700字范文 > kali linux 渗透测试学习笔记——被动信息收集

kali linux 渗透测试学习笔记——被动信息收集

时间：2019-02-24 15:24:50

kali linux 渗透测试学习笔记——linux 被动信息收集

被动信息收集

被动信息收集

公开渠道可获得的信息已公开的信息，通过互联网等渠道去获得与目标系统不产生直接交互不对目标访问，扫描~尽量避免留下一切痕迹在这个阶段进行的操作，至少目标系统认为都是正常的！！

信息收集内容

IP地址段域名信息邮件地址文档图片数据有时会出现公司产品的图片，有时不经意泄露的信息等公司地址通过地址在后续阶段有可能发现目标无线网等！！公司组织架构一旦泄露，就可以对不同部门展开社会工程学联系电话 / 传真号码人员姓名 / 职务目标系统使用的技术架构通过搜索引擎是可以发现一部分信息的公开的商业信息可以通过这些信息可能间接找到入侵目标的钥匙

信息用途

用信息描述目标发现漏洞社会工程学攻击物理缺口一些物理性的漏洞

信息收集 —— DNS

域名解析成IP地址域名与 FQDN的区别是不同的定义，FQDN是完全限定域名域名记录：A、C name、NS、MX、ptr ptr是反向的，从IP地址解析域名 DNS客户端->DNS服务器（缓存DNS服务器）->（各种服务器，如根域服务器、com域服务器等）客户端先发送请求到dns服务器，dns先查看本地缓存是否存在，如果有，直接发给客户端，否则就发给后面具体的服务器去进行查找，如果查找到，dns服务器先在本地缓存一份，再发给客户端，这只是一个简略的dns解析过程~

DNS信息收集 —— NSLOOKUP

一个跨平台的命令，输入nslookup命令进入查询nslookup server 修改解析的域名服务器set type=a（主机）、mx（邮件）、ns（域名）、any（任何类型）设置查找的类型不用进入也可以直接查询，如下：nslookup -type=ns 156.154.70.22nslookup -qt=ptr 220.181.14.144 反向查询记录一下简单的使用方法，，，直接进行解析输入nslookup进入查询，set设置类型，邮件记录，越小优先级越大

SMTP服务器对应的IP地址

域名服务器对应的IP地址

所使用的域名服务器，可通过server命令进行修改

DNS信息收集——DIGdig @8.8.8.8 mx

和nslookup差不多的命令格式，不过功能却比nslookup要强大

dig any

反向查询：dig +noall +answer -x 8.8.8.8

+noall什么结果都不输出 +answer只输出answer 两个都加表示直输出最终结果

反向查询，nslookup也有这个功能 bind版本信息：dig +noall +answer txt chaos VERSION.BIND @

便于查看bind版本存在的漏洞，，，进行一下漏洞的利用，一般来说是查不到的，因为这个对黑客来说是很感兴趣的~~

DNS追踪：dig +trace 、使用dig的+trace选项追踪DNS解析过程、迭代的查询

一般是递归查询，可以通过抓包查看递归查询、迭代查询过程的区别，可以通过这个追踪能够发现域名劫持~~

root@kali:~# dig +trace @114.114.114.114; <<>> DiG 9.11.5-P4-5.1-Debian <<>> +trace @114.114.114.114;; global options: +cmd.36604INNSb.root-..36604INNSk.root-..36604INNSf.root-..36604INNSi.root-..36604INNSm.root-..36604INNSc.root-..36604INNSe.root-..36604INNSg.root-..36604INNSa.root-..36604INNSd.root-..36604INNSl.root-..36604INNSj.root-..36604INNSh.root-.;; Received 239 bytes from 114.114.114.114#53(114.114.114.114) in 13 mscom.172800INNSa.gtld-.172800INNSb.gtld-.172800INNSc.gtld-.172800INNSd.gtld-.172800INNSe.gtld-.172800INNSf.gtld-.172800INNSg.gtld-.172800INNSh.gtld-.172800INNSi.gtld-.172800INNSj.gtld-.172800INNSk.gtld-.172800INNSl.gtld-.172800INNSm.gtld-.86400INDS30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766com.86400INRRSIGDS 8 1 86400 0928050000 0915040000 59944 . hVAwVGLBXTU8HRzfjWSvu6Y8KUHo9n3nxTfwllROVOKbN9ImNxKSmt1N oaxjTZmXqrbkg6JC30ao59QcrraSLyfEpTo4DRN0suyHhDl2cSitbVBR wDniIfHW3L8L3eaCThKYynQHzUzA+JRkw/VG0DbjsklAVLoiJhfQBaNB F5nsSXF9etfsycG/DeUiJLUpTGIiz+Fl0EvtGcI+nCyY2U+ho+EIvBc1 ftsJKmBX96BUKbeoyY8c8gWpqPtPFymeUAoOi0AwksQarRQ+1UDKZAeK HIRjDNzQim/4MTxG66cjAkA+sozOrnqAg+5Cmn1eif28f2Zb+fnv06WE LscwpA==;; Received 1172 bytes from 198.41.0.4#53(a.root-) in 222 ............... 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A NS SOA RRSIG DNSKEY . 86400 IN RRSIG NSEC3 8 2 86400 094443 0913033443 17708 com. INAWYCasF9PnQtdgWnqcp5IHS45ReJtJhA+HJyS6KU1iHlX67pcP5W4x rY/FgI1kanaIxgbNOXKyjsjQX6ZG+Hr3k1a1Qpb6hdY1ykocBF2w/8nn OOZyj/NsBn3osJz2Fsv9I0GPWgPSybHTWwQXtS5VNPEsZEfcJIIccXWY /5Q=. 86400 IN NSEC3 1 1 0 - TGAIBD36C6B9GMU6EB96HFA3PBUKS49B NS DS . 86400 IN RRSIG NSEC3 8 2 86400 0919052636 0912041636 17708 com. aP55vzxUfQU6qaDEu74omcgV4MVJbVxtX0rRoQfIEyEilEKQbIAAj6tw SaZn7kkDsXA0yfSIfE6/bIoXEmvhf+qaf70jo4g8bMySlrz0VyXvwttI GAgVodsW+Qp0k2wxtH5CvCe7Ih0C3LJKlm/2SmxGaDPIp+wQbp6TjXtC VBs=;; Received 727 bytes from 192.35.51.30#53(f.gtld-) in 242 ...60INCNAMEspool..;; Received 103 bytes from 36.51.252.8#53() in 38 ms

DNS区域传输

为什么做区域传输，就是想知道某一域里面所有的主机记录

dig @ axfr

先指定域名服务器：@

下载域名记录，axfr表示传输法

一般都会拒绝连接

host -T -l 8.8.8.8 主要是-l，-T表示时间

不限于这两条命令，这两条命令是最常见的

DNS字典爆破

爆破某一域里面的主机记录以及子域的域名记录

fierce -dnsserver 8.8.8.8 -dns -wordlist a.txt

指定任意一个缓存的DNS服务器都可以，同时需要一个字典

会先进行区域传输，后面再通过字典爆破，这里是没有a.txt文件的

其实他有个默认的字典：

我们可以直接使用这个字典文件进行爆破：

dnsdict6 -d4 -t 16 -x

-t表示使用的线程数，-x表示使用什么级别的字典，这个命令速度快，字典命中率高

emmm，新版的kali已经没有这个工具了，需要自己去进行下载安装~~

首先需要在物理机上下载压缩包，然后放入kali中，下载地址

然后使用命令：(1)tar zvxf thc-ipv6-2.7.tar.gz (2)cd thc-ipv6-2.7 (3)sudo apt-get install libpcap-dev libssl-dev (4)make (5)sudo cp dnsdict6 /usr/bin/成功安装~~

使用命令效果：

dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 -o sina.xml

可以把结果导出一个文件，使用-o参数

没有字典也可以查询：

还会查看bind版本：

也自带字典：

dnsmap -w dns.txt

没有字典无法继续

emmmm，我好像也没找到什么自带的字典~~dnsrecon -d --lifetime 10 -t brt -D dnsbig.txt

–lifetime表示超时时间 -t表示一个强度 -D指定一个字典来进行爆破

自带一个字典：

没有字典不会继续：

dnsrecon -t std -d -D dnsbig.txt

同上一个命令差不多，只不过这里使用的是标准的破解方式std

同样需要一个字典，不在演示了

可以将所有的字典收集成大字典，并不需要全部尝试

一般只需要使用个人较喜欢的一两个爆破命令即可

DNS注册信息

whois

可以进行社会工程学

whois -h 192.0.43.10

搜索引擎

为后面工作做准备~~公司新闻动态重要雇员信息机密文档/网络拓扑用户名密码目标系统软硬件技术架构

shodan

不爬取页面，只爬取设备的信息搜索联网的设备Banner：http、ftp、ssh、telnethttps://www.shodan.io/可以申请一个账号，每天搜索有次数限制常见的filter： net（192.168.21.1）or（192.168.21.0/24）后者查看的更多

city 表示查找所在的城市内的IP信息

country 表示查找所在的国家内的IP信息（CN,US）

port（80、21、22、23）表示开放22端口的IP信息

os 表示搜索指定服务器操作系统的IP信息，命令写法：os:linuxHostname（主机或域名）搜索出xxx公司的服务器或设备，命令写法：hostname:公司域名server 搜索服务，使用命令:server:apache命令可以结合使用，这里只是举个例子，net命令也可以加上去

一些有趣的命令~~

200 OK cisco country:JP 查找思科的设备

user:admin pass:password

linux upnp avtech

GOOGLE语法

+支付 -充值含有支付，不含有充值的页面"阿里巴巴" 表示只含有阿里巴巴字符串的页面intitle:标题intext:内容site:链接inurl:内容表示在URL内存在内容的相关页面filetype:文件类型payment site:fr表示法国支付相关页面

GOOGLE搜索——实例

inurl:"level/15/exec/-/show" intitle:"netbotz appliance" "ok" inurl /admin/login.php inurl:qq.txt filetype:xls "username | password“ inurl:ftp "password" filetype:xls site: Service.pwd

各种搜索引擎都有独特的语法，结构大同小异~~

两个命令行搜索引擎

具体就不举例了，记住用-h查看参数使用方法就行，google是需要翻墙的

邮件：theharvester -d -l 300 -b google⽂件：metagoofil -d -t pdf -l 200 -o test -f 1.html

一个快乐的工具——tmux

tmux基本操作，将prefix换成CTRL+B就行

简单的使用：CTRL+B之后，按C，新建窗口CTRL+B之后，按",垂直方向创建窗格CTRL+B之后，按%，水平方向创建窗格CTRL+B之后，按o,顺时针切换窗格

其他途径

社交网络工商注册新闻组 / 论坛招聘网站/web/web.php，收集网站以前的信息的网站，需翻墙

个人专属的密码字典

按个人信息生成七专属的密码字典CUPP——kali不自带，需要自己手动安装apt-get install cupp

查看参数：