渗透测试 | 红队从资产收集到打点
2023-2-12 13:46:48 Author: 渗透安全团队(查看原文) 阅读量:31 收藏

最近想总结一下,在红队渗透拿到一个目标名或者刷src时候,怎么快速信息收集和批量检测来打到一个点,往往在实际项目中就是拼手速。

企业信息结构收集

敏感信息收集

域名主动被动收集

整理域名ip资产

扫描检测打点

其中每一步需要收集好几个方面的信息,手动很累也很慢

企业信息结构收集包括对查询目标企业的公司信息,涉及到哪些主站域名,有哪些控股很多的子公司,这些子公司涉及到哪些域名,然后再进行备案反查,你又会得到一些新的公司,同理也能再次得到一些新的主站域名,将这些进行整理---->得到一批待爆破的域名。

还有的就是除了这些查到的主站域名,往往企业会有app、公众号、小程序这些资产,也要对这些资产进行收集,然后你又拿到了一批域名。

手动查询的话从以下查询

天眼查 查企业/子公司/域名/公众号 https://www.tianyancha.com/

爱企查 https://aiqicha.baidu.com/

企查查询 https://www.qcc.com/

启信宝 https://www.qixin.com/

工具

推荐cSubsidiary利用天眼查查询企业子公司

https://github.com/canc3s/cSubsidiary

还有pigat:

https://github.com/teamssix/pigat

公众号和app的收集:

https://github.com/wgpsec/ENScan

https://github.com/wgpsec/ENScan_GO go版本

利用搜索引擎、github等托管平台配合一些dorks就可以搜到很多信息。

熟知的googlehack,gitdork,网盘泄露等等。

敏感信息一共要搜集这个几个方面:

googlehack语法

github泄露

目标人员姓名/手机/邮箱

1.googlehack

但比如googlehack,你需要搜的好几条语法加上域名

比如:

site:*.domain.com

inurl:domain.com

intitle:keyword

keyword filetyle:doc|pdf

一个域名可以配合多个语法搜,那么多域名手动输入搜很慢,推荐工具:

https://github.com/r00tSe7en/GoogleHackingTool 在线Google Hacking 小工具

https://www.exploit-db.com/google-hacking-database 语法,自己可以脚本里批量搜

2.github泄露敏感信息:

一些常用github dorks,直接搜对应目标信息:

xxxxx.com “Authorization” #“Authorization: Bearer”

xxxxx.com “filename:vim_settings.xml”

xxxxx.com “language:PHP”

也可以在github对各种信息搜索,比如文件类型

filename:manifest.xml

filename:travis.yml

filename:vim_settings.xml

filename:database

filename:prod.exs NOT prod.secret.exs

filename:prod.secret.exs

filename:.npmrc _auth

filename:.dockercfg auth

filename:WebServers.xml

filename:.bash_history

filename:sftp-config.json

filename:sftp.json path:.vscode

filename:secrets.yml password

filename:.esmtprc password

filename:passwd path:etc

filename:dbeaver-data-sources.xml

path:sites databases password

filename:config.php dbpasswd

filename:prod.secret.exs

filename:configuration.php JConfig password

filename:.sh_history

包含关键字的指定语言:

language:python username

language:php username

language:sql username

language:html password

language:perl password

language:shell username

language:java api

HOMEBREW_GITHUB_API_TOKEN language:shell

搜API/KEYS/TOEKNS关键字:

api_key

“api keys”

authorization_bearer:

oauth

auth

authentication

client_secret

api_token:

“api token”

client_id

password

user_password

user_pass

passcode

client_secret

secret

password hash

OTP

user auth

很多关键字可以搜,还是批量搜高效,工具:

https://github.com/obheda12/GitDorker

https://github.com/michenriksen/gitrob

https://github.com/dxa4481/truffleHog

https://github.com/techgaun/github-dorks

这类工具需要设置git令牌,附上gitrob过程,踩坑:不要下relase ,自己编译最好:

git clone https://github.com/michenriksen/gitrob.git

go mod init #to use go mod 如果报错 运行go mod init github.com/michenriksen/gitrob

rm Gopkg* #remove the old stuff

go build #to build it

./build.sh

设置git令牌

set GITROB_ACCESS_TOKEN=xxxxx

3. 目标人员姓名/手机/邮箱

通过开源信息收集目标人员姓名/手机/邮箱,为后面打点做字典做准备。

https://github.com/laramies/theHarvester

通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息。

使用:

-d 开关用于定义域名,-l 用于限制结果数量

theHarvester -d kali.org -l 200 -b

anubis,baidu,pentesttools,projectdiscovery,qwant,rapiddns,

rocketreach,securityTrails,spyse,sublist3r,threatcrowd,threatminer,

trello,twitter,urlscan,virustotal,yahoo,zoomeye,bing,binaryedge,

bingapi,bufferoverun,censys,certspotter,crtsh,dnsdumpster,duckduckgo,

fullhunt,github-code,google,hackertarget,hunter,intelx,linkedin,

linkedin_links,n45ht,omnisint,otx

按github跑就是了,但是有点坑点:

配置api-keys在/etc/theHarvester 目录下api-keys.yaml填入对应的api key即可

有个坑点是key:后要加个空格在放key字符串,不然跑不起来

人员邮箱字典的构造:

https://github.com/pry0cc/GoogLinked/blob/master/GoogLinked.rb

还可以使用一些社工信息来做字典,这样的工具很多了,用一个就够了没必要用全部:Cupp/Cewl

https://github.com/r3nt0n/bopscrk

python3 bopscrk.py -i

域名主动信息收集内容就有点杂了。

通过1、2点我们拿到了一批等待爆破的域名和人员的信息,以及泄露的一些敏感信息(运气好的话用泄露的信息已经打到点了。)

现在需要对域名进行whois信息查询、dns域名正反查询、子域名探测爆破三个方面收集。

1.whois信息查询

whois需要查询域名的whois,然后根据whois信息来查询历史和反查,这样你就得到了一些邮箱和可疑域名。

查域名信息没什么说的,主要看网址注册人、到期记录、创建域的时间、名称服务器和联系信息等,查最新的一般都是托管的信息,而查看历史信息就有可能查到真实联系人邮箱电话等:

一些常见whois查询,手动的时候可以查询:

https://domaineye.com/reverse-whois

https://www.reversewhois.io/

https://tool.domains/whois-research

https://tools.webservertalk.com/reverse-whois

https://reverse-whois-api.whoisxmlapi.com/

http://whois.domaintools.com/

https://viewdns.info/reversewhois/

https://www.domainiq.com/reverse_whois

除了正向查询whois,还要查询whois历史信息:

以下几个网站允许用户访问连接的 WHOIS 数据库以进行调查。这些记录是十多年来对有关域注册的有用数据进行网络爬取的结果:

https://whois.domaintools.com/

https://drs.whoisxmlapi.com/?ts=gp&ref=hackernoon.com

https://whois-history-api.whoisxmlapi.com/?ts=gp&ref=hackernoon.com

https://www.whoxy.com/

whois历史信息查询不能错过,明显可以在whois历史信息中看真实邮箱并反查而不是目前托管的邮箱,以及非托管的dns服务器:

whois 信息反查

通过历史whois信息找到真实邮箱or组织名,再反查域名,又可以得到一批资产:

other:

https://www.reversewhois.io/

整理一下whois分了三步,先whois查询一个域名,然后对查询的信息进行历史whois查询和反查,最后得到一批邮箱和域名。手动知道过程就行,实际做项目用工具批量查了整理:

https://github.com/xugj-gits/domain-tool 批量whois查询

https://github.com/melbadry9/WhoEnum

2.dns域名正向反向查询

dns域名查询分两个部分,历史记录和ip反查:

DNS历史记录(doamin2ips)

Dnsdumpster 是一个在线实用程序,我们使用它来查找子域、目标的 DNS 记录。

ip反查(ip2domains)

同ip查询多个解析到这个ip的域名,寻找更多web资产

https://viewdns.info/reverseip/

https://dnslytics.com/

ip反查也可以使用dig、nslookup、host命令完成:

工具推荐:

https://www.infobyip.com/ipbulklookup.php 批量ip反查

https://github.com/Sma11New/ip2domain 国内域名推荐ip2domain,会查询权重、ICP备案等

通过dns查询,我们拿到了一些域名和可疑ip段

3.子域名探测爆破

没啥好说的,主要是收集的渠道全、过滤泛解析。

常见手法爆破子域名、证书透明度、搜索引擎、信息泄露、ASN号等等,很多工具已经做了这些工作

https://github.com/shmilylty/OneForAll

https://github.com/six2dez/reconftw

https://github.com/P1-Team/AlliN

https://github.com/d3mondev/puredns

4. 整理域名ip资产

到这里大致的收集就结束了,就是要对收集结果进行整理,通过上面收集能拿到:

一批待探测存活的域名

一批待确定的ip段

一些邮箱,姓名,手机号

一些敏感文件、信息、通用密码(敏感信息收集阶段看脸)

整理后大致如上,有一步需要做的就是把收集的这些域名,转成ip段,但是是需要判断这个ip属不属于cdn,属不属于泛解析的ip,然后转成ip后要判断ip段的权重,哪些段才可能是目标主要的C段。

https://github.com/EdgeSecurityTeam/Eeyes 对subdomain数据处理、获取其中真实IP并整理成c段

https://github.com/canc3s/cIPR 整理后查看权重

5. 扫描检测打点

这步就开始快速打点了。

上面整理后的资产,需要我们探测的是一批域名和一批C段

域名需要做的事:

探测存活

title、banner提取、指纹识别

爬虫、目录轻量扫描、轻量漏扫

C段需要做的事:

扫描端口,探测存活

将扫的web和非web进行分类,把扫到的web资产加入到域名需要做的事,和对待域名没区别

将扫到的非web(数据库/远程登录协议)进行爆破,比如mysql爆破,rdp爆破

一批域名和一批C段就这样做不同的事,来先探测是否有脆弱的点,最后才是回归常规web,一个站一个站的去撕

一些工具:

https://github.com/broken5/WebAliveScan web存活判断

https://github.com/fadinglr/EHole 红队重点攻击系统指纹探测工具

https://github.com/k8gege/K8CScan 漏洞扫描、密码爆破

https://github.com/b1gcat/DarkEye 主机发现+爆破

https://github.com/Adminisme/ServerScan 高并发网络扫描、服务探测工具

https://github.com/dean2021/titlesearch 批量抓取域名title工具

https://github.com/pmiaowu/PmWebDirScan 批量扫目录备份

还有的就是一些大家都熟知的xray,vulmap之类的漏洞,批量轻量去扫描一下即可。

把上面的几个步骤,工具串起来,行成快速信息收集,快速探测打点,最好写个贯穿流程的工具调用的脚本,自己写过效果不错但代码不好就不拿出来丢人了,基本这样过一遍就容易打到一些比较脆弱的点。

https://blog.csdn.net/lza20001103/article/details/126545352

- END -


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247497932&idx=2&sn=7f41f0a1ac41f252f76e358f65f4a8ab&chksm=c1760563f6018c75309be7824d8878ec6334bc964e0bd1c3ec3d58cf0b9b787f082cbe0be2c5#rd
如有侵权请联系:admin#unsafe.sh