红蓝对抗之信息收集
进行渗透测试之前,最重要的一步就是信息收集。在这个阶段,我们要尽可能地收集目标的信息。所谓“知己知彼,百战不殆”,我们越了解测试目标,测试的工作就越容易。
本文简要整理了一些有关企业信息收集的方式方法,并附上一些工具的链接,方便大家在工作中取用。
附上思维导图思维导图-红蓝对抗之信息收集v2.1.png
企业信息系统化收集
-
根域名收集
1.1 利用ICP备案信息进行收集 目前只要是企业在中国境内需要提供互联网服务,都必须通过ICP工商备案才能运行。而ICP备案信息属于公开披露的信息,所以可以使用网站进行收集。 ICP/IP地址/域名信息备案管理系统:https://beian.miit.gov.cn/,得到目标网址后,再利用目标网址查公司运营主体,再反查主体。 1.2 工商股权信息收集 目前国内所有的企业,无论是私营企业还是国有企业都需要进行工商登记后才能进行企业正常运营。可以使用如下网站:国家企业信用信息公示系统:http://www.gsxt.gov.cn/index.html
应用该网站时,配合好企查查、天眼查、启信宝等网站,找到归属公司(上级公司)或控股公司,再次收集子公司等域名等信息再次进行ICP备案信息收集
1.3 Whois数据信息收集
每个域名的注册都必须对外公开Whois数据,但是现在很多域名商默认都会开启域名隐私保护,我们就需要借助一些数据平台查询域名历史的Whois信息来进行关联了,我们可以通过Whois网站 查询 ICP备案信息和工商股权信息收集到的域名的历史Whois信息,Whois网站:http://whois.chinaz.com/
我们也可以利用whois网站查询以上两种方式查到的域名,通过查到的信息再进行扩充搜索,比如对查到的注册人或邮箱进行反查,还有一种方式,可以利用接口,whois反查接口:https://drs.whoisxmlapi.com/reverse-whois-search
1.4 SSL证书扩展
有一些域名它没有工商备案信息,域名也是新注册的开启了隐私保护从Whois历史数据中也没办法找到关联方法。那我们就需要通过域名关联到的端口服务资产中去寻找一些关联特征了,常用工具Fofa、Zoomeye、Shodan、censys等。比如fofa查询证书语法:cert="xxx.com",证书的DNS Names往往也会有一些相关的域名,也可以查询它的所属组织,再用证书语法查询组织;还有一种查证书的方式,利用网址查询IP:http://tls.bufferover.run/,再利用IP查询tls证书:echo 'https://183.201.217.110/' | httpx -json -silent | jq
1.5 DNS解析数据关联
一般大型的企业会自建DNS服务器用于业务域名的解析,一般情况只会对自有业务提供DNS解析服务,查询DNS需要用到命令行工具dig,但dig命令运行需要底层vc库支持,包含Windows Dig命令的安装文件的官网是:https://www.isc.org/
我们可以通过公开的DNS解析数据集rapid7 DNS https://opendata.rapid7.com/ 搭建DNSDB或者使用公开的数据集合 https://hackertarget.com/find-shared-dns-servers/
利用查询到的DNS放入DNS解析数据集合进行反查。
1.6 Web配置信息关联
常见来说Web系统需要在响应头的CSP中定义允许跨域资源加载的白名单地址,在Set-Cookie中定义Cookie适用 的可用域范围,有些特殊业务可能还会将业务的特殊标记在Set-Cookie中进行设置,有些厂商会将业务名称自定义在Server中,使用自定义的ICON图标,还有一些企业会将使用一些在线的运营工具(百度统计、53客服、扫描登录等),我们可以将这些独特的业务特征作为关键词进一步进行资产的规则关联,比如fofa使用语法进行收集:header="CSP" && icon_hash="xxxx"
1.7 通过PTR记录收集
PTR记录,是电子邮件系统中的邮件交换记录的一种;另一种邮件交换记录是A记录(在IPv4协议中)或AAAA记录(在IPv6协议中)。PTR记录常被用于反向地址解析。
首先收集IP段,使用网站:https://bgp.he.net/,然后使用正则表达式提取ip段(\d{1,3}.){3}\d{1,3}/\d{1,2},然后从提取到的IP内解析ptr记录:cat IP.txt | mapcidr -silent | dnsx -silent -ptr -resp-only -o output.txt,最后提取根域名:cat ~/Desktop/output.txt | python extract-root-domain.py –
- 子域名收集
可以通过第三方数据源收集:VirusTotal、微步、SecurityTrails、Spyse、Censys等。
使用在线工具,在线子域名查询:https://phpinfo.me/domain
通过dnsgen工具生成子域名列表:echo 'an.cn' | dnsgen -w alt.txt
对子域名进行爆破
常用字典:
https://raw.githubusercontent.com/joinsec/BadDNS/master/domaindict-170W.txt
优质的DNS服务ip:https://raw.githubusercontent.com/bp0lr/dmut-resolvers/main/resolvers.txt
爆破工具:https://github.com/d3mondev/puredns
子域名字典制作
可以通过邮箱搜索,得到的前缀作为子域名,常见的邮箱地址:
https://www.email-format.com/i/search
http://www.skymem.info
- 企业新媒体信息收集
直接微信默认搜索直接搜索,注意一下 公众号 小程序 公司名称主体 可以更换字眼搜索
使用小蓝本可以直接搜索新媒体信息 能查到公司旗下有哪些公众号小程序或者APP,小蓝本地址:https://www.xiaolanben.com/
使用微信公众号数据分析平台:极致了:https://www.jzl.com/ && 西瓜数据:http://data.xiguaji.com/
企业信息分散方式收集
-
资产风险检测系统Biu
需要申请试用,且目前搜到的项目并不完整:https://github.com/0xbug/Biu -
自动化工具ShuiZe
0x727团队开源了一款信息收集自动化工具-水泽,具体用法直接搜索网址:https://github.com/0x727/ShuiZe_0x727 -
指纹识别提取易受攻击的信息系统
(例如VPN、邮服、CMS、OA、Shiro、Struts2等)3.1 在线指纹识别
http://whatweb.bugscaner.com/look/
3.2 GitHub开源项目
https://github.com/s7ckTeam/Glass
https://github.com/TideSec/TideFinger
https://github.com/EdgeSecurityTeam/EHole
https://github.com/w-digital-scanner/w11scan
- 使用网站快照
在我们渗透/挖洞过程中,网站快照能快速甄别有趣的资产。市面上也有很多工具可以对网站进行截图,例如aquatone、EyeWitness、gowitness等。
使用gowitness进行截图gowitness file -f httpx.cn.txt
启动gowitness的web服务gowitness report serve
- 使用burp插件 domain hunter pro
domain_hunter_pro是bit4woo开发的一款burp插件,方便快捷的目标管理、自动化的信息收集、与burp无缝衔接、与外部安全工具联动。
插件地址:https://github.com/bit4woo/domain_hunter_pro
首先获取根域名,利用网站:https://bugcrowd.com/
使用工具one for all,工具地址:https://github.com/shmilylty/OneForAll
使用方法:python3 oneforall.py --target xxxxx.cn run
将数据导入到domain_hunter_pro,使用插件进行分析。
-
从JavaScript文件提取敏感信息
6.1 使用JSFinder工具可以从js文件中提取api和其他敏感信息
直接连接网络使用方法:python3 JSFinder.py -u https://12312.abcabc.cn。从文件中使用方法:提取burpsuite流量里的js文件到1.txt,然后:python3 JSFinder.py -f 1.txt -j
从文件中使用方法:提取burpsuite流量里的js文件到1.txt,然后:python3 JSFinder.py -f 1.txt -j
6.2 Chrome插件
https://github.com/ResidualLaugh/FindSomething
- 把握关键字,善用各种搜索引擎
谷歌语法,善用site,inurl,intext等搜索技巧,比如用“site:xxx.cn intext:管理|后 台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system”语句查询某网站的后台管理等信息,用“site:xxx.cn intext:"忘记密码"”语句查询登录界面的网站。
其他搜索引擎的语法略有差异,比如fofa和SHODAN
FOFA:icon_hash="-1698964059"
SHODAN: http.favicon.hash:-1698964059
具体用法需要自己再慢慢探索了。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· 2 本地部署DeepSeek模型构建本地知识库+联网搜索详细步骤