前言

网络攻防中的信息收集是网络安全防护和渗透测试过程中的重要环节。这一阶段的目标是尽可能地了解目标系统的详细信息,为后续的安全评估或攻击做准备。以下是一些信息收集的类别和方法:

1. 主动信息收集

主动信息收集可能会与目标系统产生交互,可能会被目标系统的安全设备检测到。

  • 端口扫描:使用工具如Nmap扫描目标系统开放的端口,了解可能的服务。

  • 服务识别:识别端口上运行的具体服务版本,例如HTTP、FTP、SMTP等。

  • 漏洞扫描:利用漏洞扫描工具(如 Nessus)扫描已知漏洞。

  • 网络拓扑发现:绘制网络结构图,了解网络设备和它们之间的连接关系。

2. 被动信息收集

被动信息收集尽量不与目标系统产生直接交互,减少被检测的风险。

  • DNS查询:搜集目标域名的DNS记录,如A记录、MX记录、TXT记录等。

  • 搜索引擎:利用Google hacking等搜索引擎技巧,查找与目标相关的信息。

  • 社交媒体和论坛:搜集员工或组织在社交媒体和行业论坛上发布的信息。

  • 公开信息查询:查询目标组织的公开信息,如企业注册信息、员工信息等。

  • 网络空间测绘:使用网络空间测绘工具搜集目标在互联网上的暴露面。

3. 社会工程学

利用人性的弱点,通过欺骗、引诱等手段从人员那里获取信息。

  • 钓鱼攻击:发送带有恶意链接或附件的邮件,诱骗目标点击或下载。

  • 伪装身份:假装成内部人员或合作伙伴,通过电话或邮件套取信息。

工具和技术

  • Whois查询:查询域名的注册信息。

  • 网络爬虫:自动化地从网站上搜集信息。

  • Maltego:一款信息收集和取证工具,可以用来图形化地展示收集到的信息。

在进行信息收集时,应严格遵守法律法规,不得侵犯个人隐私和网络安全。对于企业和组织来说,了解这些信息收集的方法也很重要,以便采取相应的防护措施,保护自身的信息安全。在中国,网络安全法和相关的法律法规对网络信息收集和使用有严格的规定,任何个人和组织在进行网络信息收集时都应遵循法律规定,不得从事非法侵入、干扰、破坏网络系统的活动。

域名信息

1.whois信息

很多网站上都可以收集到whois信息,比如:

1
2
3
4
国外的who.is:https://who.is/   
站长之家:http://whois.chinaz.com/  
爱站:https://whois.aizhan.com/  
微步:https://x.threatbook.cn/

主要关注:注册商、注册人、邮件、DNS解析服务器、注册人联系电话。
小技巧:如果在站长之家上隐藏了信息,可在who.is上再次查看。

2.查企业的备案信息

主要有三种方式:

1
2
3
天眼查:https://www.tianyancha.com/  
ICP备案查询网:http://www.beianbeian.com/  
国家企业信用信息公示系统:http://www.gsxt.gov.cn/index.html

注意:国外的服务器一般来说是查不到的,因为他们不需要备案。国内的基本上都可以查到。

子域名信息

1.Google语法

可以利用Google和Bing这样的搜索引擎进行搜索查询(site:www.xxx.com
Google还支持额外的减号运算符,以排除我们对“网站:wikimedia.org -www -store”不感兴趣的子域名。

2.第三方服务器

有许多第三方服务聚合了大量的DNS数据集,并通过它们来检索给定域名的子域名。

1
2
VirusTotal:https://www.virustotal.com/#/home/search 
DNSdumpster:https://dnsdumpster.com/

3.Sublist3r

Sublist3r是一款python开发的子域名枚举工具,通过各种搜索引擎 (例如Google,Yahoo,Bing,Baidu和Ask)枚举子域。Sublist3r还使用Netcraft,Virustotal,ThreatCrowd,DNSdumpster和ReverseDNS枚举子域。也集合了subbrute的暴力枚举功能。

4.基于SSL证书查询

查找一个域名证书的最简单方法是使用搜索引擎来收集计算机的CT日志,并让任何搜索引擎搜索它们。前两种比较常用。

1
2
3
4
https://crt.sh/
https://censys.io/
https://developers.facebook.com/tools/ct/
https://google.com/transparencyreport/https/ct/

5.简单的在线子域名收集(不推荐)

1
2
https://phpinfo.me/domain/
http://i.links.cn/subdomain/

6.爆破枚举

这个就有很多工具可以用了,比较常见的是:

1
2
3
4
5
(1)layer子域名挖掘机
(2)subDomainsBrute
(3)K8
(4)orangescan
(5)DNSRecon

这里重点推荐layaersubDomainsBrute工具,可以从子域名入侵到主站。

小技巧:在https://github.com/ 上也可以搜索子域名,运气好的话,会有意想不到的收获。

端口

很多时候,网站都会开启CDN加速,导致我们查询到的IP不是真实的IP,所以得先查询到真实的IP地址。

  • 通过让服务器给你发邮件(看邮箱头源 ip )找真实ip(最可靠)。

  • 通过 zmpap 全网爆破查询真实ip(可靠)。

  • 通过查询域名历史ip,http://toolbar.netcraft.com(借鉴)。

  • 通过国外冷门的DNS的查询:nslookup xxx.com国外冷门DNS地址(借鉴)。

收集到大量IP,那就要进行端口扫描了,看看有什么常见的漏洞。

kali linux自带NAMP可以扫描
教程:https://blog.csdn.net/2302_82189125/article/details/135961736

知名端口漏洞
Github 详情:https://github.com/BestBDs/port-bug/blob/master/常见端口漏洞

网站架构探测

当我们探测目标站点网站架构时,比如操作系统,中间件,脚本语言,数据库,服务器,web容器等等,可以使用以下方法查询。

1
2
3
4
wappalyzer插件——火狐插件
云悉:http://www.yunsee.cn/info.html
查看数据包响应头
CMS指纹识别:http://whatweb.bugscaner.com/look/

CMS指纹识别又有很多方法,比如说御剑指纹识别、Webrobot工具、whatweb工具、还有在线查询的网站等等。

kali linux自带whatweb可以扫描
教程:https://blog.csdn.net/2302_82189125/article/details/135976188

敏感信息收集

通常我们所说的敏感文件、敏感目录大概有以下几种:

1
2
3
4
5
6
7
Git
hg/Mercurial
svn/Subversion
bzr/Bazaar
Cvs
WEB-INF泄露
备份文件泄露、配置文件泄露

敏感文件、敏感目录挖掘一般都是靠工具、脚本来找。

1.谷歌黑客

1
2
3
4
5
6
7
8
site:指定域名
inurl:指定url中存在的关键字
intext:指定网页正文中的关键字
filetype:指定文件类型
intitle:指定网页标题中的关键字
link:返回所有和link做了链接的url
info:查找指定站点的一些基本信息
cache:搜索Google里关于某些内容的缓存

2.国内/外IP地址查询

1
2
国内:https://www.17ce.com/
国外:https://asm.ca.com/en/ping.php

3.绕过CDN查询IP地址

https://www.virustotal.com/gui/