DNS 域名信息查询

域名信息是任何渗透测试中的核心组成部分,它不仅仅涉及子域名,还包括整个互联网上的相关信息。因此,我们会收集相关信息,试图了解公司的功能特点,以及为成功高效地提供服务所必需的技术和结构。

这类信息是通过被动方式获取的,无需进行直接或主动的扫描。换句话说,我们始终保持隐蔽状态,以“客户”或“访客”的身份进行活动,以避免与公司产生直接联系,从而不会暴露自己的身份。与 OSINT 相关的部分只是深入 OSINT 工作过程中的一小部分而已,它们仅描述了获取信息的一些方法。更多关于这方面的方法和策略,可以在“OSINT:企业侦察”模块中找到。

不过,在收集信息的过程中,我们可以借助第三方服务来更好地了解这家公司。不过,首先我们需要仔细研究该公司的 main website 。然后,我们应该仔细阅读相关文档,了解这些服务所需的技术和结构支持。

证书查询

在互联网上,第一个可识别的标识可能是来自公司主网站的 SSL certificate 。通常,这样的证书不仅仅包含一个子域,这意味着该证书被用于多个域名,而这些域名很可能仍然处于活跃状态。

1
curl -s https://crt.sh/\?q\=inlanefreight.com\&output\=json | jq .

查询子域名:
1
curl -s https://crt.sh/\?q\=inlanefreight.com\&output\=json | jq . | grep name | cut -d":" -f2 | grep -v "CN=" | cut -d'"' -f2 | awk '{gsub(/\\n/,"\n");}1;' | sort -u

DNS记录

1
dig any inlanefreight.com

让我们来看看这里了解到的内容,然后回到我们的原则上来。我们看到了一些 IP 记录、一些邮件服务器、一些 DNS 服务器、TXT 记录,还有 SOA 记录。

  • A 记录:我们通过 A 记录识别出指向特定子域的 IP 地址。在这里,我们只看到了一个已知的 IP 地址。
  • MX 记录显示,邮件服务器记录了负责处理公司邮件的服务器信息。在我们的情况下,这一操作是由谷歌来处理的,因此我们可以暂时忽略这一信息。
  • NS 记录:这类记录表明了用于将 FQDN 解析为 IP 地址的名称服务器。大多数托管提供商都使用自己的名称服务器,这使得识别托管提供商变得更加容易。
  • TXT 记录类型:这种记录通常包含各种第三方提供商的验证密钥,以及 DNS 的其他安全特性,如 SPF、DMARC 和 DKIM 等。这些功能用于验证和确认所发送电子邮件的来源。如果我们仔细查看这些结果,就能发现一些有价值的信息。

Shodan查询

常用语法

1
2
3
4
5
6
7
8
9
10
11
12
13
city:城市名称 城市的名称 city:"Beijing"
country:国家或者地区代码 国家的简称 country:"CN"
geo:经纬度 经纬度 geo:"46.9481, 7.4474
hostname:主机名 主机名或者域名 hostname:"baidu.com"
ip:IP 地址 IP 地址 ip:"11.11.11.11"
isp:ISP 供应商 ISP 供应商 isp:"China Telecom"
org:组织或者公司 组织或者公司 org:"baidu"
os:操作系统 操作系统 os:"Windows 7 or 8"
port:端口号 端口号 port:80
net:CIDR 格式的 IP 地址 CIDR 格式的 IP 地址 net:"190.30.40.0/24"
version:软件版本号 软件版本 version:"4.4.2"
http.server:服务类型 http 请求返回中 server 的类型 http:server:apache
http.status:请求状态码 http 请求返回响应码的状态 http.status:200