红队视角下的信息收集(备忘 && 持续收集)


注意每个小标题都有加超链接,可以直接访问。

网盘信息搜集

网盘搜索引擎一般通过互联网爬虫来实现,本来就是不受官方支持的灰色地带,经常关站或停止维护,不付费的搜索引擎结果只能说差强人意。

凌风云搜索

资源保持更新,支持筛选排序,免费用户可以搜索,但访问资源需要开通VIP

大力盘/大圣盘

同一套东西,资源比较旧,微信扫码访问资源

超能搜/云铺子

搜索聚合,但结果质量不高

邮箱收集

进一步作为账户口令or钓鱼用,一般来自于官网通知/招聘信息/信息披露中的爬取。要注意一个集团可能不止一个邮箱后缀。

hunter.io

Google账号登录使用,可关联到企业,可显示来源(泄露文章链接)

snov.io

结果较多但是不显示来源,准确性未知,高级版除了邮箱还支持其他比如推特领英的搜索,我没试过:

email-format

普普通通

微匹

国内平台,面向客户发掘和信息骚扰,搜企业名or邮箱。

小程序/公众号

比较重要的一环,基于B/S的Web已经被挖烂了,看着手里枚举出来却访问不到业务的域名,其实还掩藏着很多小程序后端。而别人对小程序搜集和抓包的陌生就是你的竞争力。

小蓝本

对我们想要知道的企业信息覆盖非常全面,【新媒体】里面包含公众号/微博/小程序,弥补了从微信官方搜索关键字的不足。此外还有【APP】和【网站】,信息搜集家中常备:

极致了数据

界面比较恼人。网上其实有很多这种第三方的数据服务商,可以探索一下为我们所用。

域名

老生常谈。 基本操作见深入了解子域名挖掘tricks

招股书

来源于Micropoor,但我没有找到合适的企业去实践过,不知道和ICP备案中的结果会不会有出入。

Host碰撞

很多文章没讲清楚,Host碰撞本质上是Nginx配置不当产生的安全问题。nginx.conf配置server_name字段为某个域名后,可以防止外部通过IP直接访问或其他解析过来的域名访问,在此基础上也可以配置return来返回403或500等。

server {
    listen  8080  default_server;
    server_name _;
    return 400;
}

server {
    listen  8080;
    server_name 0sec.com.cn;
    location  {
    proxy_pass http://127.0.0.1:8001;
    root    html;
    index   index.html  index.htm;
    }    
}    

第一个server表示host为空时会返回400,第二个server会根据访问路径的不同返回不同的页面,当host为0sec.com.cn时才会返回127.0.0.1:8001上的服务。

有时候业务下线/更换,域名删除了A记录,但是nginx的配置没有更新,通过正确的域名与IP的组合,nginx还是会进行反向代理,那么还是可以访问到该系统。

这个缺陷应该归于OWASP 2021 A05:Security Misconfiguration的范畴,通过安全配置缺陷造成了A01:Broken Access Control,突破访问控制访问到的系统可能是内部系统或测试系统,Google在2017年也被发现过这个漏洞。

利用

收集IP:通过ASN号段(范围很大)/(历史)域名解析记录

然后域名与IP碰撞。

Burp里面可以通过Match/Replace功能进行Fuzz:

Host碰撞小工具:

集成工具:

  • 水泽:集成了host碰撞、爱企查接口、RCE POC批量,护网利器。
文章目录
  1. 1. 网盘信息搜集
    1. 1.1. 凌风云搜索
    2. 1.2. 大力盘/大圣盘
    3. 1.3. 超能搜/云铺子
  2. 2. 邮箱收集
    1. 2.1. hunter.io
    2. 2.2. snov.io
    3. 2.3. email-format
    4. 2.4. 微匹
  3. 3. 小程序/公众号
    1. 3.1. 小蓝本
    2. 3.2. 极致了数据
  4. 4. 域名
    1. 4.1. 招股书
    2. 4.2. Host碰撞
      1. 4.2.1. 利用
|