Assets Reconnaissance
假设,我们承担了对具有 DMZ,数据中心,电信网络等大型组织的外部 / 内部渗透测试的任务。此刻我们所知道的唯一信息是公司名称或顶级域名(例如:example.com)。
通常有两种情况我们在公司的内网或外网,这里主要说一下外网的信息收集,内网暂不涉及。
顶级域和子域名。 IP 地址和网络范围及这些 IP 地址上开放的服务端口。 公司组织架构、电子邮件地址、组织工作人员、组织业务。 企业内部使用的操作系统、内部系统软件。 目标企业供应商和一些边缘资产例如使用 Logo 图标、Title 标题等模糊搜索出来的相关资产。
企业情报搜集(Corporate Intelligence Gathering)
企业情报收集包括其公司组织架构,公司主要业务、电子邮箱、公司内部部门组成、公司员工等信息。
通常可以通过门户网站找到一个企业的组织架构及部门信息或通过 天眼查、企查查、爱企查来获取其企业集团的分支和所属知识产权、备案、APP、微信公众号等情报。
公司组织中使用的操作系统及日常办公 / 杀毒防护软件,电子邮件,员工信息一般通过开源资产进行情报收集(例如:门户网站公告、Github、云盘、脉脉、Google、招聘网站、搜索引擎爬虫等)。
同时可以在 Wooyun 镜像通过历史漏洞报告,来获取该企业的系统遗留漏洞或其他敏感信息。
通过 Bgp.he.NET、IPWhois.Cnnic.NET.CN 来查看国内外组织购买的 IP 网段。
域名搜集(Domain Collection)
通常我们在知道公司单位名称后可以通过 最新备案域名 来查询到该公司顶级域。通过已找到的顶级域来进行 DNS 历史解析数据集、暴力枚举域名、HTTPS Cert、搜索引擎爬虫等来获取该组织更多的资产。
网络资产测绘(Network Asset Mapping)
DNS 历史解析数据集可以枚举出域名历史解析过的域名,现国内外有很多 DNS API 接口来进行网络测绘服务。
例如:Fofa、Cert Search、Shodan、Quake、Hunter 等来获取跟多的子域名资产。
QAX Hunter 360 Quake Gov Fofa Fofa CertSpotter Chinaz Crtsh Shodan Virustotal Zoomeye Hunter Search Engine
推荐项目:
Owasp-Amass free 免费、Paied 付费、Paid 付费。
暴力枚举域名(Brute Force Enumeration Of Domain)
暴力枚举域名使用 域名字典 向 DNS 服务器枚举查询,根据返回信息判断域名是否存在。
推荐项目:
subDomainsBrute
Oneforall
Google Dorks
| 语法 | 说明 |
|---|---|
| site:example.com | 从 example.com 域获取搜索结果。 |
| filetype:pdf suffix | 将结果限制为pdf名称以后缀结尾的页面。 |
| allinurl:id uid | 返回的网页的链接中包含 id 和 uid 关键字。 |
| inurl: | 搜索包含有特定字符的 URL。 |
| allintext:a b | 返回网页包含关键词 a 和 b 的网页。 |
| intext:a | 返回网页包含关键词 a 的网页。 |
| allintitle:a b | 返回标题包含关键词 a 和 b 的网站。 |
| intitle:login | 返回标题包含关键词 login 的网站。 |
Github Dorks
通过以下连接字符串查找 SSH 和 FTP 密码。
/ssh://.*:.*@.*target.com/
/ftp://.*:.*@.*target.com/
查找一些云服务商托管的数据库。
compute.amazonaws.com password
mysql.rds.aliyuncs.com password
elasticsearch.aliyuncs.com
查找一些 Blob 容器,用于一些防追溯文件传输操作。
blob.core.windows.net sig=
常见的搜索姿势。
@target.com stmp
target.com pwd
target.com password
openai.api_key="
password
dbpassword
dbuser
access_key
secret_access_key
bucket_password
redis_password
root_password
HOST=http://smtp.gmail.com
filename:.htpasswd
extension:sql mysql dump
IP 资产搜集(IP Asset Collection)
对上述收集的域名进行 A 记录解析去除 CDN 获取到真实 IP 整理去重。
端口服务扫描任务推荐使用 Naabu 项目,该工具使用Go 语言开发小众快速,有助于绕过防火墙检测,基于SYN / CONNECT 探针对主机进行扫描。
naabu -silent -p 80-89,443,8080-8089,7000-7010 -rate 1000 -timeout 1000 -l targets.txt -o save.txt
可以查看通过 IPIPNET 查看 ASN 号或直接查看运营商已确定是不是各种云主机,通常这种主机都是购买的运营商的不存在内网,当然不排除目标公司整个内网上云。
高质量端口维护。
{512, 513, 5632, 4100, 10250, 10255, 10256, 7700, 21, 22, 23, 25, 20000, 2601, 2604, 5168, 10802, 10803, 4149, 10808, 3128, 19000, 1090, 8777, 1098, 1099, 80, 81, 82, 83, 84, 85, 86, 8787, 88, 18000, 7777, 4200, 8300, 110, 3700, 7800, 8830, 6788, 6789, 1158, 16010, 139, 15007, 18080, 18081, 5800, 18090, 9900, 2222, 8886, 8888, 8889, 8381, 8383, 8388, 8900, 7878, 210, 5335, 9443, 3306, 6378, 6379, 3311, 4848, 3312, 8442, 8443, 8700, 55555, 8600, 777, 5900, 5901, 4366, 9999, 10000, 10001, 7443, 9494, 9495, 8988, 8477, 8989, 800, 52000, 4899, 805, 8999, 9000, 9001, 6443, 30000, 9009, 9010, 8500, 5432, 15672, 51000, 3900, 3389, 8000, 8001, 8002, 2883, 8003, 8004, 8006, 2375, 8008, 22345, 8009, 29003, 8010, 8011, 1352, 2379, 8012, 20300, 8016, 50000, 8018, 9043, 2900, 9044, 7000, 7001, 7002, 7003, 4444, 4445, 4440, 7007, 7008, 5985, 7010, 28000, 9060, 10080, 873, 1900, 50030, 6000, 6001, 28017, 1910, 9080, 9081, 888, 8060, 5500, 9090, 389, 5000, 27017, 27018, 9099, 9100, 30088, 50060, 8080, 8081, 8082, 8083, 8084, 9109, 50070, 8085, 8086, 8087, 8088, 1433, 8090, 1434, 8089, 8093, 7070, 8095, 8601, 8098, 1443, 8099, 8100, 7077, 8103, 7080, 8618, 8107, 5551, 5552, 28080, 5555, 3000, 5560, 5050, 443, 445, 6080, 6082, 455, 8649, 11211, 49100, 2003, 1494, 5601, 8161, 999, 1000, 1004, 5100, 8686, 8688, 1521, 9200, 8181, 8182, 7161, 8188, 8189, 5631}
Web 资产探测(Web Asset Detection)
在面对大量 Web 资产时一个个去观察比较耗费精力和时间,往往这个时候我们需要快速定位资产中脆弱或重要的资产点,从而进行攻击撕开通往内网的口子。
推荐使用 HTTPX 该工具支持对域名文件进行基于 HTTP 探测,以此来自动化获取网站基础信息。
执行下面命令会在当前目录输出一份带有存活域名、网站标题、响应包长度、响应包状态码、解析IP地址的报告文件。
httpx -l domain_all.txt -silent -timeout 3 -threads 500 -title -content-length -follow-redirects -status-code -no-color -ip -csv -o domain_all_title.csv
httpx -l domain_all.txt -silent -timeout 3 -threads 500 -title -content-length -follow-redirects -status-code -no-color -ip -exclude-cdn -proxy "socks5://192.168.31.60:7890" -csv -o domain_all_title2.csv
通过观察 HTTPX 输出的报告文件可以关注公司组织内的敏感系统资产例如 SSO、邮箱系统、VPN、OA、客户业务网站或这些资产的 B / C 段。
关于 Web 指纹识别(Web Fingerprinting)。
推荐项目:
ObserverWard_0x727 跨平台社区化Web指纹识别工具。
EHole(棱洞)2.0 重构版 - 红队重点攻击系统指纹探测工具。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...