红队攻防之信息收集总结

　　红队攻防之信息收集总结

　　前言

　　之前也总结过类似的信息收集相关的文章，但是每隔一段时间理解和手法都会有所不同，本文以hvv或授权但仅提供公司名称域名等情况下渗透测试的视角总结一些自己最近做信息收集的流程套路。

　　信息收集一、初始已知信息

　　前言中提到的两种情况，一般初始信息只有公司名称、个别官网域名、靶标名称等信息，以此为起点进行信息收集。

　　二、搜寻根域名

　　此步骤个人的经验是，面对大公司优先选择工信部备案查询，小公司用搜索引擎做起点，然后几种方式都可以过一遍，查漏补缺，尽量获取最全的信息。大部分公司根域名都不会很多，全部过一遍也不会用掉多少时间。

　　1.搜索引擎

　　搜索引擎直接搜索其公司名称，获取其相关根域名

　　2.天眼查、企查查

　　从天眼查、企查查等途径，输入公司名，查询其域名以及全资控股子公司的域名

　　3.工信部备案

　　工信部备案查询域名/ip地址（需要详细且正确的公司名称，结果也会很全面）

　　#/Integrated/recordQuery

　　4.fofa

　　fofa查询其公司名称，获取相关域名

　　5.站长之家

　　使用其icp查询功能查询备案，当我们不知道公司完整名称的时候也可以使用此网站功能使用已知域名查询完整备案公司名称

　　6.反查域名

　　用已知的某些ip反查域名

　　三、子域名

　　在子域名收集这步本人一般不喜欢爆破的方式，子域名爆破比较依赖字典，字典小就收集不全，字典大就很费时间，所以一般优先在各类解析记录的网站查询。

　　1.各类网站查询解析记录

　　以bilibili为例：

　　类似的网站非常多，这两个都是免费的，但是第二个要注册登录

　　2.子域名爆破

　　相关的工具很多，部分扫描器也自带子域名爆破功能或可安装相关插件。

　　subDomainsBrute

　　3.fofa、shodan

　　利用这类工具对域名资产进行查询，如

　　fofa语法domain=””

　　4.OneForAll

　　此工具会集成多种方式搜集子域名，包括dns查询、证书查询等，详情见其项目中的readme

　　安装

　　1<br style="box-sizing: border-box;" />2<br style="box-sizing: border-box;" />3<br style="box-sizing: border-box;" />4<br style="box-sizing: border-box;" />5<br style="box-sizing: border-box;" />

　　git clone https://github.com/shmilylty/OneForAll.git<br style="box-sizing: border-box;" />cd OneForAll/<br style="box-sizing: border-box;" />python3 -m pip install -U pip setuptools wheel -i https://mirrors.aliyun.com/pypi/simple/<br style="box-sizing: border-box;" />pip3 install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/<br style="box-sizing: border-box;" />python3 oneforall.py --help<br style="box-sizing: border-box;" />

　　1<br style="box-sizing: border-box;" />2<br style="box-sizing: border-box;" />

　　python3 oneforall.py --target example.com run<br style="box-sizing: border-box;" />python3 oneforall.py --targets ./example.txt run<br style="box-sizing: border-box;" />

　　四、ip

　　ip列表不完全来源于域名解析，有一部分ip是直接使用ip地址提供服务的，需要提前收集这部分信息，另一部分是通过域名解析过来的。

　　1.各类网站查询解析记录

　　同子域名查询中的操作，但是需要做的是把ip列表导出

　　2.解析域名

　　将所有已收集到的子域名通过脚本批量调用dig或nslookup解析ip

　　1<br style="box-sizing: border-box;" />2<br style="box-sizing: border-box;" />

　　nslookup xxx.com<br style="box-sizing: border-box;" />dig xxx.com @114.114.114.114<br style="box-sizing: border-box;" />

　　编写脚本批量调用dig命令，导出结果

　　或将域名列表放在在线解析网站中，导出其解析结果

　　这个步骤中需要额外关注cdn的情况，绕过cdn寻找其真实ip，可参考这篇文档

　　3.c段

　　将前面已经获得的ip全部整理好，使用脚本进行排序，懒得写脚本也可以使用在线的功能

　　如ip地址排序计算器

　　得到排序好的ip，可以先自己判断哪些c段可能属于目标，再进行一些扫描和访问，整理更全面的ip列表。

　　五、端口

　　使用masscan、nmap等工具对端口信息进行收集

　　六、web服务

　　使用webfinder等工具扫描已整理ip列表的web常用端口，导出形如:port/以及:port/的web服务列表

　　指纹识别

　　1.

　　2.

　　七、漏扫1.主机扫描

　　上文整理好的ip列表和域名列表，可以丢入主机扫描相关的扫描器中，如goby、Nessus等

　　2.web扫描

　　整理好web服务列表，可以丢入awvs等工具进行扫描，同时可以联动xray批量扫描