0x01.被动信息收集
被动信息收集
基于公开渠道,不与目标系统产生直接交互,尽量避免留下痕迹(不进行大量扫描,正常交互范围)
信息收集内容
- IP段
- 域名
- 邮件地址(定位邮件服务器,分为个人搭建和公网邮件系统)
- 文档图片数据(可能是公开的、搜索引擎爬到的、泄漏的等)
- 公司地址(可进行物理渗透)
- 公司组织架构(针对不同部门、不同岗位展开渗透)
- 联系电话/传真号码
- 目标系统技术架构
- 公开的商业信息
信息用途
- 用信息描述目标
- 发现资产架构
- 社会工程学工具
- 物理缺口
信息收集-DNS(建议尝试不同的DNS服务器做查询)
DNS——域名解析成IP地址
- 域名与FQDN的区别(baidu.com叫域名,www.baidu.com叫FQDN-主机记录-完全限定域名)
- 域名记录:A(主机记录)、CNAME(别名记录)、NS(域名服务器)、MX(邮件服务器)、PTR(反向域名解析-IP->域名)
- 递归查询、迭代查询
DNS——nslookup
1、自动判断域名类型,逐级解析
nslookup www.sina.com(nslookup [-type=any] 163.com [8.8.8.8])
test@ubuntu:/opt/tools$ nslookup
> www.sina.com
Server: 127.0.1.1 //当前的DNS服务器
Address: 127.0.1.1# Non-authoritative answer:
www.sina.com canonical name = us.sina.com.cn. //这里没有解析出IP地址,说明www.sina.com不是主机记录是一个CNAME记录
us.sina.com.cn canonical name = wwwus.sina.com.
Name: wwwus.sina.com
Address: 66.102.251.33 //这里其实nslookup已经自动执行下面步骤,解析出来最终结果
> us.sina.com.cn //CNAME
Server: 127.0.1.1
Address: 127.0.1.1# Non-authoritative answer:
us.sina.com.cn canonical name = wwwus.sina.com.
Name: wwwus.sina.com
Address: 66.102.251.33
> wwwus.sina.com //A记录-主机记录
Server: 127.0.1.1
Address: 127.0.1.1# Non-authoritative answer:
Name: wwwus.sina.com
Address: 66.102.251.33
2、手动配置类型
set type=a、nx、mx、ptr、any(或者set p=)
> set type=mx //只查询mx记录
> sina.com
Server: 127.0.1.1
Address: 127.0.1.1# Non-authoritative answer:
sina.com mail exchanger = freemx2.sinamail.sina.com.cn.
sina.com mail exchanger = freemx3.sinamail.sina.com.cn.
sina.com mail exchanger = freemx1.sinamail.sina.com.cn. //默认情况下数值越小,优先级越高 > set type=a //查询A记录
> freemx1.sinamail.sina.com.cn
Server: 127.0.1.1
Address: 127.0.1.1#53 Non-authoritative answer:
Name: freemx1.sinamail.sina.com.cn
Address: 60.28.113.250 > set type=ns //NS域名服务器记录
> sina.com
Server: 127.0.1.1
Address: 127.0.1.1#53 Non-authoritative answer:
sina.com nameserver = ns3.sina.com.
sina.com nameserver = ns4.sina.com.cn.
sina.com nameserver = ns2.sina.com.
sina.com nameserver = ns2.sina.com.cn.
sina.com nameserver = ns1.sina.com.cn.
sina.com nameserver = ns3.sina.com.cn.
sina.com nameserver = ns4.sina.com.
sina.com nameserver = ns1.sina.com.
> set type=any //查询所有记录
> oppo.com
Server: 127.0.1.1
Address: 127.0.1.1#53 Non-authoritative answer:
oppo.com
origin = ns3.dnsv5.com
mail addr = enterprise3dnsadmin.dnspod.com
serial = 1501171870
refresh = 3600
retry = 180
expire = 1209600
minimum = 180 //下面的spf记录是反垃圾邮件
oppo.com text = "v=spf1 ip4:121.12.164.116 ip4:121.10.21.117 ip4:121.12.164.114 ip4:202.153.93.143 ip4:183.129.228.7 ip4:183.129.228.6 ip4:121.10.21.118 ip4:121.10.21.114 include:spf.dynect.net ~all"
oppo.com text = "google-site-verification=Bck8mAGGpQV1cumrBtcI-ih3_D3LVw26TFElSeeZuXE"
oppo.com mail exchanger = 10 mx01.oppo.com.
Name: oppo.com
Address: 60.12.225.132
oppo.com nameserver = ns4.dnsv5.com.
oppo.com nameserver = ns3.dnsv5.com.
3、指定解析服务器
server 8.8.8.8(不同DNS服务器解析出来的结果可能不同,智能DNS)
> server 8.8.8.8
Default server: 8.8.8.8
Address: 8.8.8.8#
> www.sina.com
Server: 8.8.8.8
Address: 8.8.8.8# Non-authoritative answer:
www.sina.com canonical name = us.sina.com.cn.
us.sina.com.cn canonical name = wwwus.sina.com. Authoritative answers can be found from:
sina.com
origin = ns1.sina.com.cn
mail addr = zhihao.staff.sina.com.cn
serial =
refresh =
retry =
expire =
minimum =
DNS——dig(功能强于nslooup)
dig 163.com any @8.8.8.8
test@ubuntu:~$ dig sina.com any @8.8.8.8 ; <<>> DiG 9.10.-P4-Ubuntu <<>> sina.com any @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:
;; flags: qr rd ra; QUERY: , ANSWER: , AUTHORITY: , ADDITIONAL: ;; OPT PSEUDOSECTION:
; EDNS: version: , flags:; udp:
;; QUESTION SECTION:
;sina.com. IN ANY ;; ANSWER SECTION:
sina.com. IN TXT "v=spf1 include:spf.sinamail.sina.com.cn -all"
sina.com. IN NS ns2.sina.com.cn.
sina.com. IN NS ns4.sina.com.cn.
sina.com. IN NS ns2.sina.com.
sina.com. IN NS ns1.sina.com.
sina.com. IN NS ns1.sina.com.cn.
sina.com. IN NS ns4.sina.com.
sina.com. IN NS ns3.sina.com.cn.
sina.com. IN NS ns3.sina.com.
sina.com. IN A 66.102.251.33 ;; Query time: msec
;; SERVER: 8.8.8.8#(8.8.8.8)
;; WHEN: Sun Aug :: CST
;; MSG SIZE rcvd:
dig +noall mail.163.com any(什么都不显示noall)
dig +noall +answer mail.163.com any(仅显示answer)
test@ubuntu:~$ dig +noall +answer mail..com any
mail..com. IN CNAME mail163.ntes53.netease.com.
dig +noall +answer mail.163.com any | awk '{print $5}'(结合管道输出)
test@ubuntu:~$ dig +noall +answer mail..com any | awk '{print $5}'
mail163.ntes53.netease.com.
dig -x IP地址(反向查询)
test@ubuntu:~$ dig +noall +answer -x 220.181.14.135
135.14.181.220.in-addr.arpa. IN PTR mr14135.mail..com.
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com(查询BIND版本,根据版本漏洞获取DNS服务器权限,拿下更多DNS记录等)
test@ubuntu:~$ dig +noall +answer txt chaos VERSION.BIND @ns3.qq.com
VERSION.BIND. CH TXT "Why query me?Your IP had been logged!" //现在的DNS一般都做了保护模式
dig +trace sina.com(查询过程,跳过缓存从根域开始)
test@ubuntu:~$ dig +trace www163.com ; <<>> DiG 9.10.-P4-Ubuntu <<>> +trace www163.com
;; global options: +cmd
. IN NS j.root-servers.net.
. IN NS g.root-servers.net.
. IN NS b.root-servers.net.
. IN NS f.root-servers.net.
. IN NS a.root-servers.net.
. IN NS l.root-servers.net.
. IN NS i.root-servers.net.
. IN NS h.root-servers.net.
. IN NS d.root-servers.net.
. IN NS m.root-servers.net.
. IN NS c.root-servers.net.
. IN NS e.root-servers.net.
. IN NS k.root-servers.net.
. IN RRSIG NS . Dw1E3oCc0/16dZsOu77LbkBH3J225c/tU7DOrWN6RAPmNgS7uBycwjww KVvoWqUiMRBx8zfOk3RN4svR+El5Xjy5jhN5Ba2ZhuCrrHzhNlWmOL8L EKUY9TMJEkl7kiFAOO+H25bOlrcRUV4yif67MfYMl+F7sPc56O9w1/6j E57lBdwafZAZYSZ7CThFb8UDU/QgLnI6LFta8tWjmbG3zhFXZyodOrkq tktkPgNWy9Wqcv3asRc21gEr74W5ZSo5BriJrtIVFQ+rx7ewFbb97Axo 9e3bkoNyUCgZiSdt6YfVYTnPngax9JSAiKLsiBI4NOMPaZP0kWu4ypRp NZLMCg==
;; Received bytes from 127.0.1.1#(127.0.1.1) in ms com. IN NS e.gtld-servers.net.
com. IN NS g.gtld-servers.net.
com. IN NS f.gtld-servers.net.
com. IN NS a.gtld-servers.net.
com. IN NS m.gtld-servers.net.
com. IN NS c.gtld-servers.net.
com. IN NS h.gtld-servers.net.
com. IN NS k.gtld-servers.net.
com. IN NS l.gtld-servers.net.
com. IN NS i.gtld-servers.net.
com. IN NS b.gtld-servers.net.
com. IN NS j.gtld-servers.net.
com. IN NS d.gtld-servers.net.
com. IN DS E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com. IN RRSIG DS . EmAR+AZJ7iqSBsOfa8pawMWgsVe35TdvIVJh6Pg2lHlthvIhi2nxaV0n wEy7ZV7/WDMsR5ZDO9Msh7q3RTMUkqkXFrVVK301tdgq7xcDVyToIV3Y tonYkV0Ig5H1qptYHOnPyDSeeABurkmdkI6/PqgJMgFWyhBvvAB3qz0e xahU8P0VMSPCQ1bZKtpvGhKz0sUc3fRM0dZC8E2varrxSjSnEpY71EDl X7HyrlCCpyTgpa4ge6mQ2ayZrMTUmYFKt2eN7WZmVNATTAfap78QlGRx FbBOsrRmTNev2E/IMutbvPChm2K5FO1PmrrmxrdUqchh293pCswg8eKc BOsaUQ==
;; Received bytes from 192.58.128.30#(j.root-servers.net) in ms www163.com. IN NS dns1.acsite.net.
www163.com. IN NS dns2.acsite.net.
;; Received bytes from 192.33.14.30#(b.gtld-servers.net) in ms www163.com. IN NS dns1.acsite.net.
www163.com. IN NS dns2.acsite.net.
;; BAD (HORIZONTAL) REFERRAL
;; Received bytes from 198.15.68.212#(dns2.acsite.net) in ms com. IN NS f.gtld-servers.net.
com. IN NS m.gtld-servers.net.
com. IN NS l.gtld-servers.net.
com. IN NS b.gtld-servers.net.
com. IN NS d.gtld-servers.net.
com. IN NS h.gtld-servers.net.
com. IN NS g.gtld-servers.net.
com. IN NS a.gtld-servers.net.
com. IN NS j.gtld-servers.net.
com. IN NS k.gtld-servers.net.
com. IN NS c.gtld-servers.net.
com. IN NS i.gtld-servers.net.
com. IN NS e.gtld-servers.net.
com. IN DS E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com. IN RRSIG DS . EmAR+AZJ7iqSBsOfa8pawMWgsVe35TdvIVJh6Pg2lHlthvIhi2nxaV0n wEy7ZV7/WDMsR5ZDO9Msh7q3RTMUkqkXFrVVK301tdgq7xcDVyToIV3Y tonYkV0Ig5H1qptYHOnPyDSeeABurkmdkI6/PqgJMgFWyhBvvAB3qz0e xahU8P0VMSPCQ1bZKtpvGhKz0sUc3fRM0dZC8E2varrxSjSnEpY71EDl X7HyrlCCpyTgpa4ge6mQ2ayZrMTUmYFKt2eN7WZmVNATTAfap78QlGRx FbBOsrRmTNev2E/IMutbvPChm2K5FO1PmrrmxrdUqchh293pCswg8eKc BOsaUQ==
;; BAD REFERRAL
;; Received bytes from 174.128.253.29#(dns1.acsite.net) in ms
DNS——区域传输
dig @ns1.example.com example.com axfr
host -T -l example.com ns1.example.com(-T使用TCP,-l进行域传输)
0x01.被动信息收集的更多相关文章
- 小白日记2:kali渗透测试之被动信息收集(一)
一.被动信息收集 被动信息收集指的是通过公开渠道可获得的信息,与目标系统不产生直接交互,尽量避免留下一切痕迹的信息探测.被动探测技术收集的信息可以大致分为两类, 即配置信息和状态信息. 被动探测可收集 ...
- 被动信息收集1——DNS基础 + DNS解析工具 NSLOOKUP使用
被动信息收集 特点: 基于公开渠道 与目标不直接接触 避免留下一切痕迹 标准參考--OSINT: 美国军方 北大西洋公约组织 名词解释 DNS--Domain Name System 域名系统 因特网 ...
- python-arp 被动信息收集
python-arp 被动信息收集 概述 横向移动的时候由于局域网中可能存在未分配的IP,如果请求这些未分配的IP可能导致被发现(旁路检测设备),先可以做一下arp被动信息收集.当然对蜜罐类设备没用. ...
- 小白日记6:kali渗透测试之被动信息收集(五)-Recon-ng
Recon-ng Recon-NG是由python编写的一个开源的Web侦查(信息收集)框架.Recon-ng框架是一个全特性的工具,使用它可以自动的收集信息和网络侦查.其命令格式与Metasploi ...
- 小白日记5:kali渗透测试之被动信息收集(四)--theHarvester,metagoofil,meltag,个人专属密码字典--CUPP
1.theHarvester theHarvester是一个社会工程学工具,它通过搜索引擎.PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息. ...
- Kali学习笔记5:被动信息收集工具集
1.Shodan SHODAN搜索引擎不像百度谷歌等,它们爬取的是网页,而SHODAN搜索的是设备. 物联网使用过程中,通常容易出现安全问题,如果被黑客用SHODAN搜索到,后果不堪设想. 网站:ht ...
- kali linux之被动信息收集(dns信息收集,区域传输,字典爆破)
公开可获取的信息,不与目标系统产生交互,避免留下痕迹 下图来自美军方 pdf链接:http://www.fas.org/irp/doddir/army/atp2-22-9.pdf 信息收集内容(可利用 ...
- 被动信息收集-其他收集目标信息的途径:cupp、 recon-ng
除了google等搜索收集,还有其他途径进行信息收集,其中就包括用命令行或集成的软件.框架进行搜集信息. 1.先举例几个简单的命令: 其实也会是调用搜索引擎,如谷歌必应等,需要翻墙,可以用proxyc ...
- 小白日记3:kali渗透测试之被动信息收集(二)-dig、whios、dnsenum、fierce
一.DIG linux下查询域名解析有两种选择,nslookup或者dig.Dig(Domain Information Groper)是一个在类Unix命令行模式下查询DNS包括NS记录,A记录,M ...
随机推荐
- 爬虫技术框架——Heritrix
Heritrix是一个由Java开发的开源Web爬虫系统,用来获取完整的.精确的站点内容的深度复制, 具有强大的可扩展性,运行开发者任意选择或扩展各个组件,实现特定的抓取逻辑. 一.Heritrix介 ...
- mysql:数据库保存时间的类型——int和datetime的区别
我们都知道,时间保存在数据库中,可以选择使用两种类型,一种是int,一种是datetime 那么,它们两个有什么区别呢?要怎么用呢? 现在和小仓鼠一起来探讨一下 1.int和datetime的使用区别 ...
- 在Markdown中插入不会显示的注释文本
方法1 <!-- your comment goes here --> 方法2 [//]: <> (This is also a comment.) 原文地址: https:/ ...
- github设置添加SSH(转载自:破男孩)
注:本文来源于 破男孩 博客(http://www.cnblogs.com/ayseeing/p/3572582.html)能切实解决问题. 很多朋友在用github管理项目的时候,都是直接使用htt ...
- 有一个form,包含两个text,和两个按钮,当用户按第一个按扭时把数据提交到url1,按第二个按钮提交到url2,怎么实现呀?
<form name="form1" method="post" action=""> <input type=" ...
- 立体最短路径,广搜(POJ2251)
题目链接:http://poj.org/problem?id=2251 参考了一下大神们的解法.也有用深搜的.然而,之前不久看到一句话,最短路径——BFS. 参考:http://blog.csdn.n ...
- 2017.10.26 JavaWeb----第五章 JavaBean技术
JavaWeb----第五章 JavaBean技术 (1)JavaBean技术 JavaBean技术是javaweb程序的重要组成部分,是一个可重复使用的软件组件,是用Java语言编写的.遵循一定的标 ...
- Spring boot 集成三种拦截方式
三种拦截方式分别为: javax.servlet.Filter org.springframework.web.servlet.HandlerInterceptor org.aspectj.lang. ...
- ajax(form)图片上传(spring)
第一步:spring-web.xml <!--配置上传下载--> <bean id="multipartResolver" class="org.spr ...
- spring中使用i18n(国际化)
简单了解i18n i18n(其来源是英文单词internationalization的首末字符i和n,18为中间的字符数)是“国际化”的简称.在资讯领域,国际化(i18n)指让产品(出版物,软件,硬件 ...