先知安全沙龙(杭州站) - 实网攻防中信息收集的艺术
字数 2355 2025-08-23 18:31:34

实网攻防中信息收集的艺术 - 教学文档

1. 信息收集概述

信息收集是渗透测试和红队行动中最关键的初始阶段,决定了后续攻击的广度和深度。高质量的信息收集能够:

  • 发现攻击面
  • 识别潜在漏洞
  • 缩小攻击范围
  • 提高攻击成功率

2. 被动信息收集技术

2.1 DNS信息收集

  • WHOIS查询:获取域名注册信息

    • 工具:whois命令、在线WHOIS查询网站
    • 关键信息:注册人、联系方式、DNS服务器、注册日期

  • DNS枚举

    • 使用dig/nslookup查询A、MX、NS、TXT等记录
    • 工具:dnsrecon、dnsenum
    • 子域名爆破:subfinder、amass、Sublist3r

  • DNS缓存投毒:利用DNS协议缺陷获取额外信息

2.2 搜索引擎利用

  • Google Hacking

    • site: 限定搜索范围
    • filetype: 搜索特定文件类型
    • intitle/inurl: 搜索标题或URL中的关键词
    • cache: 查看缓存页面

  • Shodan/Censys

    • 搜索暴露在互联网上的设备和服务
    • 过滤器:port、country、os、product等

2.3 证书透明度日志

  • CT Log查询
    • 工具:crt.sh、CertSpotter
    • 获取所有已签发证书的域名信息
    • 发现隐藏的子域名

2.4 代码仓库与文档

  • GitHub/GitLab搜索

    • 查找泄露的API密钥、密码、配置文件
    • 工具:gitrob、truffleHog

  • 文档元数据

    • 提取PDF/Word/Excel中的隐藏信息
    • 工具:exiftool、FOCA

3. 主动信息收集技术

3.1 端口扫描与服务识别

  • Nmap高级用法

    • 全端口扫描:nmap -p-
    • 服务版本探测:-sV
    • 操作系统识别:-O
    • 脚本扫描:--script=
    • 规避检测:-T调整速度,--scan-delay设置延迟

  • Masscan

    • 超高速扫描,适合大范围IP段
    • 语法:masscan -p1-65535 <IP> --rate=10000

3.2 Web应用指纹识别

  • HTTP头分析

    • Server、X-Powered-By、Set-Cookie等字段
    • 工具:curl、wget、whatweb

  • 文件路径探测

    • 默认安装路径:/admin、/phpmyadmin等
    • 工具:dirsearch、gobuster、ffuf

  • WAF识别

    • 工具:wafw00f
    • 常见WAF特征:Cloudflare、Akamai、Imperva

3.3 网络拓扑探测

  • Traceroute

    • 传统:traceroute
    • TCP/UDP/ICMP变种
    • 工具:mtr、tcptraceroute

  • CDN识别与绕过

    • 查找真实IP:历史DNS记录、SSL证书、子域名
    • 工具:CloudPiercer、Sublist3r

3.4 云环境信息收集

  • AWS/GCP/Azure元数据服务

    • 访问:http://169.254.169.254
    • 获取IAM角色、密钥等敏感信息

  • 存储桶枚举

    • AWS S3:s3scanner
    • Google Storage:gsutil

4. 社会工程学信息收集

4.1 人员信息收集

  • LinkedIn/社交媒体

    • 员工姓名、职位、联系方式
    • 组织架构分析

  • 邮箱枚举

    • 工具:theHarvester、hunter.io
    • 验证:mailtester.com

4.2 钓鱼信息收集

  • 域名仿冒

    • 注册相似域名
    • IDN同形异义字攻击

  • 邮件头分析

    • 获取邮件服务器信息
    • 追踪邮件路径

5. 自动化信息收集框架

5.1 Recon-ng

  • 模块化设计
  • 支持多种数据源
  • 工作流自动化

5.2 SpiderFoot

  • 可视化情报收集
  • 支持超过200种数据源
  • 关联分析能力

5.3 Maltego

  • 图形化信息关联
  • 强大的数据转换能力
  • 商业版功能更全面

6. 信息整理与分析

6.1 数据去重与清洗

  • 去除无效数据
  • 标准化格式
  • 工具:jq、grep、awk

6.2 可视化分析

  • 网络拓扑图
  • 时间线分析
  • 工具:Gephi、Maltego

6.3 风险评估

  • 暴露面分析
  • 攻击路径规划
  • 优先级排序

7. 防御对策

7.1 减少暴露面

  • 最小化公开信息
  • 定期审计外部资产
  • 关闭不必要的服务

7.2 监控与告警

  • 异常扫描检测
  • 证书透明度监控
  • 域名监控

7.3 员工意识培训

  • 社交媒体使用规范
  • 钓鱼邮件识别
  • 信息泄露报告机制

8. 法律与合规

  • 授权范围明确
  • 数据保护法规遵守
  • 敏感信息处理规范

9. 工具清单

类别 工具
DNS枚举 dnsrecon, dnsenum, subfinder
端口扫描 nmap, masscan, zmap
Web扫描 dirsearch, gobuster, ffuf
搜索引擎 theHarvester, shodan, censys
自动化框架 Recon-ng, SpiderFoot, Maltego
数据分析 jq, Gephi, Maltego

10. 进阶技巧

  • 证书透明日志时间线分析:发现新申请的域名
  • ASN关联分析:通过自治系统号发现关联资产
  • 历史数据对比:定期扫描对比变化
  • 被动DNS数据库:VirusTotal, PassiveTotal
  • 跨源情报关联:结合多个数据源验证信息

结语

信息收集是持续迭代的过程,需要结合被动和主动方法,利用自动化工具提高效率,同时保持人工分析判断。随着防御措施加强,攻击者需要不断创新信息收集方法,而防御方也需要持续监控自己的数字足迹。

实网攻防中信息收集的艺术 - 教学文档 1. 信息收集概述 信息收集是渗透测试和红队行动中最关键的初始阶段,决定了后续攻击的广度和深度。高质量的信息收集能够: 发现攻击面 识别潜在漏洞 缩小攻击范围 提高攻击成功率 2. 被动信息收集技术 2.1 DNS信息收集 WHOIS查询 :获取域名注册信息 工具:whois命令、在线WHOIS查询网站 关键信息:注册人、联系方式、DNS服务器、注册日期 DNS枚举 : 使用dig/nslookup查询A、MX、NS、TXT等记录 工具:dnsrecon、dnsenum 子域名爆破:subfinder、amass、Sublist3r DNS缓存投毒 :利用DNS协议缺陷获取额外信息 2.2 搜索引擎利用 Google Hacking : site: 限定搜索范围 filetype: 搜索特定文件类型 intitle/inurl: 搜索标题或URL中的关键词 cache: 查看缓存页面 Shodan/Censys : 搜索暴露在互联网上的设备和服务 过滤器:port、country、os、product等 2.3 证书透明度日志 CT Log查询 : 工具:crt.sh、CertSpotter 获取所有已签发证书的域名信息 发现隐藏的子域名 2.4 代码仓库与文档 GitHub/GitLab搜索 : 查找泄露的API密钥、密码、配置文件 工具:gitrob、truffleHog 文档元数据 : 提取PDF/Word/Excel中的隐藏信息 工具:exiftool、FOCA 3. 主动信息收集技术 3.1 端口扫描与服务识别 Nmap高级用法 : 全端口扫描: nmap -p- 服务版本探测: -sV 操作系统识别: -O 脚本扫描: --script= 规避检测: -T 调整速度, --scan-delay 设置延迟 Masscan : 超高速扫描,适合大范围IP段 语法: masscan -p1-65535 <IP> --rate=10000 3.2 Web应用指纹识别 HTTP头分析 : Server、X-Powered-By、Set-Cookie等字段 工具:curl、wget、whatweb 文件路径探测 : 默认安装路径:/admin、/phpmyadmin等 工具:dirsearch、gobuster、ffuf WAF识别 : 工具:wafw00f 常见WAF特征:Cloudflare、Akamai、Imperva 3.3 网络拓扑探测 Traceroute : 传统: traceroute TCP/UDP/ICMP变种 工具:mtr、tcptraceroute CDN识别与绕过 : 查找真实IP:历史DNS记录、SSL证书、子域名 工具:CloudPiercer、Sublist3r 3.4 云环境信息收集 AWS/GCP/Azure元数据服务 : 访问: http://169.254.169.254 获取IAM角色、密钥等敏感信息 存储桶枚举 : AWS S3: s3scanner Google Storage: gsutil 4. 社会工程学信息收集 4.1 人员信息收集 LinkedIn/社交媒体 : 员工姓名、职位、联系方式 组织架构分析 邮箱枚举 : 工具:theHarvester、hunter.io 验证:mailtester.com 4.2 钓鱼信息收集 域名仿冒 : 注册相似域名 IDN同形异义字攻击 邮件头分析 : 获取邮件服务器信息 追踪邮件路径 5. 自动化信息收集框架 5.1 Recon-ng 模块化设计 支持多种数据源 工作流自动化 5.2 SpiderFoot 可视化情报收集 支持超过200种数据源 关联分析能力 5.3 Maltego 图形化信息关联 强大的数据转换能力 商业版功能更全面 6. 信息整理与分析 6.1 数据去重与清洗 去除无效数据 标准化格式 工具:jq、grep、awk 6.2 可视化分析 网络拓扑图 时间线分析 工具:Gephi、Maltego 6.3 风险评估 暴露面分析 攻击路径规划 优先级排序 7. 防御对策 7.1 减少暴露面 最小化公开信息 定期审计外部资产 关闭不必要的服务 7.2 监控与告警 异常扫描检测 证书透明度监控 域名监控 7.3 员工意识培训 社交媒体使用规范 钓鱼邮件识别 信息泄露报告机制 8. 法律与合规 授权范围明确 数据保护法规遵守 敏感信息处理规范 9. 工具清单 | 类别 | 工具 | |------|------| | DNS枚举 | dnsrecon, dnsenum, subfinder | | 端口扫描 | nmap, masscan, zmap | | Web扫描 | dirsearch, gobuster, ffuf | | 搜索引擎 | theHarvester, shodan, censys | | 自动化框架 | Recon-ng, SpiderFoot, Maltego | | 数据分析 | jq, Gephi, Maltego | 10. 进阶技巧 证书透明日志时间线分析 :发现新申请的域名 ASN关联分析 :通过自治系统号发现关联资产 历史数据对比 :定期扫描对比变化 被动DNS数据库 :VirusTotal, PassiveTotal 跨源情报关联 :结合多个数据源验证信息 结语 信息收集是持续迭代的过程,需要结合被动和主动方法,利用自动化工具提高效率,同时保持人工分析判断。随着防御措施加强,攻击者需要不断创新信息收集方法,而防御方也需要持续监控自己的数字足迹。