红队技术之信息收集_0x01阅读须知红队01的技术

作者：h0we777

0x00 前言

​ 信息收集是信息得以利用的第一步，也是关键的一步。信息收集工作的好坏，直接关系到整个渗透测试工作的质量。

0x01 知识点及流程

1.1 什么是信息收集

​ 信息收集也称踩点，信息收集毋庸置疑就是尽可能的收集目标的信息，包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息收集，这些看似微乎其微的信息，对于渗透测试而言就关乎到成功与否了。

1.2 信息收集的重要性

​ 信息收集是渗透测试的最重要的阶段，占据整个渗透测试的60%，可见信息收集的重要性。根据收集的有用信息，可以大大提高渗透测试的成功率。

1.3 信息收集的分类

• 主动式信息收集(可获取到的信息较多，但易被目标发现)
• 通过直接发起与被测目标网络之间的互动来获取相关信息，如通过Nmap扫描目标系统。
• 被动式信息收集(收集到的信息较少，但不易被发现)
• 通过第三方服务来获取目标网络相关信息，如通过搜索引擎方式来收集信息。

1.4 收集什么信息

whois信息（微步）
网站架构
dns信息（通过查询dns我们可以检测是否存在dns域传送漏洞）
子域名搜集
敏感目录及敏感信息、源码泄露（搜索引擎+工具）
脆弱系统（网络空间）
旁站查询
C端查询
指纹信息
端口服务
备案信息
真实ip
探测waf
社工（朋友圈、微博、qq空间、求职、交易等社交平台）
企业信息（天眼查、企业信用信息公示系统、工业和信息化部ICP/IP地址/域名信息备案管理系统）
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

1.5 信息收集的流程

• 域名方面：whois、子域名、备案信息；
• 服务器方面：DNS信息、端口服务、真实IP；
• 网站程序(web层)方面：网站架构、敏感目录及敏感信息、源码泄漏(搜索引擎+工具)、脆弱系统(网络空间)、旁站查询、C端查询、指纹信息、探测waf；
• 企业方面：天眼查、企业信用信息公示系统。

1.6 whois信息和whois反查

​ whois是用来查询域名的IP以及所有者等信息的传输协议。 whois信息可以获取关键注册人的信息，包括注册商、联系人、联系邮箱、联系电话、创建时间等,可以进行邮箱反查域名，爆破邮箱，社工，域名劫持等等。

• 查询方式

http://whois.chinaz.com/
微步
https://who.is/
Linux whois命令
其他工具
1
2
3
4
5

1.7 子域名收集

​ 子域名收集可以发现更多目标，以增加渗透测试成功的可能性，探测到更多隐藏或遗忘的应用服务，这些应用往往可导致一些严重漏洞。当一个主站坚不可摧时，我们可以尝试从分站入手。

• 查询方式

layer子域名挖掘机 ：https://www.webshell.cc/6384.html
https://phpinfo.me/domain/
subDomainsBrute ：https://github.com/lijiejie/subDomainsBrute
搜索引擎语法(site:xxx.com)
1
2
3
4

1.8 备案信息

​ 备案信息分为两种，一种是IPC备案信息查询，一种是公安部备案信息查询。如果是国外的服务器是不需要备案的，因此可以忽略此步骤，国内的服务器是需要备案的，因此可以尝试获取信息。

• 查询方式

ICP备案查询  ： https://www.beian88.com/
公安部备案查询  ： http://www.beian.gov.cn/portal/recordQuery
ICP备案系统  ： https://beian.miit.gov.cn/#/Integrated/index
1
2
3

1.9 DNS信息收集

​ 通过查询DNS信息，我们可能可以发现网站的真实ip地址，也可以尝试测试是否存在DNS域传送漏洞。

• 查询方式

Kali（host、big命令）
windows（nslookup命令）
在线工具
1
2
3

1.10 探测端口服务

• 查询方式

nmap
1

1.11 获取网站真实IP

​ 现在大多数的网站都开启了CDN加速，导致获取到的IP地址不一定是真实的IP地址。

​ CDN的全称是Content Delivery Network，即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度

1.11.1 思路

• 二级域名法：一般网站不会所有的二级域名放CDN，因此我们可以利用这点来获取网站的真实ip。
• 多地ping法：由CDN的原理，不同的地方去Ping服务器，如果IP不一样，则目标网站肯定使用了CDN。
• nslookup法：找国外的比较偏僻的DNS解析服务器进行DNS查询，因为大部分CDN提供商只针对国内市场，而对国外市场几乎是不做CDN，所以有很大的几率会直接解析到真实IP 。
• 查看邮件法： 通过查看邮件原文来确定ip地址，CDN总不会发送邮件吧。
• RSS订阅法： RSS原理于邮件法差不多。
• 查看历史解析记录法： 查找域名历史解析记录，域名在上CDN之前用的IP，很有可能就是CDN的真实源IP地址。
• 利用网站漏洞（XSS、命令执行、SSRF、php探针、phpinfo页面等） 可以通过一些页面和漏洞获取到服务器ip地址也是可能的。

1.12 网站架构

• 操作系统查询方式

Nmap 
wappalyzer插件 
云悉
1
2
3

• 中间件信息

wappalyzer插件
云悉
1
2

• 数据库

wappalyzer
云悉
1
2

• 编程语言

wappalyzer
云悉
1
2

1.13 敏感目录及敏感信息、源码泄漏(搜索引擎+工具)

• 途径方法

御剑 
搜索引擎 
BBscan 
GSIL 
社交平台（QQ群、文库、求职网）
1
2
3
4
5

1.14 脆弱系统(网络空间)

​ 网络空间搜索引擎的作用就是将互联网上公开的网络资产收集和整理，以此方便人们进行查阅和利用。我在网络空间可发现了不少企业的脆弱系统，未授权访问、SQL注入、弱口令等等都是存在的。

• 网络空间搜索引擎

Shodan 
FOFA 
Zoomeye
1
2
3

1.15 旁站查询

​ 旁站是和目标网站在同一台服务器上的其它的网站。

• 查询方式

百度、谷歌等
1

1.16 C端查询

​ C端是和目标服务器IP处在同一个C段的其他服务器。

• 查询方式

nmap
1

1.17 指纹信息

1.17.1 指纹信息的重要性

​ 通过设备目标网站所使用的CMS信息，可以帮助我们进一步了解渗透测试环境，可以利用已知的一些CMS漏洞来进行攻击。

1.17.2 识别指纹方式

云悉 
wappalyzer插件 
whatweb工具
1
2
3

1.17.3 指纹信息

1、指定路径下指定名称的js文件或代码。
2、指定路径下指定名称的css文件或代码。
3、<title>中的内容，有些程序标题中会带有程序标识
4、meta标记中带程序标识<meta name="description"/><meta name="keywords"/><meta name="generator"/><meta name="author"/><meta name="copyright"/>中带程序标识。
5、display:none中的版权信息。
6、页面底部版权信息，关键字© Powered by等。
7、readme.txt、License.txt、help.txt等文件。
8、指定路径下指定图片文件，如一些小的图标文件，后台登录页面中的图标文件等，一般管理员不会修改它们。
9、注释掉的html代码中<!--
10、http头的X-Powered-By中的值，有的应用程序框架会在此值输出。
11、cookie中的关键字
12、robots.txt文件中的关键字
13、404页面
14、302返回时的旗标
1
2
3
4
5
6
7
8
9
10
11
12
13
14

1.18 探测waf

​ WAF也称Web应用防护系统，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

​ 原理：WAF识别大多基于Headers头信息。通过发送恶意的内容，对比响应，寻找数据包被拦截、拒绝或者检测到的标识。

• 探测方式

手工（提交恶意数据） 
工具（WAFW00F、Nmap）
1
2

1.19 天眼查

​ 天眼查是一款“都能用的商业安全工具”，根据用户的不同需求，实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索。

• 地址：

  https://www.tianyancha.com/
  1

1.20 企业信用信息公示系统

• 地址：

http://www.gsxt.gov.cn/index.html
1

0x02 搜索引擎的搜索语法

2.1 Google搜索引擎

• Google基本语法

Index of/　　使用它可以直接进入网站首页下的所有文件和文件夹中。
intext:　　将返回所有在网页正文部分包含关键词的网页。
intitle:　　将返回所有网页标题中包含关键词的网页。
cache:　　搜索google里关于某些内容的缓存。
define:　　搜索某个词语的定义。
filetype:　　搜索指定的文件类型，如：.bak，.mdb，.inc等。
info:　　查找指定站点的一些基本信息。
inurl:　　搜索我们指定的字符是否存在于URL中。
Link:thief.one可以返回所有和thief.one做了链接的URL。
site:thief.one将返回所有和这个站有关的URL。

+　　把google可能忽略的字列如查询范围。
-　　把某个字忽略，例子：新加 -坡。
~　　同意词。
.　　单一的通配符。
*　　通配符，可代表多个字母。
“”　　精确查询。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

• 搜索不同地区网站

inurl:tw　　台湾
inurl:hk　　香港
1
2

• 利用goole可以搜索到互联网上可以直接下载到的数据库文件。语法如下：

inurl:editor/db/
inurl:eWebEditor/db/
inurl:bbs/data/
inurl:databackup/
inurl:blog/data/
inurl:\boke\data
inurl:bbs/database/
inurl:conn.asp
inc/conn.asp
Server.mapPath(“.mdb”)
allinurl:bbs data
filetype:mdb inurl:database
filetype:inc conn
inurl:data filetype:mdb
intitle:"index of" data
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

• 利用goole可以搜索一下网站的敏感信息，语法如下：

intitle:"index of" etc
intitle:"Index of" .sh_history
intitle:"Index of" .bash_history
intitle:"index of" passwd
intitle:"index of" people.lst
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" spwd
intitle:"index of" master.passwd
intitle:"index of" htpasswd
inurl:service.pwd
1
2
3
4
5
6
7
8
9
10
11

• 利用google搜索C端服务器信息

site:222.123.11.*
1

2.2 shodan搜索引擎

​ shodan网络搜索引擎偏向网络设备以及服务器端搜索。

• 搜索语法

1、hostname：搜索指定的主机或域名，例如 hostname:"google"
2、port：搜索指定的端口或服务，例如 port:"21"
3、country：搜索指定的国家，例如 country:"CN"
4、city：搜索指定的城市，例如 city:"Hefei"
5、org：搜索指定的组织或公司，例如 org:"google"
6、isp：搜索指定的ISP供应商，例如 isp:"China Telecom"
7、product：搜索指定的操作系统/软件/平台，例如 product:"Apache httpd"
8、version：搜索指定的软件版本，例如 version:"1.6.2"
9、geo：搜索指定的地理位置，例如 geo:"31.8639, 117.2808"
10、before/after：搜索指定收录时间前后的数据，格式为dd-mm-yy，例如 before:"11-11-15"
11、net：搜索指定的IP地址或子网，例如 net:"123.12.123.0/24"
1
2
3
4
5
6
7
8
9
10
11

2.3 censys搜索引擎

​ censys搜索引擎功能与shodan 类似。

• 搜索语法：

默认情况下censys支持全文检索。
23.0.0.0/8 or 8.8.8.0/24　　可以使用and or not
80.http.get.status_code: 200　　指定状态
80.http.get.status_code:[200 TO 300]200-300之间的状态码
location.country_code: DE　　国家
protocols: (“23/telnet” or “21/ftp”)　　协议
tags: scada　　标签
80.http.get.headers.server：nginx　　服务器类型版本
autonomous_system.description: University　　系统描述
正则
1
2
3
4
5
6
7
8
9
10

2.4 钟馗之眼

​ 钟馗之眼搜索引擎偏向web应用层面的搜索。

• 搜索语法

app:nginx　　组件名
ver:1.0　　版本
os:windows　　操作系统
country:”China”　　国家
city:”hangzhou”　　城市
port:80　　端口
hostname:google　　主机名
site:thief.one　　网站域名
desc:nmask　　描述
keywords:nmask’blog　　关键词
service:ftp　　服务类型
ip:8.8.8.8ip地址
cidr:8.8.8.8/24ip地址段
1
2
3
4
5
6
7
8
9
10
11
12
13

2.5 FoFa搜索引擎

​ FoFa搜索引擎偏向资产搜索。

• 搜索语法

title=”abc” 从标题中搜索abc。例：标题中有北京的网站。
header=”abc” 从http头中搜索abc。例：jboss服务器。
body=”abc” 从html正文中搜索abc。例：正文包含Hacked by。
domain=”qq.com” 搜索根域名带有qq.com的网站。例：根域名是qq.com的网站。
host=”.gov.cn” 从url中搜索.gov.cn,注意搜索要用host作为名称。
port=”443” 查找对应443端口的资产。例：查找对应443端口的资产。
ip=”1.1.1.1” 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。
protocol=”https” 搜索制定协议类型(在开启端口扫描的情况下有效)。例：查询https协议资产。
city=”Beijing” 搜索指定城市的资产。例：搜索指定城市的资产。
region=”Zhejiang” 搜索指定行政区的资产。例：搜索指定行政区的资产。
country=”CN” 搜索指定国家(编码)的资产。例：搜索指定国家(编码)的资产。
cert=”google.com” 搜索证书(https或者imaps等)中带有google.com的资产。
1
2
3
4
5
6
7
8
9
10
11
12

• 高级搜索

1、title=”powered by” && title!=discuz
2、title!=”powered by” && body=discuz
3、( body=”content=\”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” && body=”/wp-includes/“) ) && host=”gov.cn”
1
2
3

2.6 Dnsdb搜索引擎

​ dnsdb搜索引擎是一款针对dbs解析的查询平台。

• 搜索语法

DnsDB查询语法结构为条件1 条件2 条件3 ….,
每个条件以空格间隔, DnsDB 会把满足所有查询条件的结果返回给用户
1
2

• 域名查询条件

域名查询是指查询顶级私有域名所有的DNS记录, 查询语法为domain:.
例如查询google.com 的所有DNS记录: domain:google.com.
域名查询可以省略domain:.
1
2
3

• 主机查询条件

查询语法:host:
例如查询主机地址为mp3.example.com的DNS记录: host:map3.example.com
主机查询条件与域名查询查询条件的区别在于, 主机查询匹配的是DNS记录的Host值
1
2
3

• 按DNS记录类型查询

查询语法: type:.
例如只查询A记录: type:a
使用条件:必须存在domain:或者host:条件,才可以使用type:查询语法
1
2
3

• 按IP限制

查询语法: ip:
查询指定IP: ip:8.8.8.8, 该查询与直接输入8.8.8.8进行查询等效
查询指定IP范围: ip:8.8.8.8-8.8.255.255
CIDR: ip:8.8.0.0/24
IP最大范围限制65536个
1
2
3
4
5

• 条件组合查询例子

查询google.com的所有A记录: google.com type:a
1

0x03 总结

​ 信息收集是整个渗透测试过程中最重要的一环，本篇只是片面的介绍了需要收集的内容。如有错误欢迎各位师傅指正。

0x04 了解更多安全知识

欢迎关注我们的安全公众号，学习更多安全知识！！！
欢迎关注我们的安全公众号，学习更多安全知识！！！
欢迎关注我们的安全公众号，学习更多安全知识！！！