获取的是最直接的信息1、公开渠道所获得的信息2、与目标系统不直接交互3、尽量避免留下痕迹在目标系统看来完全是正常的。OSINT:公开资源情报计划(Open source intelligence ),
获取的是最直接的信息1、公开渠道所获得的信息2、与目标系统不直接交互3、尽量避免留下痕迹在目标系统看来完全是正常的。OSINT:公开资源情报计划(Open source intelligence ),简称OSINT,是美国中央情报局(CIA)的一种情报搜集手段,从各种公开的信息资源中寻找和获取有价值的情报https://fas.org/irp/doddir/army/atp2-22-9.pdfinformation-retrieval.info/docs/NATO-OSINT.html
信息收集内容ip地址段、域名信息、邮件地址、文档图片数据(有关推测)、公司地址、公司组织架构、联系电话(传真)、人员姓名职务、目标系统使用的技术架构、公开的商业信息。物理渗透,针对性渗透,历史的了解。
信息用途用信息描述目标、发现(各种瞄准点)、社会工程学攻击、物理缺口。
具体信息收集通常只会有域名,(限定域名FQDN只是域名的一部分)如www.sina.com 和sinna,域名找ip域名记录{A(主机)、C name、NS(本域)、MX(邮)}(DNS域名到ip,DNS递归查询和迭代查询,缓存机制如www.sina.com. ),ptr(反向记录ip到域名),any
工具
1、nslookup(常用)域名逐级解析
set type 指定查询类型 如set type=mx然后再 set type=a 指定地址就能查询到ip地址set q=a与set type=a作用一样
server指定域名解析如server 8.8.8.8 就是使用google服务器解析域名,智能域名,同一域名会返回不同的地址,就近原则,访问流量尽量发生在本地网路,降低主干网络的流量。
set q=any 解析域名可以查看是否伪造地址的垃圾邮件说明spf记录
nslookup -q=any 163.com 114.114.114.114 (指定域名解析)
2、DIG 域名解析和nslookup相似。如 nslookup sina.com -type=any 8.8.8.8和dig sina.com any @8.8.8.8命令相似查看结果的区别渗透测试时,可以多尝试不同的dns服务器如8.8.4.4和202.106.0.20和不指定默认。考虑地域对域名查询造成的影响,如智能dns。
输出结果筛选命令 要试试dig +noall mail.163.com anydig +noall +answer mail.163.com anydig +noall +answer mail.163.com any | awk ' {print $%}'dig +noall +answer mail.163.com any | awk ' {print $5}' 显示第5个
反向查询 主要用来做反垃圾邮件dig -x 220.181.14.157(可以先根据域名找出ip再做反向dig 163.com mx dig ...)
强大之处
已知域名去查,不会触及fqdn名称,仅针对一个,域名下有很多的不会查到,最完美的结果是把dns里所有的记录(www、news、us)都查出来(其实并不知道注册了几个)。如果攻破dns服务器,就能知道注册了多少。等价于
1)、查服务器bind版本,(是不是最新的版本,距离最新版有什么差距,去网上查有什么漏洞,利用服务器漏洞就能知道获取所有的dns记录)dig +noall +answer(过滤) txt(类型) chaos(类) VERSION.BIND @ns3.dnsv4.com(目标)
有些是查不到bind版本的,这个信息除了黑客,没人感兴趣,最好不要公布出来。
2)、dns追踪(抓包分析验证)dig +trace sina.com 迭代查询13个根域(所有的dns数据库中都有)13个.com域从中挑选了一个查询sina.com域的记录再选一个出来查询www.sina.com,逐级的迭代查询。wireshark看包本地host cat /etc/resolv.conf DNS标记 A记录(ipv4地址查询)AAAA记录(ipv6地址查询)向本地DNS查完13个根域地址。。。。。看DNS类型包即可。
dig sina.com 递归查询只是本地dns查询
3)、dns区域传输目前都是对已知域名查询,想知道一些下属的主机记录,怎么办?所有 的主机,攻击面。最重要的就是这块。如何才能拿到目标主机里的所有dns记录呢??
利用dns之间的同步机制,一般发生在本域的dns服务器之间,可能会出现配置错误,别人能拿到。对于此种意外,两条命令:dig @ns1.example.com(它的域名服务器) example.com(域名,不一定就这个,可以不写) axfr(区域传输参数)先找一个ns域名 dig sina.com ns再使用上述命令,,尝试同步一般是失败的,tcp53端口用来同步,udp53端口查询。wireshark抓包观察
host -T -l (dns同步) sina.com ns3.sina.com抓包看看
-h --help(后置) man info(前置) 帮助使用
