安全牛-被動收集

被動信息收集
基於公開渠道可得到的信息
與目標系統不產生直接的交互
儘可能避免留下一切痕跡。
開源智能文檔：
美國軍方： http://www.fas.org/irp/doddir/army/atp2-22-9.pdf
北大洋公約組織：http://information-retrieval.info/docs/NATO-OSINT.html

信息收集的三大階段
①passive reconnaissance（被動偵察）
②normal interraction（正常交互）
③active reconnaissance（主動偵察）

信息收集內容
IP地址段
域名信息
郵件地址：定位目標郵件服務器，爲後續進行社會工程學的攻擊和探測
文檔圖片數據：公司人員，產品文檔信息
公司地址：物理滲透
公司組織架構：對不一樣部門展開社會工程學
聯繫電話 / 傳真號碼
人員姓名 / 職務
目標系統使用的技術架構：搜索引擎和工具能夠發現
公開的商業信息

信息用途
用信息描述目標
發現
社會工程學攻擊
物理缺口


信息收集----DNS
1.域名與FQDN
  域名：sina.com
  FQDN（徹底限定域名）:www.sina.com.
2.域名記錄：
A記錄（主機記錄）---將域名解析到ip地址上
C name（別名記錄）---將一個域名解析到另外一個域名上
NS:域名服務器地址是經過DNS的NS記錄進行定義和註冊的　---域名服務器
MX:域名SMTP服務器地址是經過DNS的MX記錄（郵件交換）進行定義和註冊的  ---郵件交換記錄
ptr記錄：經過IP地址反向解析域名　---反向解析

 
DNS信息收集----nslookup(exit退出)
1.nslookup　www.sina.com
2.server
3.set=a ca mx ns any
4.nslookup -q=any 163.com 114.114.114.114
cat /etc/resolv.conf

DNS解析過程：
命令：nslookup
直接輸入域名，而後進行一步步的解析

參數：    
1.set type=a（只查詢主機記錄）
www.sina.com
2.set type=mx（只查詢郵件交換記錄）
sina.com(這裏不能加www)對應三個多是a記錄，也多是cn記錄，數值越小優先級越高

sina.com    mail exchanger = 10freemx2.sinamail.sina.com.cn.
sina.com    mail exchanger = 10freemx3.sinamail.sina.com.cn.
sina.com    mail exchanger = 5freemx1.sinamail.sina.com.cn.

set type=a
freemx2.sinamail.sina.com.cn.
freemx3.sinamail.sina.com.cn.
freemx1.sinamail.sina.com.cn.


3.set type=ns
sina.com

sina.com    nameserver = ns4.sina.com.
sina.com    nameserver = ns2.sina.com.
sina.com    nameserver = ns3.sina.com.
sina.com    nameserver = ns3.sina.com.cn.
sina.com    nameserver = ns4.sina.com.cn.
sina.com    nameserver = ns2.sina.com.cn.
sina.com    nameserver = ns1.sina.com.cn.
sina.com    nameserver = ns1.sina.com.

set type=a
ns4.sina.com.(依次類推能夠將新浪的ns記錄解析出來)

4.set type=ptr
ip
5.更改dns服務器：server xxxx（IP地址）
智能dns：根據終端使用的dns不一樣，返回的解析IP地址也是不同的
6.set type=any（全部記錄都會被解析出來）
sina.com
7.spf：反垃圾郵件
nslookup -type=any 163.com 114.114.114.114
-type=any //指定類型
163.com  //指定須要查詢的域名
114.114.114.114 //指定dns服務器

 
DNS信息收集----DIG
DIG:功能遠遠強大於nslookup
1.dig any 163.com @8.8.8.8
any //指定dns查詢類型
163.com //指定要查詢的域名
@8.8.8.8 //指定dns服務器,不指定的狀況下會使用本機默認的dns
建議進行dns解析域名查詢時，建議使用不一樣的dns服務器進行查詢
2.dig  sina.com any
dig +noall +answer mail.sina.com any | awk' {print $5}'
結果:mail163.ntes53.netease.com.
+noall 什麼結果都不輸出
+answer 查看結果
3.反向查詢：
dig 163.com mx
dig 163mx00.mxmail.netease.com
dig -x 220.181.14.159
-x //反向查詢，ptr記錄
查詢出的結果與之對應的郵箱不一樣，這裏由於是一對多的狀況，因此正常
4.bind版本信息：dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
txt //bind版本類型信息
chaos //類級別
建議隱藏bind版本信息
目的：查詢dns服務器的漏洞，哪些補丁沒打，利用漏洞獲取全部dns的記錄
根據查詢結果，網上查詢版本是否最新，不是最新與最新之間修復哪些漏洞，進行研究，漏洞利用
舉例：
dig sina.com ns
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com(替換)
通常狀況是對用戶沒什麼做用，可是對黑客比較感興趣----建議隱藏bind版本信息
5.dns追蹤，不向dns服務器查詢，直接訪問根域服務器，com服務器
抓包比較遞歸查詢與迭代查詢的區別
(1)dig +trace www.sina.com(迭代查詢)
①13個.域根域服務器
②.com域
③sina.com
④www.sina.com
(2)dig sina.com(遞歸查詢)
dns->arp

如何避免根域服務器，com服務器被劫持的狀況？    

若是發生域名服務器被劫持的狀況，其中一個域名服務器的IP地址必定是不正常的IP地址或名稱，就能夠發現某一級服務器被劫持



區域傳輸：

dns信息收集：

nslookup，dig查詢已知域名，對已知域名信息進行查詢，好比查詢新浪下的主機記錄，及對應IP地址，便可獲取攻擊面，根據面的軟件版本，配置進行滲透設置

若是能知道目標系統中域的全部主機記錄名稱，是最關鍵，dns信息蒐集最重要的





dns服務器之間有同步機制，當數據庫發生變動時，會同步，正常狀況下，區域傳輸只會發生在本域的域名服務器下，但有可能管理員粗枝大葉配置錯誤，會形成任何人均可以進行域名傳輸，任何人就能夠得到全部的主機記錄名稱及對應IP地址

對目標服務器進行區域傳輸命令：

dig @ns1.example.com example.com axfr

@ns1.example.com：指定域名服務器

example.com：指定須要查詢的主機記錄

axfr：差別化傳輸

示例：

①dig sina.com ns //找到sina.com的域名服務器，隨機挑選一個進行區域傳輸

②dig @ns2.sina.com sina.com axfr //失敗後抓包查看

要注意：DNS域名查詢是使用udp的53端口，可是進行區域傳輸鏈接的時候使用tcp的53端口

 

tcp鏈接完成以後還會進行一次dns查詢，類型是axfr，並且使用的仍是tcp的53端口


拒絕包：


另一個命令實現：

host -T -l sina.com ns3.sina.com

-T：使用tcp傳輸方式

-l：進行axfr的區域傳輸

 

host命令：

參數：

-h //查看經常使用參數

-T //使用tcp傳輸方式

-l //進行axfr的區域傳輸

 

命令幫助手冊：

①-h參數

②--help參數

③man+命令

④info+命令

 

字典爆破：

目標服務器不容許區域傳輸，如何獲取更多的更多的主機記錄信息呢？

最經常使用：字典爆破，把大量的經常使用主機記錄存爲一個字典，而後進行字典爆破，若是目標服務器存在該主機記錄，便會返回主機記錄及IP地址

字典：

①本身建立

②kali自帶

命令：

①fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlista.txt

dpkg 基於debian的包管理程序

-L fierce//指定查找fierce相關文件

②dnsdict6 -d4 -t 16 -x sina.com（速度快，）

參數：

-t //指定線程數，可併發

-x //指定使用什麼自帶字典

-d4 //使用ipv4地址

-D //指定使用具體字典

③dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -osina.xml(功能全面)

find / -name dnsenum

④dnsmap sina.com -w dns.txt

⑤dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt

--lifetime 10 //指定超時時間

⑥dnsrecon -t std -d sina.com

註冊信息：

DNS註冊信息

Whois

whois -h whois.apnic.net 192.0.43.10

搜索引擎：

公司動態

重要僱員信息

機密文檔、網絡拓撲

用戶名密碼

目標系統軟硬件技術架構

常見的搜索引擎：

①shodan：搜索聯網的設備

原理：爬網，搜索banner信息

網站：https://www.shodan.io/

Banner： http、ftp、 ssh、 telnet

常見filter：

net （192.168.20.1）

city

country（CN、 US）

port（80、2一、 2二、 23）

os

Hostname（主機或域名）

示例：

net：8.8.8.0/24

country:CN city:beijing