fUkEuh # 添加APIkeys list # 查看已添加API的列表keys remove shodan # 删除
options:
options list # 选项列表# 选项设置options set PROXY 127.0.0.1:8888 # 设置本地8888端口代理,此处用的http代理options set USER-AGENT Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36# 设置USER-AGENToptions unset USER-AGENT # 清空设置
如何获得浏览器USER-AGENT?
首先访问百度,右键
刷新页面,点击网络,点击name为的一项,下翻。
实战:子域名查询
modules search google # 在模块里搜索谷歌
# 载入模块modules load recon/domains-hosts/google_site_weboptions list # 查看配置options set SOURCE # 设置目标域run # 开始搜索(由于代理原因可能不成功,确保代理没问题可再次执行命令)
同理可使用bing搜索:
back # 返回上一级modules search bing# 复制recon/domains-hosts/bing_domain_webmodules load recon/domains-hosts/bing_domain_web # 载入模块options set SOURCE # 设置搜索目标域名options list # 查看设否设置成功run # 开始搜索
查询搜索结果
show hosts
也可以通过数据库查询语句查询
db query select * from hosts
查询指定内容
# 查询包含的域名db query select * from hosts where host like '%%'
爆破域名
modules search brute # 首先搜索模块# 发现域名爆模块recon/domains-hosts/brute_hostsmodules load recon/domains-hosts/brute_hosts # 载入模块options options list # 查看是否设置正确run # 开始爆破
实战:域名解析
将发现的域名解析为IP地址
modules search resolve # 搜索模块modules load recon/hosts-hosts/resolve # 载入模块# 解析指定域名# options set SOURCE query select host from hosts where host like '%%'# 解析包含的域名run # 即会将所有hosts里的域名解析为IP
实战:生成报告
搜索报告模块
modules search report
显示以下结果
[*] Searching installed modules for 'report'...Reporting---------reporting/csvreporting/htmlreporting/jsonreporting/listreporting/proxifierreporting/pushpinreporting/xlsxreporting/xml
选择你想生成的报告形式,载入模块
modules load html
options list # 查看选项options set CREATOR ZhangSan # 设置创建人options set CUSTOMER # 设置客户名options set FILENAME /root/Desktop/.html # 生成报告的路径及文件名run # 生成报告
更多功能期待你的发现…