最近想总结一下,在红队渗透拿到一个目标名或者刷src时候,怎么快速信息收集和批量检测来打到一个点,往往在实际项目中就是拼手速。
信息收集到打点大致我就分为
企业信息结构收集敏感信息收集域名主动被动收集整理域名ip资产扫描检测打点其中每一步需要收集好几个方面的信息,手动很累也很慢
1.企业信息结构收集企业信息结构收集包括对查询目标企业的公司信息,涉及到哪些主站域名,有哪些控股很多的子公司,这些子公司涉及到哪些域名,然后再进行备案反查,你又会得到一些新的公司,同理也能再次得到一些新的主站域名,将这些进行整理---->得到一批待爆破的域名。
还有的就是除了这些查到的主站域名,往往企业会有app、公众号、小程序这些资产,也要对这些资产进行收集,然后你又拿到了一批域名。
手动查询的话从以下查询
天眼查 查企业/子公司/域名/公众号 https://www.tianyancha.com/ 爱企查 https://aiqicha.baidu.com/ 企查查询 https://www.qcc.com/ 启信宝 https://www.qixin.com/工具:
推荐cSubsidiary利用天眼查查询企业子公司https://github.com/canc3s/cSubsidiary还有pigat:https://github.com/teamssix/pigat公众号和app的收集:https://github.com/wgpsec/ENScanhttps://github.com/wgpsec/ENScan_GO go版本
2.敏感信息收集利用搜索引擎、github等托管平台配合一些dorks就可以搜到很多信息。熟知的googlehack,gitdork,网盘泄露等等。敏感信息一共要搜集这个几个方面:
googlehack语法github泄露目标人员姓名/手机/邮箱1.googlehack但比如googlehack,你需要搜的好几条语法加上域名比如:
site:*.domain.cominurl:domain.comintitle:keywordkeyword filetyle:doc|pdf一个域名可以配合多个语法搜,那么多域名手动输入搜很慢,推荐工具:
https://github.com/r00tSe7en/GoogleHackingTool 在线Google Hacking 小工具https://www.exploit-db.com/google-hacking-database 语法,自己可以脚本里批量搜2.github泄露敏感信息:一些常用github dorks,直接搜对应目标信息:
xxxxx.com "Authorization" #"Authorization: Bearer"xxxxx.com "filename:vim_settings.xml"xxxxx.com "language:PHP"也可以在github对各种信息搜索,比如文件类型
包含关键字的指定语言:
搜API/KEYS/TOEKNS关键字:
很多关键字可以搜,还是批量搜高效,工具:
https://github.com/obheda12/GitDorker https://github.com/michenriksen/gitrob https://github.com/dxa4481/truffleHog https://github.com/techgaun/github-dorks这类工具需要设置git令牌,附上gitrob过程,踩坑:不要下relase ,自己编译最好:
git clone https://github.com/michenriksen/gitrob.gitgo mod init #to use go mod 如果报错 运行go mod init github.com/michenriksen/gitrobrm Gopkg* #remove the old stuffgo build #to build it./build.sh
设置git令牌
set GITROB_ACCESS_TOKEN=xxxxx使用后可以查看图形界面的结果:
3. 目标人员姓名/手机/邮箱通过开源信息收集目标人员姓名/手机/邮箱,为后面打点做字典做准备。
https://github.com/laramies/theHarvester通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息。使用:-d 开关用于定义域名,-l 用于限制结果数量
theHarvester -d kali.org -l 200 -banubis,baidu,pentesttools,projectdiscovery,qwant,rapiddns,rocketreach,securityTrails,spyse,sublist3r,threatcrowd,threatminer,trello,twitter,urlscan,virustotal,yahoo,zoomeye,bing,binaryedge,bingapi,bufferoverun,censys,certspotter,crtsh,dnsdumpster,duckduckgo,fullhunt,github-code,google,hackertarget,hunter,intelx,linkedin,linkedin_links,n45ht,omnisint,otx按github跑就是了,但是有点坑点:配置api-keys在/etc/theHarvester 目录下api-keys.yaml填入对应的api key即可
有个坑点是key:后要加个空格在放key字符串,不然跑不起来
人员邮箱字典的构造:
https://github.com/pry0cc/GoogLinked/blob/master/GoogLinked.rb还可以使用一些社工信息来做字典,这样的工具很多了,用一个就够了没必要用全部:Cupp/Cewl
https://github.com/r3nt0n/bopscrkpython3 bopscrk.py -i3. 域名主动被动收集域名主动信息收集内容就有点杂了。通过1、2点我们拿到了一批等待爆破的域名和人员的信息,以及泄露的一些敏感信息(运气好的话用泄露的信息已经打到点了。)
现在需要对域名进行whois信息查询、dns域名正反查询、子域名探测爆破三个方面收集。
1.whois信息查询whois需要查询域名的whois,然后根据whois信息来查询历史和反查,这样你就得到了一些邮箱和可疑域名。
查域名信息没什么说的,主要看网址注册人、到期记录、创建域的时间、名称服务器和联系信息等,查最新的一般都是托管的信息,而查看历史信息就有可能查到真实联系人邮箱电话等:
一些常见whois查询,手动的时候可以查询:
https://domaineye.com/reverse-whois https://www.reversewhois.io/ https://tool.domains/whois-research https://tools.webservertalk.com/reverse-whois https://reverse-whois-api.whoisxmlapi.com/http://whois.domaintools.com/ https://viewdns.info/reversewhois/ https://www.domainiq.com/reverse_whois除了正向查询whois,还要查询whois历史信息:以下几个网站允许用户访问连接的 WHOIS 数据库以进行调查。这些记录是十多年来对有关域注册的有用数据进行网络爬取的结果:
https://whois.domaintools.com/ https://drs.whoisxmlapi.com/?ts=gp&ref=hackernoon.com https://whois-history-api.whoisxmlapi.com/?ts=gp&ref=hackernoon.com https://www.whoxy.com/whois历史信息查询不能错过,明显可以在whois历史信息中看真实邮箱并反查而不是目前托管的邮箱,以及非托管的dns服务器:
whois 信息反查
通过历史whois信息找到真实邮箱or组织名,再反查域名,又可以得到一批资产:
other:
https://www.reversewhois.io/整理一下whois分了三步,先whois查询一个域名,然后对查询的信息进行历史whois查询和反查,最后得到一批邮箱和域名。手动知道过程就行,实际做项目用工具批量查了整理:
https://github.com/xugj-gits/domain-tool 批量whois查询https://github.com/melbadry9/WhoEnum2.dns域名正向反向查询dns域名查询分两个部分,历史记录和ip反查:
DNS历史记录(doamin2ips)Dnsdumpster 是一个在线实用程序,我们使用它来查找子域、目标的 DNS 记录。
VT也是可以看dns数据信息的:
ip反查(ip2domains)
同ip查询多个解析到这个ip的域名,寻找