0x01.被动信息收集
被动信息收集
基于公开渠道,不与目标系统产生直接交互,尽量避免留下痕迹(不进行大量扫描,正常交互范围)
信息收集内容
- IP段
- 域名
- 邮件地址(定位邮件服务器,分为个人搭建和公网邮件系统)
- 文档图片数据(可能是公开的、搜索引擎爬到的、泄漏的等)
- 公司地址(可进行物理渗透)
- 公司组织架构(针对不同部门、不同岗位展开渗透)
- 联系电话/传真号码
- 目标系统技术架构
- 公开的商业信息
信息用途
- 用信息描述目标
- 发现资产架构
- 社会工程学工具
- 物理缺口
信息收集-DNS(建议尝试不同的DNS服务器做查询)
DNS——域名解析成IP地址
- 域名与FQDN的区别(baidu.com叫域名,www.baidu.com叫FQDN-主机记录-完全限定域名)
- 域名记录:A(主机记录)、CNAME(别名记录)、NS(域名服务器)、MX(邮件服务器)、PTR(反向域名解析-IP->域名)
- 递归查询、迭代查询
DNS——nslookup
1、自动判断域名类型,逐级解析
nslookup www.sina.com(nslookup [-type=any] 163.com [8.8.8.8])
test@ubuntu:/opt/tools$ nslookup
> www.sina.com
Server: 127.0.1.1 //当前的DNS服务器
Address: 127.0.1.1# Non-authoritative answer:
www.sina.com canonical name = us.sina.com.cn. //这里没有解析出IP地址,说明www.sina.com不是主机记录是一个CNAME记录
us.sina.com.cn canonical name = wwwus.sina.com.
Name: wwwus.sina.com
Address: 66.102.251.33 //这里其实nslookup已经自动执行下面步骤,解析出来最终结果
> us.sina.com.cn //CNAME
Server: 127.0.1.1
Address: 127.0.1.1# Non-authoritative answer:
us.sina.com.cn canonical name = wwwus.sina.com.
Name: wwwus.sina.com
Address: 66.102.251.33
> wwwus.sina.com //A记录-主机记录
Server: 127.0.1.1
Address: 127.0.1.1# Non-authoritative answer:
Name: wwwus.sina.com
Address: 66.102.251.33
2、手动配置类型
set type=a、nx、mx、ptr、any(或者set p=)
> set type=mx //只查询mx记录
> sina.com
Server: 127.0.1.1
Address: 127.0.1.1# Non-authoritative answer:
sina.com mail exchanger = freemx2.sinamail.sina.com.cn.
sina.com mail exchanger = freemx3.sinamail.sina.com.cn.
sina.com mail exchanger = freemx1.sinamail.sina.com.cn. //默认情况下数值越小,优先级越高 > set type=a //查询A记录
> freemx1.sinamail.sina.com.cn
Server: 127.0.1.1
Address: 127.0.1.1#53 Non-authoritative answer:
Name: freemx1.sinamail.sina.com.cn
Address: 60.28.113.250 > set type=ns //NS域名服务器记录
> sina.com
Server: 127.0.1.1
Address: 127.0.1.1#53 Non-authoritative answer:
sina.com nameserver = ns3.sina.com.
sina.com nameserver = ns4.sina.com.cn.
sina.com nameserver = ns2.sina.com.
sina.com nameserver = ns2.sina.com.cn.
sina.com nameserver = ns1.sina.com.cn.
sina.com nameserver = ns3.sina.com.cn.
sina.com nameserver = ns4.sina.com.
sina.com nameserver = ns1.sina.com.
> set type=any //查询所有记录
> oppo.com
Server: 127.0.1.1
Address: 127.0.1.1#53 Non-authoritative answer:
oppo.com
origin = ns3.dnsv5.com
mail addr = enterprise3dnsadmin.dnspod.com
serial = 1501171870
refresh = 3600
retry = 180
expire = 1209600
minimum = 180 //下面的spf记录是反垃圾邮件
oppo.com text = "v=spf1 ip4:121.12.164.116 ip4:121.10.21.117 ip4:121.12.164.114 ip4:202.153.93.143 ip4:183.129.228.7 ip4:183.129.228.6 ip4:121.10.21.118 ip4:121.10.21.114 include:spf.dynect.net ~all"
oppo.com text = "google-site-verification=Bck8mAGGpQV1cumrBtcI-ih3_D3LVw26TFElSeeZuXE"
oppo.com mail exchanger = 10 mx01.oppo.com.
Name: oppo.com
Address: 60.12.225.132
oppo.com nameserver = ns4.dnsv5.com.
oppo.com nameserver = ns3.dnsv5.com.
3、指定解析服务器
server 8.8.8.8(不同DNS服务器解析出来的结果可能不同,智能DNS)
> server 8.8.8.8
Default server: 8.8.8.8
Address: 8.8.8.8#
> www.sina.com
Server: 8.8.8.8
Address: 8.8.8.8# Non-authoritative answer:
www.sina.com canonical name = us.sina.com.cn.
us.sina.com.cn canonical name = wwwus.sina.com. Authoritative answers can be found from:
sina.com
origin = ns1.sina.com.cn
mail addr = zhihao.staff.sina.com.cn
serial =
refresh =
retry =
expire =
minimum =
DNS——dig(功能强于nslooup)
dig 163.com any @8.8.8.8
test@ubuntu:~$ dig sina.com any @8.8.8.8 ; <<>> DiG 9.10.-P4-Ubuntu <<>> sina.com any @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:
;; flags: qr rd ra; QUERY: , ANSWER: , AUTHORITY: , ADDITIONAL: ;; OPT PSEUDOSECTION:
; EDNS: version: , flags:; udp:
;; QUESTION SECTION:
;sina.com. IN ANY ;; ANSWER SECTION:
sina.com. IN TXT "v=spf1 include:spf.sinamail.sina.com.cn -all"
sina.com. IN NS ns2.sina.com.cn.
sina.com. IN NS ns4.sina.com.cn.
sina.com. IN NS ns2.sina.com.
sina.com. IN NS ns1.sina.com.
sina.com. IN NS ns1.sina.com.cn.
sina.com. IN NS ns4.sina.com.
sina.com. IN NS ns3.sina.com.cn.
sina.com. IN NS ns3.sina.com.
sina.com. IN A 66.102.251.33 ;; Query time: msec
;; SERVER: 8.8.8.8#(8.8.8.8)
;; WHEN: Sun Aug :: CST
;; MSG SIZE rcvd:
dig +noall mail.163.com any(什么都不显示noall)
dig +noall +answer mail.163.com any(仅显示answer)
test@ubuntu:~$ dig +noall +answer mail..com any
mail..com. IN CNAME mail163.ntes53.netease.com.
dig +noall +answer mail.163.com any | awk '{print $5}'(结合管道输出)
test@ubuntu:~$ dig +noall +answer mail..com any | awk '{print $5}'
mail163.ntes53.netease.com.
dig -x IP地址(反向查询)
test@ubuntu:~$ dig +noall +answer -x 220.181.14.135
135.14.181.220.in-addr.arpa. IN PTR mr14135.mail..com.
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com(查询BIND版本,根据版本漏洞获取DNS服务器权限,拿下更多DNS记录等)
test@ubuntu:~$ dig +noall +answer txt chaos VERSION.BIND @ns3.qq.com
VERSION.BIND. CH TXT "Why query me?Your IP had been logged!" //现在的DNS一般都做了保护模式
dig +trace sina.com(查询过程,跳过缓存从根域开始)
test@ubuntu:~$ dig +trace www163.com ; <<>> DiG 9.10.-P4-Ubuntu <<>> +trace www163.com
;; global options: +cmd
. IN NS j.root-servers.net.
. IN NS g.root-servers.net.
. IN NS b.root-servers.net.
. IN NS f.root-servers.net.
. IN NS a.root-servers.net.
. IN NS l.root-servers.net.
. IN NS i.root-servers.net.
. IN NS h.root-servers.net.
. IN NS d.root-servers.net.
. IN NS m.root-servers.net.
. IN NS c.root-servers.net.
. IN NS e.root-servers.net.
. IN NS k.root-servers.net.
. IN RRSIG NS . Dw1E3oCc0/16dZsOu77LbkBH3J225c/tU7DOrWN6RAPmNgS7uBycwjww KVvoWqUiMRBx8zfOk3RN4svR+El5Xjy5jhN5Ba2ZhuCrrHzhNlWmOL8L EKUY9TMJEkl7kiFAOO+H25bOlrcRUV4yif67MfYMl+F7sPc56O9w1/6j E57lBdwafZAZYSZ7CThFb8UDU/QgLnI6LFta8tWjmbG3zhFXZyodOrkq tktkPgNWy9Wqcv3asRc21gEr74W5ZSo5BriJrtIVFQ+rx7ewFbb97Axo 9e3bkoNyUCgZiSdt6YfVYTnPngax9JSAiKLsiBI4NOMPaZP0kWu4ypRp NZLMCg==
;; Received bytes from 127.0.1.1#(127.0.1.1) in ms com. IN NS e.gtld-servers.net.
com. IN NS g.gtld-servers.net.
com. IN NS f.gtld-servers.net.
com. IN NS a.gtld-servers.net.
com. IN NS m.gtld-servers.net.
com. IN NS c.gtld-servers.net.
com. IN NS h.gtld-servers.net.
com. IN NS k.gtld-servers.net.
com. IN NS l.gtld-servers.net.
com. IN NS i.gtld-servers.net.
com. IN NS b.gtld-servers.net.
com. IN NS j.gtld-servers.net.
com. IN NS d.gtld-servers.net.
com. IN DS E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com. IN RRSIG DS . EmAR+AZJ7iqSBsOfa8pawMWgsVe35TdvIVJh6Pg2lHlthvIhi2nxaV0n wEy7ZV7/WDMsR5ZDO9Msh7q3RTMUkqkXFrVVK301tdgq7xcDVyToIV3Y tonYkV0Ig5H1qptYHOnPyDSeeABurkmdkI6/PqgJMgFWyhBvvAB3qz0e xahU8P0VMSPCQ1bZKtpvGhKz0sUc3fRM0dZC8E2varrxSjSnEpY71EDl X7HyrlCCpyTgpa4ge6mQ2ayZrMTUmYFKt2eN7WZmVNATTAfap78QlGRx FbBOsrRmTNev2E/IMutbvPChm2K5FO1PmrrmxrdUqchh293pCswg8eKc BOsaUQ==
;; Received bytes from 192.58.128.30#(j.root-servers.net) in ms www163.com. IN NS dns1.acsite.net.
www163.com. IN NS dns2.acsite.net.
;; Received bytes from 192.33.14.30#(b.gtld-servers.net) in ms www163.com. IN NS dns1.acsite.net.
www163.com. IN NS dns2.acsite.net.
;; BAD (HORIZONTAL) REFERRAL
;; Received bytes from 198.15.68.212#(dns2.acsite.net) in ms com. IN NS f.gtld-servers.net.
com. IN NS m.gtld-servers.net.
com. IN NS l.gtld-servers.net.
com. IN NS b.gtld-servers.net.
com. IN NS d.gtld-servers.net.
com. IN NS h.gtld-servers.net.
com. IN NS g.gtld-servers.net.
com. IN NS a.gtld-servers.net.
com. IN NS j.gtld-servers.net.
com. IN NS k.gtld-servers.net.
com. IN NS c.gtld-servers.net.
com. IN NS i.gtld-servers.net.
com. IN NS e.gtld-servers.net.
com. IN DS E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com. IN RRSIG DS . EmAR+AZJ7iqSBsOfa8pawMWgsVe35TdvIVJh6Pg2lHlthvIhi2nxaV0n wEy7ZV7/WDMsR5ZDO9Msh7q3RTMUkqkXFrVVK301tdgq7xcDVyToIV3Y tonYkV0Ig5H1qptYHOnPyDSeeABurkmdkI6/PqgJMgFWyhBvvAB3qz0e xahU8P0VMSPCQ1bZKtpvGhKz0sUc3fRM0dZC8E2varrxSjSnEpY71EDl X7HyrlCCpyTgpa4ge6mQ2ayZrMTUmYFKt2eN7WZmVNATTAfap78QlGRx FbBOsrRmTNev2E/IMutbvPChm2K5FO1PmrrmxrdUqchh293pCswg8eKc BOsaUQ==
;; BAD REFERRAL
;; Received bytes from 174.128.253.29#(dns1.acsite.net) in ms
DNS——区域传输
dig @ns1.example.com example.com axfr
host -T -l example.com ns1.example.com(-T使用TCP,-l进行域传输)
0x01.被动信息收集的更多相关文章
- 小白日记2:kali渗透测试之被动信息收集(一)
一.被动信息收集 被动信息收集指的是通过公开渠道可获得的信息,与目标系统不产生直接交互,尽量避免留下一切痕迹的信息探测.被动探测技术收集的信息可以大致分为两类, 即配置信息和状态信息. 被动探测可收集 ...
- 被动信息收集1——DNS基础 + DNS解析工具 NSLOOKUP使用
被动信息收集 特点: 基于公开渠道 与目标不直接接触 避免留下一切痕迹 标准參考--OSINT: 美国军方 北大西洋公约组织 名词解释 DNS--Domain Name System 域名系统 因特网 ...
- python-arp 被动信息收集
python-arp 被动信息收集 概述 横向移动的时候由于局域网中可能存在未分配的IP,如果请求这些未分配的IP可能导致被发现(旁路检测设备),先可以做一下arp被动信息收集.当然对蜜罐类设备没用. ...
- 小白日记6:kali渗透测试之被动信息收集(五)-Recon-ng
Recon-ng Recon-NG是由python编写的一个开源的Web侦查(信息收集)框架.Recon-ng框架是一个全特性的工具,使用它可以自动的收集信息和网络侦查.其命令格式与Metasploi ...
- 小白日记5:kali渗透测试之被动信息收集(四)--theHarvester,metagoofil,meltag,个人专属密码字典--CUPP
1.theHarvester theHarvester是一个社会工程学工具,它通过搜索引擎.PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息. ...
- Kali学习笔记5:被动信息收集工具集
1.Shodan SHODAN搜索引擎不像百度谷歌等,它们爬取的是网页,而SHODAN搜索的是设备. 物联网使用过程中,通常容易出现安全问题,如果被黑客用SHODAN搜索到,后果不堪设想. 网站:ht ...
- kali linux之被动信息收集(dns信息收集,区域传输,字典爆破)
公开可获取的信息,不与目标系统产生交互,避免留下痕迹 下图来自美军方 pdf链接:http://www.fas.org/irp/doddir/army/atp2-22-9.pdf 信息收集内容(可利用 ...
- 被动信息收集-其他收集目标信息的途径:cupp、 recon-ng
除了google等搜索收集,还有其他途径进行信息收集,其中就包括用命令行或集成的软件.框架进行搜集信息. 1.先举例几个简单的命令: 其实也会是调用搜索引擎,如谷歌必应等,需要翻墙,可以用proxyc ...
- 小白日记3:kali渗透测试之被动信息收集(二)-dig、whios、dnsenum、fierce
一.DIG linux下查询域名解析有两种选择,nslookup或者dig.Dig(Domain Information Groper)是一个在类Unix命令行模式下查询DNS包括NS记录,A记录,M ...
随机推荐
- selenium select 标签选中
public static int SetSelectedIndex(this IWebDriver webdriver, string selector, int selectedIndex) { ...
- Springboot中SpringMvc拦截器配置与应用(实战)
一.什么是拦截器,及其作用 拦截器(Interceptor): 用于在某个方法被访问之前进行拦截,然后在方法执行之前或之后加入某些操作,其实就是AOP的一种实现策略.它通过动态拦截Action调用的对 ...
- ASP.NET Core - 各项配置
之前搭建好了各项开发环境,现在来说说ASP.NET Core的各项配置.项目结构.以及在请求管道中挂载的各式各样的中间件.今天先来探讨探讨其各项配置及其项目结构 ASP.NET Core和上一代F ...
- Js arguments.callee();函数自己调用自己
1.阶乘的时候,函数一般要用到递归算法,所以函数内部一定会调用自身 //递归,阶乘 function sum(num){ ) { ; } else{ ); //自己调用自己,递归 } } alert( ...
- TP5.0: 显示错误信息
在TP5中,我们运行的代码有错误无法执行时,只显示页面错误,而不显示错误信息 对我我来讲是无法接受滴!!毕竟我还是个小渣渣,查看了百度,解决方案是: 在application/config,php中找 ...
- simotion读写CF卡,保存/读取变量
simotion读写CF卡功能 1 使用西门子的Simotion运动控制器时,有时需要用到 读/写 CF卡的功能.主要来自以下几个方面的需求. 1)用户数据量较大,可保持(retain)存储区的容量不 ...
- IOS instancetype的使用好处
instancetype的类型表示上,跟id一样,可以表示任何对象类型 instancetype只能用在返回值类型上,不能像 id 一样用在参数类型上 instancetype 比 id 多一个好处 ...
- LA 3635 派
题目链接:https://icpcarchive.ecs.baylor.edu/index.php?option=com_onlinejudge&Itemid=8&page=show_ ...
- Linux下内存的几个基本概念
先介绍几个基本概念: SIZE: 进程使用的地址空间, 如果进程映射了100M的内存, 进程的地址空间将报告为100M内存. 事实上, 这个大小不是一个程序实际使用的内存数. RSS: "R ...
- 五、@property的参数
格式:@property(参数1,参数2)类型 名字: 参数可有可无 如:@property int age; @property (nonatomic,retain) UIButton* btn; ...