第四章 互联网信息收集
永远不要低估渗透测试中信息收集阶段的重要性。我承认我曾经低估了这个阶段,这个阶段是多么重要。有一次,我正在处理一个尚未部署到生产环境中的项目,因此实际上,在internet上还没有任何信息,对吧?本章的重点是渗透测试阶段的主要方法。你不应该在不知道你要找什么之前盲目地运行扫描器。我们在前一章已经讨论过的一个步骤是搜索子域。这个任务也是被动信息收集的一部分(如果你使用网络作为数据源来获取结果)。如果你需要复习,可以回到上一章。
一、使用互联网搜索引擎来获取结果
二、使用Shodan
三、使用谷歌查询
四、了解如何使用 Whois 数据库显示有关域的信息
五、看看被动足迹的基本工具是如何在Kali上工作的,包括六 TheHarvester, Dmitry和Maltego
被动足迹和侦察
将 DNS 主服务器记录复制到另一个 DNS 服务器,称为 DNS 传输。我们可以利用这个过程让我们定义一些关于这个主题的术语。利用互联网的公共信息收集信息有很多技术名称。有人似乎出现,也有人称用户足迹或用户信息收集。有时您会听到 OSINT 的名称,它代表开源情报。使用您喜欢的任何技术术语,但请确保不要与所有这些术语发生冲突,因为它们的含义都是相同之处:使用公开来源收集有关您的目标的数据。不要对足迹和指纹之间的区别感到惊讶,因为睡眠用于识别睡眠。
您的足迹中最关键的任务之一是知道您在寻找什么。有大量工具可以完成工作,但您需要了解它们在后台执行的操作。因此,在执行信息收集任务时,需要查找以下项目:通过询问主 DNS(称为 NS 服务器,例如 ns1.ethicalhackingblog.com)来获取所有子域的列表给我们目标域名列表。此查询减轻作业,但如果成功,您将收到一份包含所有子域及其关联IP地址的礼物。
公司子域
网站
公共IP地址(包括云端AWS/Azure上的IP地址)
泄露的内部IP地址
公共DNS记录(MX邮件记录等)
泄露的资源(主要在GitHub或Pastebin上)
此前的泄露
事件重大业务变化(例如收购)
企业财务信息(这可能会泄露秘密合作伙伴)
公司电话号码(用于社会工程)员工公共信息(用于社会工程)
公司在社交媒体上的存在(例如LinkedIn)
互联网搜索引擎
公共搜索引擎是你搜索目标弱点的入口。在下一节中,您将详细了解如何利用这一优势谷歌搜索引擎,以获得所有必要的信息(泄漏)。话虽如此,除了谷歌,你还可以使用很多搜索引擎。这些搜索引擎会在你告诉他们你在找什么后为你指明正确的方向。它们是一座金矿,可以揭示你的目标在野外泄露的信息。这里有一个搜索引擎列表,你应该添加到你的武器库工具包:
搜索引擎:google.com
Shodan在线扫描仪:shodan。
duckduckgo搜索引擎:duckduckgo.com
Shodan
Shodan是一个很棒的在线工具,它会为你扫描互联网。你可以在这个怪物身上使用无限的选择。这里有一个简单的例子:假设你想找到在互联网上可见的Docker引擎,并且监听端口2375 (Docker守护进程的默认端口号)。
谷歌查询
谷歌是一个强大的搜索引擎,如果您知道如何正确使用它,它可以让您找到您正在寻找的信息(例如,有关您的客户/雇主的泄漏记录)。谷歌使您能够使用高级过滤条件查询其数据库。有些人称“谷歌黑客”。数据库(GHDB),而其他人则称Google dorks。让我们从第一个站点开始:我在开始使用时总是使用的查询,如图4.2所表示。此特定查询将允许您查找与您的目标域名关联的所有网页和网站(此查询也将显示子域)。
现在所有的东西都在GitHub上公开发布。这里有一个有趣的查询,您可以在谷歌上使用它来查找发布在GitHub上的有趣信息。图4.3显示了当使用关键词Gus Khawaja搜索GitHub .com时,查询得到的一些结果:
使用扩展名搜索
您可以使用Exploit-db上的GHDB查询来可视化最新的想法。检查www.exploit-db.com/google-hacking-database,如图4.4所示。(Exploit-db属于攻击性安全团队,Kali Linux的创始人。)
使用Kali Linux收集信息
许多工具都有共同的功能,其中一些是免费的(例如 Dmitry),而其他工具则只能完全有限地使用功能,除非您每年付费订阅(例如 Maltego)。在接下来的部分中,您将了解可用于扫描仪扫描的典型应用程序。不过,这样做的主要目的是向您展示基础知识,以便您不会在不了解其目标的情况下盲目使用这些扫描仪。
Whois 库
每个购买域名的实体(公司或个人)都需要在注册过程之前输入其个人信息。大部分。信息将在Whois数据库中公开发布。现在不要对此感到太兴奋,因为域名提供商(例如GoDaddy)将允许你通过收费来保护你在Whois数据库上的个人信息(这就是我为我的博客网站ethicalhackingblog.com所做的)。要利用Whois数据库的弱点,您可以在Kali Linux上使用Whois命令。
whois [域名]以下是whois查询输出的示例(以下信息是虚构的):
总之,以下是Whois将作为公共信息显示的内容:
注册人名称
联系电话
e -mail
地址
实体地址
域名过期日期
(Name Servers)服务器
TheHarvester
如果要进行社会工程攻击或网络钓鱼练习,查找电子邮件地址是至关重要的。如果你是内部人士,就不难找出电子邮件地址,因为你已经知道电子邮件的格式是什么样子的。, firstname.lastname@domain.tld)有很多工具可以实现这个目的。一个是旧的工具,它仍然做得很好;它被称为收割机。这个工具将使用流行的搜索引擎,如谷歌来过滤结果:
theHarvester -d [域名] -b [来源] -stheHarvester -d ethicalhackingblog.com -b all -s
-d用于指定目标的名称。(如果您使用如图所示的ethicalhackingblog .com域名,如果您找不到任何结果,请不要感到惊讶,因为该域名对此类攻击是安全的。)
-s是在Shodan web引擎上搜索。
-b为在线数据源名称;在图中,我选择了全部。以下是您可以选择的列表(使用帮助命令-h获取更多选项): 
DMitry
dmitry -wnse [domain-name.com]>DMitry 代表“deepmagic 信息收集工具”,是另一个同时执行开源操作的应用程序
-w:执行Whois查找。
-n:从Netcraft.com上检索目标器的记录。
-s:查找子域。
-e:搜索电子邮件地址。
-p:扫描TCP开放端口(这不是被动的)。
Maltego
Maltego非常适合被动信息收集。关于这个工具可以写一整本书,因为它包含了完成工作所需的一切。如果您想使用完整的功能,那么您必须支付年度许可证。如果你是专业人士,这个工具是必须的,但你仍然可以使用有限的版本,并得到一些不错的结果。
变换中心
是Maltego将去获取数据的站点集合(例如Shodan、Kaspersky、Virus Total等)。默认情况下,没有安装这些数据源中的大多数;你必须点击你想要安装的每一个。有多种类型的数据源:
单独付费:您将需要为这些web服务直接付费;他们不包括在马耳他的执照费里。
免费:许多数据源是完全免费的。
经过身份验证的API:其中一些服务将要求您打开一个帐户;然后他们会给你一个API令牌来验证你自己并使用他们的数据。
创建图形
这张图Maltego的中心。在本节中,您将执行被动扫描。在开始扫描之前,您需要首先选择一个实体(例如,一个人、一个公司、一个域名等)。你可以从域名或公司名称开始,从那里,你可以选择你想要扫描的东西。让我们来看一个实际的例子;我们将选择Ethical Hacking Blog DNS作为实体
这里的选项是无穷无尽的:您可以选择每种实体类型并右键单击它,以可视化您可以从互联网上查询的不同类型的信息。请注意,这个演示展示的是付费版Maltego 4.2.9,但您也可以在免费版中执行大多数场景。一些安全人员使用免费工具,如recconng,其工作类似于在马耳他执行的任务。(recon-ng是一个Python扫描器,用于信息收集,它使用web API服务来获取数据。)出于教育目的,尝试这些免费工具是无害的。然而,如果一个组织指望你的工作,那么钱不应该是一个障碍,在这种情况下,建议你利用年度许可证。这不仅适用于Maltego,而且适用于大多数安全工具(例如Nessus, Burp Suite Pro等)。如果你想显示专业的结果,你必须付出相应的代价才能正确完成工作。
总结
信息收集是交战过程中的主要组成部分之一。即使你不打算进行社会工程攻击,这个阶段也会给你一个不同的角度来看待你的目标领域/公司。网络总是隐藏着一些秘密,比如泄露的密码、机密数据等。有了本章所学的知识,你应该能够像专业人士一样开始进行侦察
