基础设施扫描
DNS 域名信息查询
域名信息是任何渗透测试中的核心组成部分,它不仅仅涉及子域名,还包括整个互联网上的相关信息。因此,我们会收集相关信息,试图了解公司的功能特点,以及为成功高效地提供服务所必需的技术和结构。
这类信息是通过被动方式获取的,无需进行直接或主动的扫描。换句话说,我们始终保持隐蔽状态,以“客户”或“访客”的身份进行活动,以避免与公司产生直接联系,从而不会暴露自己的身份。与 OSINT 相关的部分只是深入 OSINT 工作过程中的一小部分而已,它们仅描述了获取信息的一些方法。更多关于这方面的方法和策略,可以在“OSINT:企业侦察”模块中找到。
不过,在收集信息的过程中,我们可以借助第三方服务来更好地了解这家公司。不过,首先我们需要仔细研究该公司的 main website 。然后,我们应该仔细阅读相关文档,了解这些服务所需的技术和结构支持。
证书查询
在互联网上,第一个可识别的标识可能是来自公司主网站的 SSL certificate 。通常,这样的证书不仅仅包含一个子域,这意味着该证书被用于多个域名,而这些域名很可能仍然处于活跃状态。1
curl -s https://crt.sh/\?q\=inlanefreight.com\&output\=json | jq .
查询子域名:1
curl -s https://crt.sh/\?q\=inlanefreight.com\&output\=json | jq . | grep name | cut -d":" -f2 | grep -v "CN=" | cut -d'"' -f2 | awk '{gsub(/\\n/,"\n");}1;' | sort -u
DNS记录
1 | dig any inlanefreight.com |
让我们来看看这里了解到的内容,然后回到我们的原则上来。我们看到了一些 IP 记录、一些邮件服务器、一些 DNS 服务器、TXT 记录,还有 SOA 记录。
A记录:我们通过 A 记录识别出指向特定子域的 IP 地址。在这里,我们只看到了一个已知的 IP 地址。MX记录显示,邮件服务器记录了负责处理公司邮件的服务器信息。在我们的情况下,这一操作是由谷歌来处理的,因此我们可以暂时忽略这一信息。NS记录:这类记录表明了用于将 FQDN 解析为 IP 地址的名称服务器。大多数托管提供商都使用自己的名称服务器,这使得识别托管提供商变得更加容易。TXT记录类型:这种记录通常包含各种第三方提供商的验证密钥,以及 DNS 的其他安全特性,如 SPF、DMARC 和 DKIM 等。这些功能用于验证和确认所发送电子邮件的来源。如果我们仔细查看这些结果,就能发现一些有价值的信息。
Shodan查询
常用语法
1 | city:城市名称 城市的名称 city:"Beijing" |
