與目標(biāo)系統(tǒng)不產(chǎn)生直接交互
信息收集的內(nèi)容包括：IP地址段、域名信息篇恒、郵件地址扶檐、文檔圖片數(shù)據(jù)、公司地址胁艰、公司組織架構(gòu)款筑、聯(lián)系電話/傳真號(hào)碼、人員姓名/職務(wù)蝗茁、目標(biāo)系統(tǒng)使用的技術(shù)架構(gòu)醋虏、公開(kāi)的商業(yè)信息寻咒。

• 1哮翘、DNS信息收集
  域名：sina.com.cn
  FQDN：www.sina.com.cn //完全限定域名
  域名記錄:
  A記錄
  CNname
  NS:指定哪臺(tái)服務(wù)器負(fù)責(zé)解析域名
  MX：郵件服務(wù)器
  Ptr：反向解析 ip--->dns

#nslookup
>set type=a/ns/mx或使用set q=a/ns/mx
>域名

DNS

>server 8.8.8.8  //將其改為谷歌的域名解析，返回的結(jié)果會(huì)更全面
>set q=any
>sina.com
其spf用于反垃圾郵件毛秘，反向解析后判斷
或合并命令#nslookup –type=ns example.com 8.8.8.8

DNS

• 2饭寺、DIG

#dig sina.com any @8.8.8.8
#dig +noall +answer sina.com  //只顯示對(duì)應(yīng)的A記錄信息
#dig –x IP地址  //反向查詢

DIG

 #dig +noall +answer txt chaos VERSION.BIND @ ns3.dnsv4.com //查看ns3.dnsv4.com的bind版本信息，類chaos中的txt類型 

DIG

#dig +trace www.sina.com  //迭代DNS追蹤
#dig sina.com  //遞歸DNS追蹤

DIG

比較抓包結(jié)果（迭代查詢包較多叫挟，沒(méi)有截圖）艰匙，可以發(fā)現(xiàn)遞歸只發(fā)送個(gè)本地DNS，然后本地DNS直接返回抹恳，而迭代則需要多次發(fā)送給被動(dòng)DNS员凝，然后本地DNS返回.域/.com域/.sina域的DNS服務(wù)器

• 3、DNS區(qū)域傳輸
  獲取目標(biāo)DNS服務(wù)器的所有記錄奋献，區(qū)域傳輸用于同步健霹，由于錯(cuò)誤配置旺上，則可以拿到主機(jī)記錄。

#dig sina.com ns //找到sina的ns服務(wù)器
#dig @ns2.sina.com sina.com axfr  //

DNS區(qū)域傳輸

DNS區(qū)域傳輸

通過(guò)抓包糖埋，DNS在查詢請(qǐng)求記錄的時(shí)候使用的是UDP宣吱，而在此次進(jìn)行區(qū)域傳輸時(shí)，使用的是TCP瞳别。

DNS區(qū)域傳輸

#host –T –l sina.com 8.8.8.8 

DNS區(qū)域傳輸

• 4征候、DNS字典爆破
  使用dkpg命令查看與fierce相關(guān)的文件

DNS字典爆破

 fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txt

DNS字典爆破

#dnsdict6 -d4 –t 16 –x sina.com  //d4表示顯示IPv4和v6地址，t表示制定線程數(shù)祟敛，-x表示字典大小

#dnsmap sina.com –w dns.txt
#dnsenum –f dns.txt –dnsserver 8.8.8.8 sina.com –o sina.xml

DNS字典爆破

#dnsrecon –d sina.com --lifetime 10 –t brt – D dns.txt   //lifttime指超時(shí)時(shí)間

DNS字典爆破

 #dnsrecon –t std –d sina.com   //std指標(biāo)準(zhǔn)查詢

• 5疤坝、DNS注冊(cè)信息

#whois sina.com
#whois –h whois.apnic.net 192.0.43.10   //apnic負(fù)責(zé)分配IP及域名

• 6、搜索引擎：SHODAN
  搜索可以查到的信息包括：公司新聞動(dòng)態(tài)垒棋、重要雇員信息卒煞、機(jī)密文檔/網(wǎng)絡(luò)拓?fù)?用戶名密碼/目標(biāo)系統(tǒng)軟硬件技術(shù)架構(gòu)
  SHODAN：負(fù)責(zé)搜索互聯(lián)網(wǎng)的設(shè)備，通過(guò)設(shè)備的banner信息搜索
  網(wǎng)址：https:ww.shodan.io/
  常見(jiàn)篩選指令filter：net（192.168.1.20）叼架、city（CN畔裕、US）、port乖订、os扮饶、hostname、server
  搜索：

(1)net:1.1.1.0/24 country:CN HTTP/1.1 200 hostname:baidu.com
(2)200 OK cisco country:JP
(3)user: admin pass: password
(4)linux upnp avtech

訪問(wèn)https://www.shodan.io/explore 可以通過(guò)此方式打開(kāi)常用的搜索方法

• 7乍构、搜索引擎：GOOGLE

(1)搜索: +充值-支付 //只搜索充值但不含有支付的頁(yè)面

google

(2)搜索：北京 intitle:電子商務(wù) intext:法人 intext:電話 //北京的電子商務(wù)公司

google

(3）搜索：北京 site:alibaba.com inurl:contact //阿里巴巴網(wǎng)站上的北京公司聯(lián)系人甜无，inurl指在URL里面包含聯(lián)系人（contact）

google

(4)搜索：SOX filetype:pdf //塞班司法案的PDF文檔

google

(5)搜索：payment site:fr//法國(guó)相關(guān)支付頁(yè)面

google

(6)inurl:”level/15/exec/-/show” //顯示cisco級(jí)別為15，并且可執(zhí)行命令

google

(7)intitle:”netbotz appliance” “ok”//顯示特定攝像頭（施耐德下的APC）

google

(8)inurl:/admin/login.php//找后臺(tái)頁(yè)面

google

inurl:qq.txt
filetype:xls “username | password”
inurl:ftp”passwoed” filetype:xls site:baidu.com
inurl:Service.pwd  //基于FrontPage(微軟網(wǎng)頁(yè)制作軟件)漏洞哥遮，搜索賬號(hào)

谷歌搜索指令語(yǔ)法大全：

http://exploit-db.com/google-dorks

• 8岂丘、搜索引擎：并發(fā)搜索
  世界第四大搜索引擎（俄羅斯）：http://www.yandex.com
  利用工具可以大并發(fā)的去搜索信息，比如用戶信息眠饮。
  下面搜索執(zhí)行域名下的郵件奥帘、主機(jī)

theharvester –d youku.com –l 300 –b google  

前提：使用tor網(wǎng)絡(luò)，并確定9150端口處于linsten狀態(tài)

并發(fā)搜索

并發(fā)搜索

• 9仪召、Maltego
  選擇domain name進(jìn)行transform寨蹋，進(jìn)行相應(yīng)查詢

查詢

• 10、其他途徑
  社交網(wǎng)絡(luò)扔茅、工商注冊(cè)已旧、新聞組/論壇、招聘網(wǎng)站

http:www.archive.org/web/web.php  //可以搜索網(wǎng)站之前的各種快照

• 11召娜、個(gè)人專屬的密碼字典
  按個(gè)人信息生成其專屬的密碼字典

#git clone https://github.com/Mebus/cupp.git

下載cupp

#python cupp.py –i  //然后輸入一些相關(guān)信息运褪，自動(dòng)回生成.txt的密碼文件

執(zhí)行

• 12、METADATA(元數(shù)據(jù))
  查看圖片信息
  Linux：exif

exiftool 圖片路徑

Windows：foca軟件

• 13、RECON-NG
  全特性的web偵查/搜索框架秸讹，基于python開(kāi)發(fā)胁后，命令格式與msf一致，使用方法包括模塊/數(shù)據(jù)庫(kù)/報(bào)告

#recon-ng
默認(rèn)是在default工作區(qū)嗦枢，可以通過(guò)創(chuàng)建工作區(qū)
# recon-ng -w sina  //創(chuàng)建一個(gè)sina的工作區(qū)
#workspaces list  //進(jìn)入recon-ng查看工作區(qū)

workspaces list

> keys add shodan_api YRJ5nLpCeaBDVoHHYhFaCJ5VnPeooAE3 //將shodan的api添加(//修改了API)

keys add

> keys list  //查看添加的api

keys list

>show options //全局顯示設(shè)置
>set PROXY 127.0.0.1:8087 //設(shè)置代理服務(wù)器
>show schema

show schema

(1)使用模塊進(jìn)行搜索：

> use recon/domains-hosts/bing_site_web
>run

模塊搜索

>show hosts //查看搜索的記錄

查看搜索記錄

> >query select * from hosts where host like "%w%"  //使用query查詢

查詢

（2）使用模塊中的暴力破解模塊查找sina.com的主機(jī)名：
使用brute_hosts攀芯，會(huì)多出一個(gè)字典，用于暴力破解文虏，然后run 執(zhí)行

brute

brute

（3）通過(guò)搜索的主機(jī)名查找IP

> use recon/hosts-hosts/resolve
> set SOURCE query select host from hosts where host like '%sina.com.cn'
>run

查找主機(jī)IP

（4）導(dǎo)出報(bào)告
使用report/html輸出為html格式侣诺，并指定作者、輸出路徑等信息后氧秘，執(zhí)行run

輸出報(bào)告

查看sina.html報(bào)告

查看報(bào)告