安全牛-被动收集

被动信息收集
基于公开渠道可获得的信息
与目标系统不产生直接的交互
尽量避免留下一切痕迹。
开源智能文档：
美国军方： http://www.fas.org/irp/doddir/army/atp2-22-9.pdf
北大洋公约组织：http://information-retrieval.info/docs/NATO-OSINT.html

信息收集的三大阶段
①passive reconnaissance（被动侦察）
②normal interraction（正常交互）
③active reconnaissance（主动侦察）

信息收集内容
IP地址段
域名信息
邮件地址：定位目标邮件服务器，为后续进行社会工程学的攻击和探测
文档图片数据：公司人员，产品文档信息
公司地址：物理渗透
公司组织架构：对不同部门展开社会工程学
联系电话 / 传真号码
人员姓名 / 职务
目标系统使用的技术架构：搜索引擎和工具可以发现
公开的商业信息

信息用途
用信息描述目标
发现
社会工程学攻击
物理缺口


信息收集----DNS
1.域名与FQDN
  域名：sina.com
  FQDN（完全限定域名）:www.sina.com.
2.域名记录：
A记录（主机记录）---将域名解析到ip地址上
C name（别名记录）---将一个域名解析到另一个域名上
NS:域名服务器地址是通过DNS的NS记录进行定义和注册的　---域名服务器
MX:域名SMTP服务器地址是通过DNS的MX记录（邮件交换）进行定义和注册的  ---邮件交换记录
ptr记录：通过IP地址反向解析域名　---反向解析

 
DNS信息收集----nslookup(exit退出)
1.nslookup　www.sina.com
2.server
3.set=a ca mx ns any
4.nslookup -q=any 163.com 114.114.114.114
cat /etc/resolv.conf

DNS解析过程：
命令：nslookup
直接输入域名，然后进行一步步的解析

参数：    
1.set type=a（只查询主机记录）
www.sina.com
2.set type=mx（只查询邮件交换记录）
sina.com(这里不能加www)对应三个可能是a记录，也可能是cn记录，数值越小优先级越高

sina.com    mail exchanger = 10freemx2.sinamail.sina.com.cn.
sina.com    mail exchanger = 10freemx3.sinamail.sina.com.cn.
sina.com    mail exchanger = 5freemx1.sinamail.sina.com.cn.

set type=a
freemx2.sinamail.sina.com.cn.
freemx3.sinamail.sina.com.cn.
freemx1.sinamail.sina.com.cn.


3.set type=ns
sina.com

sina.com    nameserver = ns4.sina.com.
sina.com    nameserver = ns2.sina.com.
sina.com    nameserver = ns3.sina.com.
sina.com    nameserver = ns3.sina.com.cn.
sina.com    nameserver = ns4.sina.com.cn.
sina.com    nameserver = ns2.sina.com.cn.
sina.com    nameserver = ns1.sina.com.cn.
sina.com    nameserver = ns1.sina.com.

set type=a
ns4.sina.com.(依次类推可以将新浪的ns记录解析出来)

4.set type=ptr
ip
5.更改dns服务器：server xxxx（IP地址）
智能dns：根据终端使用的dns不同，返回的解析IP地址也是不一样的
6.set type=any（所有记录都会被解析出来）
sina.com
7.spf：反垃圾邮件
nslookup -type=any 163.com 114.114.114.114
-type=any //指定类型
163.com  //指定需要查询的域名
114.114.114.114 //指定dns服务器

 
DNS信息收集----DIG
DIG:功能远远强大于nslookup
1.dig any 163.com @8.8.8.8
any //指定dns查询类型
163.com //指定要查询的域名
@8.8.8.8 //指定dns服务器,不指定的情况下会使用本机默认的dns
建议进行dns解析域名查询时，建议使用不同的dns服务器进行查询
2.dig  sina.com any
dig +noall +answer mail.sina.com any | awk' {print $5}'
结果:mail163.ntes53.netease.com.
+noall 什么结果都不输出
+answer 查看结果
3.反向查询：
dig 163.com mx
dig 163mx00.mxmail.netease.com
dig -x 220.181.14.159
-x //反向查询，ptr记录
查询出的结果与之对应的邮箱不同，这里因为是一对多的情况，所以正常
4.bind版本信息：dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
txt //bind版本类型信息
chaos //类级别
建议隐藏bind版本信息
目的：查询dns服务器的漏洞，哪些补丁没打，利用漏洞获取所有dns的记录
根据查询结果，网上查询版本是否最新，不是最新与最新之间修复哪些漏洞，进行研究，漏洞利用
举例：
dig sina.com ns
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com(替换)
一般情况是对用户没什么作用，但是对黑客比较感兴趣----建议隐藏bind版本信息
5.dns追踪，不向dns服务器查询，直接访问根域服务器，com服务器
抓包比较递归查询与迭代查询的区别
(1)dig +trace www.sina.com(迭代查询)
①13个.域根域服务器
②.com域
③sina.com
④www.sina.com
(2)dig sina.com(递归查询)
dns->arp

如何避免根域服务器，com服务器被劫持的情况？    

如果发生域名服务器被劫持的情况，其中一个域名服务器的IP地址一定是不正常的IP地址或名称，就可以发现某一级服务器被劫持



区域传输：

dns信息收集：

nslookup，dig查询已知域名，对已知域名信息进行查询，比如查询新浪下的主机记录，及对应IP地址，即可获取攻击面，根据面的软件版本，配置进行渗透设置

如果能知道目标系统中域的所有主机记录名称，是最关键，dns信息搜集最重要的





dns服务器之间有同步机制，当数据库发生变更时，会同步，正常情况下，区域传输只会发生在本域的域名服务器下，但有可能管理员粗心大意配置错误，会造成任何人都可以进行域名传输，任何人就可以获得所有的主机记录名称及对应IP地址

对目标服务器进行区域传输命令：

dig @ns1.example.com example.com axfr

@ns1.example.com：指定域名服务器

example.com：指定需要查询的主机记录

axfr：差异化传输

示例：

①dig sina.com ns //找到sina.com的域名服务器，随机挑选一个进行区域传输

②dig @ns2.sina.com sina.com axfr //失败后抓包查看

要注意：DNS域名查询是使用udp的53端口，但是进行区域传输连接的时候使用tcp的53端口

 

tcp连接完成之后还会进行一次dns查询，类型是axfr，而且使用的还是tcp的53端口


拒绝包：


另外一个命令实现：

host -T -l sina.com ns3.sina.com

-T：使用tcp传输方式

-l：进行axfr的区域传输

 

host命令：

参数：

-h //查看常用参数

-T //使用tcp传输方式

-l //进行axfr的区域传输

 

命令帮助手册：

①-h参数

②--help参数

③man+命令

④info+命令

 

字典爆破：

目标服务器不允许区域传输，如何获取更多的更多的主机记录信息呢？

最常用：字典爆破，把大量的常用主机记录存为一个字典，然后进行字典爆破，如果目标服务器存在该主机记录，便会返回主机记录及IP地址

字典：

①自己创建

②kali自带

命令：

①fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlista.txt

dpkg 基于debian的包管理程序

-L fierce//指定查找fierce相关文件

②dnsdict6 -d4 -t 16 -x sina.com（速度快，）

参数：

-t //指定线程数，可并发

-x //指定使用什么自带字典

-d4 //使用ipv4地址

-D //指定使用具体字典

③dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -osina.xml(功能全面)

find / -name dnsenum

④dnsmap sina.com -w dns.txt

⑤dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt

--lifetime 10 //指定超时时间

⑥dnsrecon -t std -d sina.com

注册信息：

DNS注册信息

Whois

whois -h whois.apnic.net 192.0.43.10

搜索引擎：

公司动态

重要雇员信息

机密文档、网络拓扑

用户名密码

目标系统软硬件技术架构

常见的搜索引擎：

①shodan：搜索联网的设备

原理：爬网，搜索banner信息

网站：https://www.shodan.io/

Banner： http、ftp、 ssh、 telnet

常见filter：

net （192.168.20.1）

city

country（CN、 US）

port（80、21、 22、 23）

os

Hostname（主机或域名）

示例：

net：8.8.8.0/24

country:CN city:beijing