安全牛-被動信息收集
阿新 • • 發佈:2019-03-26
port 技術架構 安全牛 ace int mes 名稱 軟件版本 公開
公司組織架構:對不同部門展開社會工程學
聯系電話 / 傳真號碼
人員姓名 / 職務
目標系統使用的技術架構:搜索引擎和工具可以發現
公開的商業信息
信息用途
用信息描述目標
發現
社會工程學攻擊
物理缺口
信息收集----DNS
1.域名與FQDN
域名:sina.com
FQDN(完全限定域名):www.sina.com.
2.域名記錄:
A記錄(主機記錄)---將域名解析到ip地址上
C name(別名記錄)---將一個域名解析到另一個域名上
NS:域名服務器地址是通過DNS的NS記錄進行定義和註冊的 ---域名服務器
MX:域名SMTP服務器地址是通過DNS的MX記錄(郵件交換)進行定義和註冊的 ---郵件交換記錄
DNS信息收集----nslookup(exit退出)
1.nslookup www.sina.com
2.server
3.set=a ca mx ns any
4.nslookup -q=any 163.com 114.114.114.114
cat /etc/resolv.conf
DNS解析過程:
命令:nslookup
直接輸入域名,然後進行一步步的解析
參數:
1.set type=a(只查詢主機記錄)
www.sina.com
2.set type=mx(只查詢郵件交換記錄)
sina.com(這裏不能加www)對應三個可能是a記錄,也可能是cn記錄,數值越小優先級越高
sina.com mail exchanger = 10freemx2.sinamail.sina.com.cn.
sina.com mail exchanger = 10freemx3.sinamail.sina.com.cn.
sina.com mail exchanger = 5freemx1.sinamail.sina.com.cn.
set type=a
freemx2.sinamail.sina.com.cn.
freemx3.sinamail.sina.com.cn.
freemx1.sinamail.sina.com.cn.
3.set type=ns
sina.com
sina.com nameserver = ns4.sina.com.
sina.com nameserver = ns2.sina.com.
sina.com nameserver = ns3.sina.com.
sina.com nameserver = ns3.sina.com.cn.
sina.com nameserver = ns4.sina.com.cn.
sina.com nameserver = ns2.sina.com.cn.
sina.com nameserver = ns1.sina.com.cn.
sina.com nameserver = ns1.sina.com.
set type=a
ns4.sina.com.(依次類推可以將新浪的ns記錄解析出來)
4.set type=ptr
ip
5.更改dns服務器:server xxxx(IP地址)
智能dns:根據終端使用的dns不同,返回的解析IP地址也是不一樣的
6.set type=any(所有記錄都會被解析出來)
sina.com
7.spf:反垃圾郵件
nslookup -type=any 163.com 114.114.114.114
-type=any //指定類型
163.com //指定需要查詢的域名
114.114.114.114 //指定dns服務器
DNS信息收集----DIG
DIG:功能遠遠強大於nslookup
1.dig any 163.com @8.8.8.8
any //指定dns查詢類型
163.com //指定要查詢的域名
@8.8.8.8 //指定dns服務器,不指定的情況下會使用本機默認的dns
建議進行dns解析域名查詢時,建議使用不同的dns服務器進行查詢
2.dig sina.com any
dig +noall +answer mail.sina.com any | awk‘ {print $5}‘
結果:mail163.ntes53.netease.com.
+noall 什麽結果都不輸出
+answer 查看結果
3.反向查詢:
dig 163.com mx
dig 163mx00.mxmail.netease.com
dig -x 220.181.14.159
-x //反向查詢,ptr記錄
查詢出的結果與之對應的郵箱不同,這裏因為是一對多的情況,所以正常
4.bind版本信息:dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
txt //bind版本類型信息
chaos //類級別
建議隱藏bind版本信息
目的:查詢dns服務器的漏洞,哪些補丁沒打,利用漏洞獲取所有dns的記錄
根據查詢結果,網上查詢版本是否最新,不是最新與最新之間修復哪些漏洞,進行研究,漏洞利用
舉例:
dig sina.com ns
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com(替換)
一般情況是對用戶沒什麽作用,但是對黑客比較感興趣----建議隱藏bind版本信息
5.dns追蹤,不向dns服務器查詢,直接訪問根域服務器,com服務器
抓包比較遞歸查詢與叠代查詢的區別
(1)dig +trace www.sina.com(叠代查詢)
①13個.域根域服務器
②.com域
③sina.com
④www.sina.com
(2)dig sina.com(遞歸查詢)
dns->arp
如何避免根域服務器,com服務器被劫持的情況?
如果發生域名服務器被劫持的情況,其中一個域名服務器的IP地址一定是不正常的IP地址或名稱,就可以發現某一級服務器被劫持
區域傳輸:
dns信息收集:
nslookup,dig查詢已知域名,對已知域名信息進行查詢,比如查詢新浪下的主機記錄,及對應IP地址,即可獲取攻擊面,根據面的軟件版本,配置進行滲透設置
如果能知道目標系統中域的所有主機記錄名稱,是最關鍵,dns信息搜集最重要的
dns服務器之間有同步機制,當數據庫發生變更時,會同步,正常情況下,區域傳輸只會發生在本域的域名服務器下,但有可能管理員粗心大意配置錯誤,會造成任何人都可以進行域名傳輸,任何人就可以獲得所有的主機記錄名稱及對應IP地址
對目標服務器進行區域傳輸命令:
dig @ns1.example.com example.com axfr
@ns1.example.com:指定域名服務器
example.com:指定需要查詢的主機記錄
axfr:差異化傳輸
示例:
①dig sina.com ns //找到sina.com的域名服務器,隨機挑選一個進行區域傳輸
②dig @ns2.sina.com sina.com axfr //失敗後抓包查看
要註意:DNS域名查詢是使用udp的53端口,但是進行區域傳輸連接的時候使用tcp的53端口
tcp連接完成之後還會進行一次dns查詢,類型是axfr,而且使用的還是tcp的53端口
拒絕包:
另外一個命令實現:
host -T -l sina.com ns3.sina.com
-T:使用tcp傳輸方式
-l:進行axfr的區域傳輸
host命令:
參數:
-h //查看常用參數
-T //使用tcp傳輸方式
-l //進行axfr的區域傳輸
命令幫助手冊:
①-h參數
②--help參數
③man+命令
④info+命令
字典爆破:
目標服務器不允許區域傳輸,如何獲取更多的更多的主機記錄信息呢?
最常用:字典爆破,把大量的常用主機記錄存為一個字典,然後進行字典爆破,如果目標服務器存在該主機記錄,便會返回主機記錄及IP地址
字典:
①自己創建
②kali自帶
命令:
①fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlista.txt
dpkg 基於debian的包管理程序
-L fierce//指定查找fierce相關文件
②dnsdict6 -d4 -t 16 -x sina.com(速度快,)
參數:
-t //指定線程數,可並發
-x //指定使用什麽自帶字典
-d4 //使用ipv4地址
-D //指定使用具體字典
③dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -osina.xml(功能全面)
find / -name dnsenum
④dnsmap sina.com -w dns.txt
⑤dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt
--lifetime 10 //指定超時時間
⑥dnsrecon -t std -d sina.com
註冊信息:
DNS註冊信息
Whois
whois -h whois.apnic.net 192.0.43.10
搜索引擎:
公司動態
重要雇員信息
機密文檔、網絡拓撲
用戶名密碼
目標系統軟硬件技術架構
常見的搜索引擎:
①shodan:搜索聯網的設備
原理:爬網,搜索banner信息
網站:https://www.shodan.io/
Banner: http、ftp、 ssh、 telnet
常見filter:
net (192.168.20.1)
city
country(CN、 US)
port(80、21、 22、 23)
os
Hostname(主機或域名)
示例:
net:8.8.8.0/24
country:CN city:beijing
被動信息收集
基於公開渠道可獲得的信息
與目標系統不產生直接的交互
盡量避免留下一切痕跡。
開源智能文檔:
美國軍方: http://www.fas.org/irp/doddir/army/atp2-22-9.pdf
北大洋公約組織:http://information-retrieval.info/docs/NATO-OSINT.html
信息收集的三大階段
①passive reconnaissance(被動偵察)
②normal interraction(正常交互)
③active reconnaissance(主動偵察)
信息收集內容
IP地址段
域名信息
郵件地址:定位目標郵件服務器,為後續進行社會工程學的攻擊和探測
文檔圖片數據:公司人員,產品文檔信息
公司組織架構:對不同部門展開社會工程學
聯系電話 / 傳真號碼
人員姓名 / 職務
目標系統使用的技術架構:搜索引擎和工具可以發現
公開的商業信息
信息用途
用信息描述目標
發現
社會工程學攻擊
物理缺口
信息收集----DNS
1.域名與FQDN
域名:sina.com
FQDN(完全限定域名):www.sina.com.
2.域名記錄:
A記錄(主機記錄)---將域名解析到ip地址上
C name(別名記錄)---將一個域名解析到另一個域名上
NS:域名服務器地址是通過DNS的NS記錄進行定義和註冊的 ---域名服務器
MX:域名SMTP服務器地址是通過DNS的MX記錄(郵件交換)進行定義和註冊的 ---郵件交換記錄
DNS信息收集----nslookup(exit退出)
1.nslookup www.sina.com
2.server
3.set=a ca mx ns any
4.nslookup -q=any 163.com 114.114.114.114
cat /etc/resolv.conf
DNS解析過程:
命令:nslookup
直接輸入域名,然後進行一步步的解析
參數:
1.set type=a(只查詢主機記錄)
www.sina.com
2.set type=mx(只查詢郵件交換記錄)
sina.com(這裏不能加www)對應三個可能是a記錄,也可能是cn記錄,數值越小優先級越高
sina.com mail exchanger = 10freemx2.sinamail.sina.com.cn.
sina.com mail exchanger = 10freemx3.sinamail.sina.com.cn.
sina.com mail exchanger = 5freemx1.sinamail.sina.com.cn.
set type=a
freemx2.sinamail.sina.com.cn.
freemx3.sinamail.sina.com.cn.
freemx1.sinamail.sina.com.cn.
3.set type=ns
sina.com
sina.com nameserver = ns4.sina.com.
sina.com nameserver = ns2.sina.com.
sina.com nameserver = ns3.sina.com.
sina.com nameserver = ns3.sina.com.cn.
sina.com nameserver = ns4.sina.com.cn.
sina.com nameserver = ns2.sina.com.cn.
sina.com nameserver = ns1.sina.com.cn.
sina.com nameserver = ns1.sina.com.
set type=a
ns4.sina.com.(依次類推可以將新浪的ns記錄解析出來)
4.set type=ptr
ip
5.更改dns服務器:server xxxx(IP地址)
智能dns:根據終端使用的dns不同,返回的解析IP地址也是不一樣的
6.set type=any(所有記錄都會被解析出來)
sina.com
7.spf:反垃圾郵件
nslookup -type=any 163.com 114.114.114.114
-type=any //指定類型
163.com //指定需要查詢的域名
114.114.114.114 //指定dns服務器
DNS信息收集----DIG
DIG:功能遠遠強大於nslookup
1.dig any 163.com @8.8.8.8
any //指定dns查詢類型
163.com //指定要查詢的域名
@8.8.8.8 //指定dns服務器,不指定的情況下會使用本機默認的dns
建議進行dns解析域名查詢時,建議使用不同的dns服務器進行查詢
2.dig sina.com any
dig +noall +answer mail.sina.com any | awk‘ {print $5}‘
結果:mail163.ntes53.netease.com.
+noall 什麽結果都不輸出
+answer 查看結果
3.反向查詢:
dig 163.com mx
dig 163mx00.mxmail.netease.com
dig -x 220.181.14.159
-x //反向查詢,ptr記錄
查詢出的結果與之對應的郵箱不同,這裏因為是一對多的情況,所以正常
4.bind版本信息:dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
txt //bind版本類型信息
chaos //類級別
建議隱藏bind版本信息
目的:查詢dns服務器的漏洞,哪些補丁沒打,利用漏洞獲取所有dns的記錄
根據查詢結果,網上查詢版本是否最新,不是最新與最新之間修復哪些漏洞,進行研究,漏洞利用
舉例:
dig sina.com ns
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com(替換)
一般情況是對用戶沒什麽作用,但是對黑客比較感興趣----建議隱藏bind版本信息
5.dns追蹤,不向dns服務器查詢,直接訪問根域服務器,com服務器
抓包比較遞歸查詢與叠代查詢的區別
(1)dig +trace www.sina.com(叠代查詢)
①13個.域根域服務器
②.com域
③sina.com
④www.sina.com
(2)dig sina.com(遞歸查詢)
dns->arp
如何避免根域服務器,com服務器被劫持的情況?
如果發生域名服務器被劫持的情況,其中一個域名服務器的IP地址一定是不正常的IP地址或名稱,就可以發現某一級服務器被劫持
區域傳輸:
dns信息收集:
nslookup,dig查詢已知域名,對已知域名信息進行查詢,比如查詢新浪下的主機記錄,及對應IP地址,即可獲取攻擊面,根據面的軟件版本,配置進行滲透設置
如果能知道目標系統中域的所有主機記錄名稱,是最關鍵,dns信息搜集最重要的
dns服務器之間有同步機制,當數據庫發生變更時,會同步,正常情況下,區域傳輸只會發生在本域的域名服務器下,但有可能管理員粗心大意配置錯誤,會造成任何人都可以進行域名傳輸,任何人就可以獲得所有的主機記錄名稱及對應IP地址
對目標服務器進行區域傳輸命令:
dig @ns1.example.com example.com axfr
@ns1.example.com:指定域名服務器
example.com:指定需要查詢的主機記錄
axfr:差異化傳輸
示例:
①dig sina.com ns //找到sina.com的域名服務器,隨機挑選一個進行區域傳輸
②dig @ns2.sina.com sina.com axfr //失敗後抓包查看
要註意:DNS域名查詢是使用udp的53端口,但是進行區域傳輸連接的時候使用tcp的53端口
tcp連接完成之後還會進行一次dns查詢,類型是axfr,而且使用的還是tcp的53端口
拒絕包:
另外一個命令實現:
host -T -l sina.com ns3.sina.com
-T:使用tcp傳輸方式
-l:進行axfr的區域傳輸
host命令:
參數:
-h //查看常用參數
-T //使用tcp傳輸方式
-l //進行axfr的區域傳輸
命令幫助手冊:
①-h參數
②--help參數
③man+命令
④info+命令
字典爆破:
目標服務器不允許區域傳輸,如何獲取更多的更多的主機記錄信息呢?
最常用:字典爆破,把大量的常用主機記錄存為一個字典,然後進行字典爆破,如果目標服務器存在該主機記錄,便會返回主機記錄及IP地址
字典:
①自己創建
②kali自帶
命令:
①fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlista.txt
dpkg 基於debian的包管理程序
-L fierce//指定查找fierce相關文件
②dnsdict6 -d4 -t 16 -x sina.com(速度快,)
參數:
-t //指定線程數,可並發
-x //指定使用什麽自帶字典
-d4 //使用ipv4地址
-D //指定使用具體字典
③dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -osina.xml(功能全面)
find / -name dnsenum
④dnsmap sina.com -w dns.txt
⑤dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt
--lifetime 10 //指定超時時間
⑥dnsrecon -t std -d sina.com
註冊信息:
DNS註冊信息
Whois
whois -h whois.apnic.net 192.0.43.10
搜索引擎:
公司動態
重要雇員信息
機密文檔、網絡拓撲
用戶名密碼
目標系統軟硬件技術架構
常見的搜索引擎:
①shodan:搜索聯網的設備
原理:爬網,搜索banner信息
網站:https://www.shodan.io/
Banner: http、ftp、 ssh、 telnet
常見filter:
net (192.168.20.1)
city
country(CN、 US)
port(80、21、 22、 23)
os
Hostname(主機或域名)
示例:
net:8.8.8.0/24
country:CN city:beijing
安全牛-被動信息收集