目标资产信息收集

22.06.22.03(目标资产信息收集)

• 1.1 信息收集概述及分类
  • 1.1.1 信息收集分类
    • 信息收集分类两类：
      • 主动信息收集： 需要与目标机器进行直接交互 ，缺点： 容易被目标机器记录操作信息， 比如： nmap、Scapy
      • 被动信息收集： 不需要与目标机器进行交互，主要利用第三方站点或渠道来进行信息收集， 比如： google、shadan、fofa
    • 收集内容：
      • IP地址、公司地址、邮件地址、域名信息、联系电话、公司组织、技术成员、网站技术架构、主机存活情况、端口信息、敏感信息。
• 1.2 Shodan 搜索引擎使用方法
  • 1.2.1 Shodan 介绍
    • Shodan 搜索引擎概述： Shodan 是互联网上最可怕的搜索引擎。
    • 目前热门都认为谷歌是最强劲的搜索引擎，但Shodan 才是互联网上最可怕的搜索引擎。与谷歌不同的是， Shodan 不是在网上搜索网址，而是直接进入互联网的背后的通道。 Shodan 可以说是一款“黑暗”谷歌，一刻不停的在 寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等等。还可以直接显示出目标的具体地理位置信息。
  • https://www.shodan.io
  • 1.2.2 Shodan 搜索技巧
    • 方法1： 通过 Shodan 搜索 Webcam 网络摄像头设备
      • 在搜索框中输入 “webcam” 进行搜索。这里提醒大家只是为了给大家演示搜索结果。不要随便尝试登录别人的网络设备，以免带来一些不必要的麻烦。
    • 方法2：Shodan 搜索指定端口：
      • 在搜索框中输入 port：端口号 ，就可以搜索指定端口我们可以尝试一些常用端口来进行搜索
      • 比如我们要搜索 80端口，就可以得到开放80端口的服务器。 也可以尝试搜索下其他常用的端口， 例如： 21，22，23，25，80，443，3306，3389 等
      • 扩展：
        • 21 号端口： 文件传输协议 - 控制端口
        • 22 号端口： SSH（Secure Shell）- 远程登录协议
        • 23 号端口 ： Telnet 终端仿真协议 - 未加密文本通信
        • 25 号端口： SMTP（简单邮件传输协议）
        • 80 号端口： 超文本传输协议 - 用于传输网页
        • 443 号端口： 超文本传输安全协议 - 超文本传输协议 over TLS/SSL（加密传输）
        • 445 号端口： SMB 文件共享
        • 3306 号端口： MySQL 数据库系统
        • 3389 号端口： 远程桌面协议（RDP）
      • 扩展：常见的过滤命令如下所示：
        • hostname： 搜索指定的主机或域名， 例如 hostname:“google”
        • port： 搜索指定的端口或服务， 例如 port:“21”
        • country： 搜索指定的国家， 例如 country:“CN”
        • city： 搜索指定的城市， 例如 city:“Hefei”
        • org： 搜索指定的组织或公司， 例如 org:“google”
        • isp： 搜索指定的ISP供应商， 例如 isp:“China Telecom”
        • product： 搜索指定的操作系统/软件/平台， 例如 product:“Apache httpd”
        • version： 搜索指定的软件版本， 例如 version:“1.6.2”
        • geo： 搜索指定的地理位置， 例如 geo:“31.8639,117.2808”
        • before/after： 搜索指定收录时间前后的数据，格式为 dd-mm-yy， 例如 before:“11-11-15”
        • net： 搜索指定的 IP地址或子网， 例如 net:“210.45.240.0/24”
• 1.3 Google 搜索引擎使用技巧
  • Google 是当今世界上最强大的搜索引擎，也是黑客手中的一个秘密武器。 GoogleHack 就是利用Google 搜索引擎来辅助进行渗透测试的。 Google 在 SecTools 排行榜上排名第 26 位。
  • Google 直接搜索自己想要的内容，正常情况下我们都是直接用语言进行描述问题来进行搜索，然后搜索引擎也有特定的语法可以使用，熟练掌握搜索引擎的语法可以让你的搜索效率和准确率大幅度提升， 当然我们学习这种技巧是为了寻找存在漏洞的页面，或者存在敏感信息的文件。
  • 常用的 Google 关键字
    • site： 指定域名
    • inurl： URL中存在的关键字页面
    • intext： 网页内容里面的关键字
    • Filetype： 指定文件类型
    • intitle： 网页标题中的关键字
    • link： 返回你所有的指定域名链接
    • info： 查找指定站点信息
    • cache： 搜索 Google 里的内容缓存
    • -关键字： 不希望搜索结果中出现包含该关键字的网页
  • 技巧1：搜索注入点，inurl:搜索 URL 中包含指定关键字的网页。inurl，拆开来，就是 in url，它的作用就是在 url 中搜索。
    • 例： 输入内容：inurl:php?id= 或者 inurl:asp?id=
    • 例如：site: xx.com
      • inurl:login|admin|manage|manager|admin_login|login_admin|system|boss|master
    • 例如：site: intitle:管理|后台|登录 xx.com
  • 技巧2：
    • 例如：site: xx.com
    • inurl:login|admin|manage|manager|admin_login|login_admin|system|boss|master
    • 例如：site: intitle:管理|后台|登录 xx.com
  • 技巧3：搜索敏感信息
    • intitle ：搜索标题中含有关键字的网页
      • 例如：intitle:管理|登录|后台；搜索标题含有“管理”、“登录”、“后台”的网页
  • filetype:xls 身份证
  • 技巧4：搜索敏感页面
    • 例如： 在指定站点中寻找上传页面 site:ke inurl:load qq.com
    • site: inurl:file xx.com
    • site: inurl:load xx.com
  • 技巧5：搜索重要文件
    • 例如：robots.txt 告知搜索引擎，网站中的哪些目录不希望被蜘蛛爬到。
    • site: inurl:robots.txt xx.com
    • site: inurl:txt xx.com
  • 技巧6：“kali filetype:torrent”
    • Kali 是我们要搜索的关键字
    • filetype 指定文件类型
    • torrent 文件类型名称， torrent 是种子文件，可以填写任意扩展名。
      • site: filetye:mdb xx.com
      • site: filetype:ini xx.com
  • 技巧7：“intext:user.sql intitle:index.of” 组合使用技巧
    • intext:user.sql 查询包含 user.sql 用户数据库信息的页面
    • intitle:index.of 表示网站目录是开放状态
  • 技巧8：查看同类型网站
    • 例如：related: ，将返回与 相似的页面，相似指的是网页的布局相似。 www.sxu.edu.cn www.llhc.edu.cn
  • 技巧9：查看服务器使用的程序
    • site: filetype:asp xx.com
    • site: filetype:php xx.com
    • site: filetype:jsp xx.com
    • site: filetype:aspx xx.com
    • 可以判断出网站用的是什么编程语言
  • 总结： 谷歌黑客数据库： https://www.exploit-db.com/google-hacking-database
• 1.4 Maltego 收集子域名信息
  • 1.4.1 什么是 Maltego
    • Maltego 是一种交互式数据挖掘工具，可提供有向图以进行链接分析。 该工具用于在线调查中，以查找来自 Internet 上各种来源的信息之间的关系。 Maltego 使用转换的思想来自动化查询不同的数据源的过程 。 然后，此信息显示在适合执行链接分析的基于节点的图上。
    • 当前，Maltego 客户端有三个版本，即 Maltego CE ， Maltego Classic 和 Maltego XL 。 该页面将重点介绍 Maltego 社区版（CE）。
  • Maltego CE 简介： Maltego CE 是 Maltego 的社区版本，可在快速在线注册后免费获得。Maltego CE 包含与商业版本相同的大多数功能，但是存在一些限制。 社区版本的主要限制是 该应用程序不能用于商业目的，并且可以从单个转换返回的最大实体数也受到限制。 在 Maltego 的社区版本中， 没有商业版本中可用的图形导出功能。
  • 1.4.2 子域名介绍
    • 顶级域名 是域名的最后一部分，即是域名最后一点之后的字母，例如在 这个域名中 ，顶级域是.com（或.COM）， 大小写视为相同。 http://example.com
    • 挖掘子域名的重要性
    • 某个网站的主站安全比较严格，可以找主站下的子站。
    • 1、Layer 子域名挖掘机
    • 2、子域名挖掘工具：Maltego 子域名挖掘机
    • 3、搜索引擎挖掘 如：在Google中输入 site: qq.com
    • 4、第三方网站查询： 、 http://tool.chinaz.com/subdomain https://dnsdumpster.com/
    • 5、证书透明度公开日志枚举： 、 https://crt.sh/ http://censys.io/
    • 6、其他途径： 、 https://phpinfo.me/domain http://dns.aizhan.com
  • 1.4.4 注册 Maltego CE 版
    • 注册账号网址： https://www.paterva.com/web7/community/community.php
  • 1.4.6 Layer 子域名挖掘机
    • Layer 子域名挖掘机 是一款域名查询工具，可提供网站子域名查询服务；拥有简洁的界面、简单的操作模式。 支持 服务接口、暴力搜索、同服挖掘 三种模式， 支持 打开网站、复制域名、复制IP、复制 CDN、导出域名、导出IP、导出域名＋IP＋WEB 服务器以及导出存活网站！
    • 扫描的结果主要看字典的强大， 这块大家可以自己去 csdn 或者 github 上下载相关的字典。同学们一定要去尝试的做，当然这种工具以后用的时候， 一定要去虚拟机上使用，小心捆绑后门。
• 1.5 FOFA 搜索引擎使用方法
  • 1.5.1 简介
    • FOFA 是白帽汇推出的一款网络空间搜索引擎， 它通过进行网络空间测绘，能够帮助研究人员或者企业迅速进行网络资产匹配， 例如进行 漏洞影响范围分析 、 应用分布统计 、 应用流行排名统计等 。
    • https://fofa.so/
    • 浏览下网站看看，需要注册用户，前期学习的时候先不用冲会员，到后面感觉可以了，再冲会员；
    • 官方文档： 帮助文档 https://fofa.so/help
    • 例一： 搜索页面标题中含有 “后台管理” 关键词的网站和IP
      • title=“后台管理”
    • 例二： 搜索 html 正文中含有"管理后台"关键词的网站和IP
      • body=“后台管理”
    • 例三： 搜索网站根域名带有 的网站 qq.com
      • domain=" " qq.com
    • 例四： 搜索域名中带有 “weibo” 关键词的网站
    • 例五： 搜索服务器位置在中国并开放 3389 端口
      • country-CN && port=“3389”
    • 例六： 搜索指定 IP段
      • ip =“xx.xx.xx.1/24”
    • 例七： 搜索只开放 21、22、23、80端口的IP
      • ports == “21,22,23,80”
    • 注意： 上面只是简单的介绍了用法，下面需要大家去组合练习。
    • 逻辑运算符含义： && 表示逻辑与 || 表示逻辑或