被动与主动侦察
侦察(recon)可以定义为收集有关目标信息的初步调查。这是统一杀伤链在系统上获得初步立足点的第一步。我们将侦察分为:
- 被动侦察
- 主动侦察
- 从公共 DNS 服务器查找域的DNS记录
- 检查与目标网站相关的招聘广告
- 阅读有关目标公司的新闻文章
另一方面,主动侦察无法如此谨慎地实现。它需要与目标直接接触。把它想象成你检查门窗上的锁,以及其他潜在的入口点
- 连接到公司服务器之一,例如HTTP、FTP 和 SMTP
- 致电公司试图获取信息(社会工程学)
- 冒充修理工进入公司场所
考虑到主动侦察的侵入性,除非获得适当的法律授权,否则很快就会陷入法律困境
被动侦查
whois查询 WHOIS 服务器nslookup查询DNS服务器dig查询DNS服务器
我们使用whois查询 WHOIS 记录,而我们使用nslookup和dig查询DNS数据库记录。这些都是公开可用的记录,因此不会提醒目标。
- DNSDumpster
- Shodan.io
这两个在线服务使我们能够在不直接连接到目标的情况下收集有关目标的信息
Whois
- 注册商:域名是通过哪个注册商注册的?
- 注册人联系方式:姓名、单位、地址、电话等。(除非通过隐私服务隐藏)
- 创建、更新和到期日期:域名首次注册的时间是什么时候?最后一次更新是什么时候?什么时候需要更新?
- 名称服务器:请求哪个服务器来解析域名?
要获取这些信息,我们需要使用whois客户端或在线服务。许多在线服务提供whois信息;但是,使用本地 whois 客户端通常更快、更方便
whois DOMAIN_NAME,其中DOMAIN_NAME是您尝试获取更多信息的域。考虑以下示例执行whois tryhackme.com
user@TryHackMe$ whois tryhackme.com
[Querying whois.verisign-grs.com]
[Redirected to whois.namecheap.com]
[Querying whois.namecheap.com]
[whois.namecheap.com]
Domain name: tryhackme.com
Registry Domain ID: 2282723194_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2021-05-01T19:43:23.31Z
Creation Date: 2018-07-05T19:46:15.00Z
Registrar Registration Expiration Date: 2027-07-05T19:46:15.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: Withheld for Privacy Purposes
Registrant Organization: Privacy service provided by Withheld for Privacy ehf
[...]
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2021-08-25T14:58:29.57Z <<<
For more information on Whois status codes, please visit https://icann.org/epp
我们可以看到很多信息;我们将按照显示的顺序检查它们。首先,我们注意到我们被重定向到whois.namecheap.com以获取我们的信息。在这种情况下,目前namecheap.com正在维护该域名的 WHOIS 记录。此外,我们可以看到创建日期以及最后更新日期和到期日期。
可以检查收集到的信息以发现新的攻击面,例如社会工程或技术攻击。例如,根据渗透测试的范围,您可能会考虑对管理员用户的电子邮件服务器或 DNS 服务器进行攻击,假设它们归您的客户所有并且在渗透测试的范围内。
WHOIS 查询来收集电子邮件地址,许多 WHOIS 服务都对此采取了措施。例如,他们可能会编辑电子邮件地址。此外,许多注册人订阅了隐私服务,以避免他们的电子邮件地址被垃圾邮件发送者收集并保护他们的信息的私密性
nslookup 和 dig
使用 查找域名的 IP 地址nslookup,代表名称服务器查找。您需要发出命令nslookup DOMAIN_NAME,例如,nslookup tryhackme.com。或者,更一般地说,您可以使用nslookup OPTIONS DOMAIN_NAME SERVER. 这三个主要参数是:
-
OPTIONS 包含查询类型,如下表所示。例如,您可以使用
- DOMAIN_NAME 是您正在查找的域名。
-
SERVER 是您要查询的DNS服务器。您可以选择任何本地或公共 DNS 服务器进行查询。Cloudflare 提供
1.1.1.1和1.0.0.1,Google 提供8.8.8.8和8.8.4.4,Quad9 提供9.9.9.9和149.112.112.112。如果您想要 ISP 的 DNS 服务器的替代方案,您可以选择更多的公共DNS服务器
AIPv4 地址和AAAAIPv6 地址。
| 查询类型 | 结果 |
|---|---|
| A | IPv4 地址 |
| AAAA级 | IPv6 地址 |
| 别名 | 规范名称 |
| MX | 邮件服务器 |
| 面向服务架构 | 授权开始 |
| TXT | TXT记录 |