被动信息收集

被动：不直接与目标接触

• 公开渠道可获得的信息
• 与目标系统不产生直接交互
• 尽量避免留下一切痕迹
• OSINT

信息收集内容

• IP地址段
• 域名信息
• 邮件地址
• 文档图片数据
• 公司地址
• 公司组织架构
• 联系电话/传真号码
• 人员姓名/职务
• 目标系统使用的技术架构
• 公开的商业信息

信息用途

• 用信息描述目标
• 发现目标系统/开放服务
• 社会工程学攻击
• 物理缺口

信息收集——DNS

• 域名解析为IP地址

1. 域名和FQDN（完全限定域名）的区别：
   qq.com（域名）
   www.qq.com（完全限定域名）
2. 域名记录：
   A（A记录）、C name（别名记录）、NS（域名服务器记录）、MX（邮件交换记录）、PTR（反向地址解析记录）

DNS信息收集——nslookup

• nslookup

nslookup www.baidu.com

• 参数

nslookup -q=ns sina.com  # q代表type
nslookup -q=mx sina.com 114.114.114.114  # 指定域名服务器
# q可以为a、mx、ns、ptr、any（所有记录）
# 当q=ptr时 后跟IP地址

扩充：any参数查出的spf记录

DNS收集——DIG

与nslookup相似，强于nslookup

• 格式

dig sina.com any @8.8.8.8
# @可以接指定DNS服务器（可不加）

只显示关键查询内容：

dig +noall +answer sina.com any @8.8.8.8

SOA记录：起始授权记录

• 反向查询

dig -x 220.181.14.157

• 强大之处

1. 查询DNS服务器bind版本
   作用：有机会渗透DNS服务器

dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
# ndspod的dns服务器

1. DNS追踪

dig +trace www.sina.com

DNS区域传输

• dig

dig @ns3.sina.com sina.com axfr
# @后跟dns服务器

• host

host -T -l sina.com ns3.sina.com
# -T：使用TCP传输；-l ：相当于axfr（区域传输作用）

DNS字典爆破

熟练掌握一个即可

• Fierce
  优点：会先尝试进行区域传输

查找他的自带字典路径：

dpkg -L fierce

发现一个/usr/share/fierce/hosts.txt文件，more一下发现是他的字典。
利用字典进行爆破：

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txt

• Dnsdict6
  优点：速度快，字典可选择大小，命中率高

安装：

1. 配置安装环境：
   先把源改为阿里云或中科大的镜像源，不然很慢

apt-get updat
apt-get upgrade -y
apt-get upgrade --fix-missing -y
apt-get install libpcap-dev libssl-dev libnetfilter-queue-dev -y  # 安装环境

1. 下载安装包并解压：

cd ~/Downloads # 下载到Downloads文件夹
wget https://src.fedoraproject.org/lookaside/pkgs/thc-ipv6/thc-ipv6-2.7.tar.gz/2975dd54be35b68c140eb2a6b8ef5e59/thc-ipv6-2.7.tar.gz
tar zxvf thc-ipv6-2.7.tar.gz

注意： Kali2.0后集成dnsdict，需要单独下载。 虚拟机使用wget可能会提示证书错误，建议用物理机下载再拖进虚拟机。

1. 安装：

cd thc-ipv6-2.7
# 执行编译安装
make && make install

使用方法：

dnsdict6 -d4 -t 16 -x sina.com.cn
# -t：线程数，最大32
# -x：使用什么级别的字典，字典级别从小到大依次为s、m、l、x、u

导出导一个文件

dnsdict6 -d4 -t 16 -x sina.com > 1.txt

• dnsenum
  优点：会查找A、NS、MX等记录，会查询bind版本以及对所有查询到的ns记录进行区域传输。

先找一下它自带的字典文件：

dpkg -L dnsenum

发现了字典文件：
/usr/share/dnsenum/dns.txt

使用方法：

dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 sina.com -o sina.txt

• Dnsrecon
  优点：可指定超时时间，能查询A、C记录

先找一下它自带的字典文件：

dpkg -L dnsenum

发现了字典文件：
/usr/share/dnsrecon/namelist.txt

使用字典爆破：

dnsrecon -d sina.com --lifetime 10 -t brt -D /usr/share/dnsrecon/namelist.txt
# -t：破解方式：暴力破解

可自己整合一个专有的大字典进行爆破

DNS注册信息

• Whois

whois sina.com
whois 114.134.80.144

如果是为本公司做安全建设，建议通过服务商进行域名注册并且尽可能少填写公司信息，这些信息都可能被利用

搜索引擎

• 公司新闻动态
• 重要雇员信息
• 机密文档/网络拓扑
• 用户名密码
• 目标系统软硬件技术架构

SHODAN

• 搜索联网的设备
  当拿到了服务器ip时可进行搜索尝试
• Banner：http、ftp、ssh、telnet
• 常见filter：
  net（192.168.20.1）、city、county（CN、US）、port（80、21、22、53）、OS、Hostname（主机名）、server

使用方法：

C段搜索

net: 211.144.144.0/24

指定国家

net: 211.144.144.0/24 country: CN

指定端口

country: CN city: beijing port: 22

指定操作系统

os:windows

指定主机名

hostname: baidu.com

指定服务

server: Apache

指定设备

200 OK cisco county: CN

搜索特征字符串

linux upnp avtech
# 某摄像头

可相互结合

用户信息

• 发现邮件、主机

proxchains theHarvester -d sina.com -l 300 -b baidu
# -d：指定搜索域
# -b：指定搜索媒介：有baidu、google、bing、twitter、all等参数
# -l：限制搜索结果数量

如何使用proxchains？

• 文件

proxychains metagoogoofil -d sina.com -t pdf -l 200 -o text -f 1.html
# -t：指定文件类型如pdf、doc、xls、ppt、docx等
# -l：限制搜索数量
# -n：限制下载数量
# -o：指定输出的目录
# -f：指定输出的文件

(需要安装)

• MELTAGO的基本使用

1. 注册登录
2. 新建一个区域
   
3. 拖拽DNS Name 到空白区域
   
4. 双击填写域名
   
5. 查询DNS名称
6. 查询MS、NS记录
   
   
   
   （NS记录）
   
   更多功能等待你的探索。。。

• 其它途径
  社交网络
  工商注册
  新闻组/论坛
  招聘网站
  查看网站历史镜像（需代理）

个人专属的密码字典

• 按个人信息生成其专属的密码字典（社会工程学字典）

1. 真空密码字典生成器（Windows）：提取码：8r1l
2. cupp
   首先安装

apt-get install cupp

查看是否安装成功

根据用户信息生成社工字典

cupp -i

不知道的信息直接回车

输入内容：

字典生成在当前目录下。

• kali自带字典目录

/usr/share/wordlists

/dirb目录

big.txt #大的字典
small.txt #小的字典
catala.txt #项目配置字典
common.txt #公共字典
euskera.txt #数据目录字典
extensions_common.txt #常用文件扩展名字典
indexes.txt #首页字典
mutations_common.txt #备份扩展名
spanish.txt #方法名或库目录
others #扩展目录，默认用户名等
stress #压力测试
vulns #漏洞测试

/dirbuster
apache-user-enum-** # apache用户枚举
directories.jbrofuzz # 目录枚举
directory-list-1.0.txt # 目录列表大，中，小 big，medium，small

/fern-wifi
common.txt #公共wifi账户密码

/metasploit
各种典型密码

METADATA

• 查询Exif图片信息

apt-get install exiftool -y  # 安装
exiftool a.jpg  # 查看一张图片信息

这里我选择了查询了一张手机拍的照片。
可以看到查到很多信息。

未展示完…

如果看不懂也可执行

exiftool a.jpg > a.txt

将查询结果保存到a.txt中，再打开a.txt复制去翻译：

ExifTool版本号：11.97
文件名：a.jpg
目录：。
文件大小：2.6 MB
文件修改日期/时间：2020:05:13 00:45:02-04:00
文件访问日期/时间：2020:05:13 00:48:16-04:00
文件索引节点更改日期/时间：2020:05:13 00:46:12-04:00
文件权限：rwxrw rw-
文件类型：JPEG
文件类型扩展名：jpg
MIME类型：图像/jpeg
JFIF版本：1.01
Exif字节顺序：Big endian（Motorola，MM）
品牌：苹果
相机型号名称：iPhone 8
X分辨率：72
Y分辨率：72
分辨率单位：英寸
软件：13.4.1
修改日期：2020:05:03 21:36:03
平铺宽度：512
平铺长度：512
曝光时间：1/7
F编号：1.8
曝光程序：程序AE
国际标准化组织：100
Exif版本：0231
日期/时间原件：2020:05:03 21:36:03
创建日期：2020:05:03 21:36:03
偏移时间：+08:00
原始偏移时间：+08:00
数字化偏移时间：+08:00
组件配置：Y、Cb、Cr-
快门速度值：1/7
光圈值：1.8
亮度值：0.1323811246
曝光补偿：0
计量方式：现场
闪光：关，没有开火
焦距：4.0 mm
主题领域：1621 1469 753 756
运行时标志：有效
运行时间值：51217132457208
运行时间范围：100000000
运行时纪元：0
加速度矢量：-0.954296649-0.01446681655-0.3435807226
秒以下原始时间：491
亚秒数字化时间：491
Flashpix版本：0100
Exif图像宽度：4032
Exif图像高度：3024
感测方法：单芯片色域
场景类型：直接拍摄
曝光模式：自动
白平衡：自动
35mm焦距：28mm
场景捕获类型：标准
镜头信息：3.99000001mm f/1.8
镜头品牌：苹果
镜头型号：iPhone 8后置摄像头3.99mm f/1.8
GPS纬度参考：北
GPS经度参考：东
GPS高度参考：高于海平面
GPS速度参考：km/h
GPS速度：0
GPS Img方向参考：正北
GPS Img方向：206.1360856
GPS目标方位参考：正北
GPS目标方位：206.1360856
GPS水平定位误差：65m
当前IPTC摘要：d41d8cd98f00b204e9800998ecf8427e
IPTC摘要：d41d8cd98f00b204e9800998ecf8427e
轮廓坐标测量机类型：苹果电脑公司。
配置文件版本：4.0.0
配置文件类：显示设备配置文件
颜色空间数据：RGB
纵断面连接空间：XYZ
简介日期时间：2017:07:07 13:22:32
配置文件签名：acsp
主要平台：苹果电脑公司。
CMM标志：未嵌入，独立
设备制造商：苹果电脑公司。
设备型号：
设备属性：反射、光泽、正片、颜色
渲染意图：感知
连接空间光源：0.9642 1 0.82491
个人资料创建者：苹果电脑公司。
配置文件ID:ca1a9582257f104d389913d5d1ea1582
外形描述：显示P3
资料版权：版权所有苹果公司，2017年
媒体白点：0.95045 1 1.08905
红色基质柱：0.51512 0.2412-0.00105
绿色基质柱：0.29198 0.69225 0.04189
蓝基质柱：0.1571 0.06657 0.78407
红色色调再现曲线：（二进制数据32字节，使用-b选项提取）
色彩适应：1.04788 0.02292-0.0502 0.02959 0.99048-0.01706-0.00923 0.01508 0.75168
蓝调再现曲线：（二进制数据32字节，使用-b选项提取）
绿调再现曲线：（二进制数据32字节，使用-b选项提取）
图像宽度：4032
图像高度：3024
编码过程：基线DCT，哈夫曼编码
每个样本位数：8
颜色组件：3
Y Cb-Cr亚采样：YCbCr4:2:0（2 2）
图像高度：3024
编码过程：基线DCT，哈夫曼编码
每个样本位数：8
颜色组件：3
Y Cb-Cr亚采样：YCbCr4:2:0（2 2）
开机后运行时间：5天22:16:11
孔径：1.8
图像大小：4032x3024
百万像素：122
35 mm当量的比例因数：7.0
快门速度：1/7
创建日期：2020:05:03 21:36:03.491+08:00
日期/时间原件：2020:05:03 21:36:03.491+08:00
修改日期：2020:05:03 21:36:03+08:00
GPS高度：海拔527米
GPS纬度：30度39'49.67“N
GPS经度：东经104度5'2.34“
混淆圈：0.004 mm
视野：65.5度
焦距：4.0毫米（相当于35毫米：28.0毫米）
GPS位置：北纬30度39'49.67“，东经104度5'2.34”
超焦距：2.07m
光值：4.5

RECON-NG

全特性的web侦查框架（基于python开发）

• 启动方式：

recon-ng

创建一个工作区启动（sina）：

recon-ng -w sina

首先更新模块列表并下载所有模块（需代理，代理设置见options）

marketplace refresh
marketplace install all

• 帮助：

help  # 查看可用命令

• 退出：

exit

• workspaces：

workspaces list  # 工作区列表
workspaces create baidu  # 创建名为baidu的工作区
workspaces delete baidu  # 删除名为baidu的工作区
workspaces select sina  # 切换工作区

keys相关命令：接入搜索引擎API时需要key。
（这里以添加shodankey为例）
首先进入shodan官网，登录账户，点击我的账户，复制API key

keys add shodan RItJb24tBi2QFKARO3rU3Ti061fUkEuh  # 添加API
keys list  # 查看已添加API的列表
keys remove shodan  # 删除

• options：

options list  # 选项列表
# 选项设置
options set PROXY 127.0.0.1:8888  # 设置本地8888端口代理，此处用的http代理
options set USER-AGENT Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36
# 设置USER-AGENT
options unset USER-AGENT  # 清空设置

如何获得浏览器USER-AGENT？
首先访问百度，右键

刷新页面，点击网络，点击name为www.baidu.com的一项，下翻。

实战：子域名查询

modules search google  # 在模块里搜索谷歌

# 载入模块
modules load recon/domains-hosts/google_site_web
options list  # 查看配置
options set SOURCE sina.com  # 设置目标域
run  # 开始搜索（由于代理原因可能不成功，确保代理没问题可再次执行命令）

• 同理可使用bing搜索：

back  # 返回上一级
modules search bing
# 复制recon/domains-hosts/bing_domain_web
modules load recon/domains-hosts/bing_domain_web  # 载入模块
options set SOURCE sina.com  # 设置搜索目标域名
options list  # 查看设否设置成功
run  # 开始搜索

• 查询搜索结果

show hosts

也可以通过数据库查询语句查询

db query select * from hosts

• 查询指定内容

# 查询包含sina.com.cn的域名
db query select * from hosts where host like '%sina.com.cn%'

• 爆破域名

modules search brute  # 首先搜索模块
# 发现域名爆模块recon/domains-hosts/brute_hosts
modules load recon/domains-hosts/brute_hosts  # 载入模块
options options list  # 查看是否设置正确
run  # 开始爆破

实战：域名解析

将发现的域名解析为IP地址

modules search resolve  # 搜索模块
modules load recon/hosts-hosts/resolve  # 载入模块
# 解析指定域名
# options set SOURCE query select host from hosts where host like '%sina.com.cn%'
# 解析包含sina.com.cn的域名
run  # 即会将所有hosts里的域名解析为IP

实战：生成报告

搜索报告模块

modules search report

显示以下结果

[*] Searching installed modules for 'report'...

  Reporting
  ---------
    reporting/csv
    reporting/html
    reporting/json
    reporting/list
    reporting/proxifier
    reporting/pushpin
    reporting/xlsx
    reporting/xml

选择你想生成的报告形式，载入模块

modules load html

options list  # 查看选项
options set CREATOR ZhangSan  # 设置创建人
options set CUSTOMER sina.com  # 设置客户名
options set FILENAME /root/Desktop/sina.com.html  # 生成报告的路径及文件名
run  # 生成报告

更多功能期待你的发现…