紅隊從資產收集到打點 - 網安 - 專業的網絡安全產業、社區、知識平臺

最近想總結一下，在紅隊滲透拿到一個目標名或者刷src時候，怎么快速信息收集和批量檢測來打到一個點，往往在實際項目中就是拼手速。

信息收集到打點大致我就分為

企業信息結構收集
敏感信息收集
域名主動被動收集
整理域名ip資產
掃描檢測打點

其中每一步需要收集好幾個方面的信息，手動很累也很慢

一.企業信息結構收集

企業信息結構收集包括對查詢目標企業的公司信息，涉及到哪些主站域名，有哪些控股很多的子公司，這些子公司涉及到哪些域名，然后再進行備案反查，你又會得到一些新的公司，同理也能再次得到一些新的主站域名，將這些進行整理---->得到一批待爆破的域名。

還有的就是除了這些查到的主站域名，往往企業會有app、公眾號、小程序這些資產，也要對這些資產進行收集，然后你又拿到了一批域名。

手動查詢的話從以下查詢

天眼查 查企業/子公司/域名/公眾號 https://www.tianyancha.com/
愛企查   https://aiqicha.baidu.com/
企查查詢 https://www.qcc.com/
啟信寶   https://www.qixin.com/

工具:

推薦cSubsidiary利用天眼查查詢企業子公司
https://github.com/canc3s/cSubsidiary
還有pigat：
https://github.com/teamssix/pigat
公眾號和app的收集：
https://github.com/wgpsec/ENScan
https://github.com/wgpsec/ENScan_GO go版本

二.敏感信息收集

利用搜索引擎、github等托管平臺配合一些dorks就可以搜到很多信息。

熟知的googlehack，gitdork，網盤泄露等等。

敏感信息一共要搜集這個幾個方面：

googlehack語法
github泄露
目標人員姓名/手機/郵箱

1.googlehack

但比如googlehack，你需要搜的好幾條語法加上域名

比如：

site:*.domain.com
inurl:domain.com
intitle:keyword
keyword filetyle:doc|pdf

一個域名可以配合多個語法搜，那么多域名手動輸入搜很慢，推薦工具:

https://github.com/r00tSe7en/GoogleHackingTool 在線Google Hacking 小工具
https://www.exploit-db.com/google-hacking-database 語法，自己可以腳本里批量搜

2.github泄露敏感信息：

一些常用github dorks,直接搜對應目標信息：

xxxxx.com "Authorization"     #"Authorization: Bearer"
xxxxx.com  "filename：vim_settings.xml"
xxxxx.com "language：PHP"

也可以在github對各種信息搜索，比如文件類型

filename:manifest.xml
filename:travis.yml
filename:vim_settings.xml
filename:database
filename:prod.exs NOT prod.secret.exs
filename:prod.secret.exs
filename:.npmrc _auth
filename:.dockercfg auth
filename:WebServers.xml
filename:.bash_history 
filename:sftp-config.json
filename:sftp.json path:.vscode
filename:secrets.yml password
filename:.esmtprc password
filename:passwd path:etc
filename:dbeaver-data-sources.xml
path:sites databases password
filename:config.php dbpasswd
filename:prod.secret.exs
filename:configuration.php JConfig password
filename:.sh_history

包含關鍵字的指定語言：

language:python username
language:php username
language:sql username
language:html password
language:perl password
language:shell username
language:java api
HOMEBREW_GITHUB_API_TOKEN language:shell

搜API/KEYS/TOEKNS關鍵字：

api_key
“api keys”
authorization_bearer:
oauth
auth
authentication
client_secret
api_token:
“api token”
client_id
password
user_password
user_pass
passcode
client_secret
secret
password hash
OTP
user auth

很多關鍵字可以搜，還是批量搜高效，工具：

https://github.com/obheda12/GitDorker
https://github.com/michenriksen/gitrob
https://github.com/dxa4481/truffleHog
https://github.com/techgaun/github-dorks

這類工具需要設置git令牌，附上gitrob過程，踩坑:不要下relase ，自己編譯最好：

git clone https://github.com/michenriksen/gitrob.git
go mod init      #to use go mod      如果報錯 運行go mod init github.com/michenriksen/gitrob
rm Gopkg*     #remove the old stuff
go build      #to build it
./build.sh

設置git令牌

set GITROB_ACCESS_TOKEN=xxxxx

使用后可以查看圖形界面的結果：

3. 目標人員姓名/手機/郵箱

通過開源信息收集目標人員姓名/手機/郵箱，為后面打點做字典做準備。

https://github.com/laramies/theHarvester

通過搜索引擎、PGP服務器以及SHODAN數據庫收集用戶的email，子域名，主機，雇員名，開放端口和banner信息。

使用：

-d 開關用于定義域名，-l 用于限制結果數量

theHarvester -d kali.org -l 200 -b
anubis,baidu,pentesttools,projectdiscovery,qwant,rapiddns,
rocketreach,securityTrails,spyse,sublist3r,threatcrowd,threatminer,
trello,twitter,urlscan,virustotal,yahoo,zoomeye,bing,binaryedge,
bingapi,bufferoverun,censys,certspotter,crtsh,dnsdumpster,duckduckgo,
fullhunt,github-code,google,hackertarget,hunter,intelx,linkedin,
linkedin_links,n45ht,omnisint,otx

按github跑就是了，但是有點坑點：

配置api-keys在/etc/theHarvester 目錄下api-keys.yaml填入對應的api key即可

有個坑點是key:后要加個空格在放key字符串，不然跑不起來

人員郵箱字典的構造：

https://github.com/pry0cc/GoogLinked/blob/master/GoogLinked.rb

還可以使用一些社工信息來做字典，這樣的工具很多了，用一個就夠了沒必要用全部：Cupp/Cewl

https://github.com/r3nt0n/bopscrk
python3 bopscrk.py -i

三. 域名主動被動收集

域名主動信息收集內容就有點雜了。

通過1、2點我們拿到了一批等待爆破的域名和人員的信息，以及泄露的一些敏感信息(運氣好的話用泄露的信息已經打到點了。)

現在需要對域名進行whois信息查詢、dns域名正反查詢、子域名探測爆破三個方面收集。

1.whois信息查詢

whois需要查詢域名的whois，然后根據whois信息來查詢歷史和反查，這樣你就得到了一些郵箱和可疑域名。

查域名信息沒什么說的，主要看網址注冊人、到期記錄、創建域的時間、名稱服務器和聯系信息等，查最新的一般都是托管的信息，而查看歷史信息就有可能查到真實聯系人郵箱電話等:

一些常見whois查詢，手動的時候可以查詢:

https://domaineye.com/reverse-whois
https://www.reversewhois.io/
https://tool.domains/whois-research
https://tools.webservertalk.com/reverse-whois
https://reverse-whois-api.whoisxmlapi.com/
http://whois.domaintools.com/
https://viewdns.info/reversewhois/
https://www.domainiq.com/reverse_whois

除了正向查詢whois，還要查詢whois歷史信息:

以下幾個網站允許用戶訪問連接的 WHOIS 數據庫以進行調查。這些記錄是十多年來對有關域注冊的有用數據進行網絡爬取的結果:

https://whois.domaintools.com/
https://drs.whoisxmlapi.com/?ts=gp&ref=hackernoon.com
https://whois-history-api.whoisxmlapi.com/?ts=gp&ref=hackernoon.com
https://www.whoxy.com/

whois歷史信息查詢不能錯過，明顯可以在whois歷史信息中看真實郵箱并反查而不是目前托管的郵箱，以及非托管的dns服務器:

whois 信息反查

通過歷史whois信息找到真實郵箱or組織名，再反查域名，又可以得到一批資產：

other:

https://www.reversewhois.io/

整理一下whois分了三步，先whois查詢一個域名，然后對查詢的信息進行歷史whois查詢和反查,最后得到一批郵箱和域名。手動知道過程就行，實際做項目用工具批量查了整理：

https://github.com/xugj-gits/domain-tool 批量whois查詢
https://github.com/melbadry9/WhoEnum

2.dns域名正向反向查詢

dns域名查詢分兩個部分，歷史記錄和ip反查：

DNS歷史記錄(doamin2ips)

Dnsdumpster 是一個在線實用程序，我們使用它來查找子域、目標的 DNS 記錄。

VT也是可以看dns數據信息的:

ip反查(ip2domains)

同ip查詢多個解析到這個ip的域名，尋找更多web資產

https://viewdns.info/reverseip/

https://dnslytics.com/

ip反查也可以使用dig、nslookup、host命令完成：

工具推薦：

https://www.infobyip.com/ipbulklookup.php 批量ip反查
https://github.com/Sma11New/ip2domain 國內域名推薦ip2domain，會查詢權重、ICP備案等

通過dns查詢，我們拿到了一些域名和可疑ip段

3.子域名探測爆破

沒啥好說的，主要是收集的渠道全、過濾泛解析。

常見手法爆破子域名、證書透明度、搜索引擎、信息泄露、ASN號等等，很多工具已經做了這些工作

https://github.com/shmilylty/OneForAll
https://github.com/six2dez/reconftw
https://github.com/P1-Team/AlliN
https://github.com/d3mondev/puredns

四. 整理域名ip資產

到這里大致的收集就結束了，就是要對收集結果進行整理，通過上面收集能拿到：

一批待探測存活的域名
一批待確定的ip段
一些郵箱，姓名，手機號
一些敏感文件、信息、通用密碼(敏感信息收集階段看臉)

整理后大致如上，有一步需要做的就是把收集的這些域名，轉成ip段，但是是需要判斷這個ip屬不屬于cdn，屬不屬于泛解析的ip，然后轉成ip后要判斷ip段的權重，哪些段才可能是目標主要的C段。

https://github.com/EdgeSecurityTeam/Eeyes 對subdomain數據處理、獲取其中真實IP并整理成c段
https://github.com/canc3s/cIPR 整理后查看權重

五. 掃描檢測打點

這步就開始快速打點了。

上面整理后的資產，需要我們探測的是一批域名和一批C段

域名需要做的事：

探測存活
title、banner提取、指紋識別
爬蟲、目錄輕量掃描、輕量漏掃

C段需要做的事：

掃描端口，探測存活
將掃的web和非web進行分類，把掃到的web資產加入到域名需要做的事，和對待域名沒區別
將掃到的非web(數據庫/遠程登錄協議)進行爆破，比如mysql爆破，rdp爆破

一批域名和一批C段就這樣做不同的事，來先探測是否有脆弱的點，最后才是回歸常規web，一個站一個站的去撕

一些工具：

https://github.com/broken5/WebAliveScan web存活判斷
https://github.com/fadinglr/EHole 紅隊重點攻擊系統指紋探測工具
https://github.com/k8gege/K8CScan 漏洞掃描、密碼爆破
https://github.com/b1gcat/DarkEye 主機發現+爆破
https://github.com/Adminisme/ServerScan 高并發網絡掃描、服務探測工具
https://github.com/dean2021/titlesearch 批量抓取域名title工具
https://github.com/pmiaowu/PmWebDirScan 批量掃目錄備份

還有的就是一些大家都熟知的xray，vulmap之類的漏洞，批量輕量去掃描一下即可。

把上面的幾個步驟，工具串起來，行成快速信息收集，快速探測打點，最好寫個貫穿流程的工具調用的腳本，自己寫過效果不錯但代碼不好就不拿出來丟人了，基本這樣過一遍就容易打到一些比較脆弱的點。

文章來源：Hack之道