【零基础学渗透】被动信息收集

停更已久的《零基础学渗透》系列，今天开始继续更新了

更多网络空间安全学习资料，您也可以在我们的社区里找到

• 网络攻防学习社区

相关声明

以下内容仅限于教育目的，请勿用于非法用途。

学习目标

1.明确目标，要收集什么信息

2.掌握常用的信息收集工具和第三方服务

3.归纳总结自己的信息收集思路

网友绘制了一张社工思维导图，可以参考

虽然感觉比我之前绘制的要烂的很多，不过也有一定参考价值😂😂😂

首先，我们分享一下信息收集的常见内容

• 1.IP地址段
• 2.域名信息
• 3.邮件地址
• 4.文档图片信息
• 5.公司地址
• 6.公司组织架构
• 7.联系电话
• 8.人员姓名/职务
• 9.目标系统使用的技术架构
• 10.公开的商业信息

信息的用途

• 1.用信息描述目标
• 2.发现
• 3.社会工程学攻击
• 4.物理缺口

学习内容

1.信息收集内容、信息用途、信息收集DNS、DNS信息收集-NSLOOKUP

2.DNS信息收集

3.DNS区域传输、DNS字典爆破、DNS注册信息

4.搜索引擎、各种互联网资产搜索引擎（shodan、fofa、zoomeye等）

5.google搜索：实例

6.域名的历史解析记录

信息收集是一个比较庞大的工程，而且比较有趣，因此，我们在下面会详细展开说明，并附上在线视频教程，欢迎大家观看学习。

在线学习视频

被动信息收集

1.利用第三方服务对目标进行被动信息收集防止被发现

请参考下面视频中的第6-13节内容

• 6【第3章 被动信息收集】1-被动信息收集概述
• 7【第3章 被动信息收集】2-DNS域名解析原理
• 8【第3章 被动信息收集】3-DNS信息收集
• 9【第3章 被动信息收集】4-查询网站的域名注册信息和备案信息
• 10【第3章 被动信息收集】5-使用Maltego收集子域名信息
• 11【第3章 被动信息收集】6-使用Shodan暗黑谷歌搜索引擎收集信息
• 12【第3章 被动信息收集】7-Google搜索引擎使用技巧
• 13【第3章 被动信息收集】8-常见最新漏洞公布网站

信息收集与漏洞挖掘

以下视频包含

• 搜索引擎的利用
• 信息收集专题概括
• 信息收集与情报挖掘——如何收集骗子信息
• 社交网站的信息挖掘
• 钓鱼网站搭建前的准备
• 网络定位IP的常见方法

3.敏感信息收集

4.信息采集

5.大型目标渗透测试

• 信息搜集上
• 信息搜集下
• 端口扫描
• 查点

图文资料

DNS注册信息

常见方式：

• nslookup/dig
• dns域名爆破
• recon-ng(信息收集)

请在终端中尝试nslookup、dig等命令，详细命令以及各种工具用法，请评论获取

IP、MAC地址

IP、MAC的基础知识和常见自我保护手段

IP地址的唯一性：

网络上所有的设备都必须有一个独一无二的IP地址，就好比是邮件上都必须注明收件人地址，邮递员才能将邮件送到。

同理，每个IP信息包都必须包含有目的设备的IP地址，信息包才可以正确地送到目的地。同一设备不可以拥有多个IP地址，所有使用IP的网络设备至少有一个唯一的IP地址。

IP地址的格式和分段：

在计算机二进制中，1个字节 = 8位 = 8bit（比特）

IP地址(IPv4)由32位二进制数组成，分为4段（4个字节）

每一段为8位二进制数（1个字节）

每一段8位二进制，中间使用英文的标点符号“.”隔开

由于二进制数太长，为了便于记忆和识别，把每一段8位二进制数转成十进制，大小为0至255。

IP地址表示为：xxx.xxx.xxx.xxx

210.21.196.6就是一个IP地址的表示。

IP地址的组成：

IP地址包括网络地址和主机地址两个部分。

比如：210.21.196.6

其中210.21.196 是网络地址

6 是主机地址

同一网段内（近似理解为同一个机房内）的计算机网络地址相同，主机地址不会同时重复出现（因为主机是唯一的）。通过设置网络地址和主机地址，在互相连接的整个网络中保证每台主机的IP地址不会互相重叠，即IP地址具有了唯一性。

MAC地址：

称为物理地址，也叫硬件地址，用来定义网络设备的位置，MAC地址是网卡出厂时设定的，是固定的（但可以通过在设备管理器中或注册表等方式修改（常用于伪装自己的身份，往往一个网络硬件被生产出来，制造商是有MAC地址记录留存的），同一网段内的MAC地址必须唯一）。MAC地址采用十六进制数表示，长度是6个字节（48位），分为前24位和后24位。

IP隐藏技术：

SSR、VPN、SSH、S5、Proxifier等代理工具的使用，互联网不是法外之地，7层代理也可查，只不过是查你付出的成本高低而已。

使用方法百度即可，这里不多说了，命要紧。

加密聊天工具：

signal、小飞机等不需要手机号注册的匿名聊天APP，需要注册的也有绕过方式，代购手机卡、网络手机号等。

使用方法百度即可，这里不多说了，命要紧。

指纹清理、PC使用习惯、自我保护：

常见软件都会搜集你的MAC地址，将某台上网设备和你本人的实名信息绑定，所以，工作和私人要完全分开，避免留下相关指纹信息。

linux下通过macchanger命令可更改mac地址：

具体百度一看就知道了，再写入kali的开机自启，每次开机的mac就都不同了。

浏览器的选择，规避国产浏览器和外国浏览器的国内版，建议用bing国际版搜索火狐浏览器官网，下载安装。

比方：你在百度里搜索的火狐浏览器，基本都是这个网址：

https://www.firefox.com.cn/

页面拉到最下面是这样的

然而真正的官网应该是：

https://www.mozilla.org

然而就算你从这个链接点进去，也会跳转到国内版的网站（狗头保命）

所以，点另一个试试看：

https://www.mozilla.org/en-US/firefox/

现在拉到最下面就没有了：

域名

Domain Name，由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称

比如：

baidu.com

qq.com

由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点(baidu.com,你就知道是百度)

从而设计出域名，并通过网域名称系统（DNS，Domain Name System）来将域名和IP地址相互映射，使人更方便地访问互联网，而不用去记住想要访问的IP。 你想访问百度，不用去记住一长串数字IP了，只用记住baidu.com就好

IP地址和域名是一一对应的，这份域名地址的信息存放在一个叫域名服务器(DNS，Domain name server)的主机内，域名服务器就是提供IP地址和域名之间的转换服务的服务器。

DNS就像是一个自动的电话号码簿，我们可以直接拨打baidu的名字来代替电话号码（IP地址）。我们直接调用网站的名字以后，DNS就会将便于人类使用的名字（如baidu.com）转化成便于机器识别的IP地址（如108.210.12.265）。

域名的种类：

不同级别的域名，包括顶级域名，二级域名，三级域名……

比如：www.baidu.com
顶级域名：com
二级域名：baidu.com
三级域名：www.baidu.com

域名备案：

国内网站都有备案，注册人的信息（注册人、邮箱、联系方式、地理位置）可以从获取到

CDN：

CDN的全称是Content Delivery Network，即内容分发网络

CDN的基本原理是广泛采用各种缓存服务器，将这些缓存服务器分布到用户访问相对集中的地区或网络中，在用户访问网站时，将用户的访问指向距离最近的工作正常的缓存服务器上，由缓存服务器直接响应用户请求。

其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。

简单来理解，打比方，就是一个服务器架设在东北的网站，我们从海南、西北等距离较远的地方直接访问网站内容会比较慢，有了CDN技术以后，全国各大城市，都有缓存服务器，把网站的内容缓存起来，离得近的用户输入域名的时候，直接连接到缓存服务器上，而不是连比较远的真实服务器。

域名的历史解析ip：

由于绑定CDN、网站升级或者业务变迁，域名解析的ip会发生改变，通过查询某个域名的历史解析IP，有可能绕过CDN云，找到他曾经直接解析的真实IP上。

你可以使用IP138工具，输入域名后查询到历史解析IP，一定程度上可以找到服务器的源IP地址。

域名信息收集的利用

信息收集的目标公司：广州市华软科技发展有限公司

主站网址是https://www.huaruan.com.cn/

一、whois 查询

我们从www.zzy.cn和站长之家查询得到如下结果

简单分析一下可能能用的信息：

联系人是：广州市华软科技发展有限公司

联系邮箱是：[email protected]

联系人和联系邮箱都可以进行whois反查以及作为制作字典的素材，可以看这个联系人还注册了哪些域名。

99开头的新的域名和邮箱就出来了

我们把1开头的邮箱进一步反查：

又得到2个新域名和注册人、联系方式。

……

所有得到的域名都要打开一遍，去对应的网站翻一遍还有没有什么信息可以搜集到,比如人名、联系方式、联系邮箱，后续可以社工和whois反查。

域名还可以放到微步在线网站，查询更多能利用的信息。

所有得到的公司名称，都丢到企查查去看看，对应的老板名下还有哪些企业，该企业还有没有什么分公司，对应的企业再回来查whois。

以上所有整理的和目标相关的信息，利用各种搜索引擎进一步搜集，注意要搜索那些年份比较早的信息，近几年的可能已经被改过了，但是互联网是有记忆的，早期安全意识比较差的时候，很多真实信息会暴露。（搜索引擎可设置查询年月日）

关于信息搜集整理工具，建议用XMIND思维导图，要不然信息过多你就梳理不清了

相信到这一步，你一定能通过被动信息收集，编织出一大张网状思维导图，根本目的，就是把目标的整个组织架构给摸清楚，越细节越好。

这是后续开展渗透测试的重中之重，信息搜集的越多，攻击面就越大。

网络空间测绘引擎

您还可以通过网络空间测绘引擎，快速收集目标资产

• 服务器
• 数据库
• 某个网站管理后台
• 路由器
• 交换机
• 公共ip的打印机
• 网络摄像头
• 门禁系统
• Web服务

真实IP收集方式

验证是否存在CDN

方法1：

很简单，使用各种多地 ping 的服务，查看对应 IP 地址是否唯一，如果不唯一多半是使用了CDN，

多地 Ping 网站有：

http://ping.chinaz.com/

http://ping.aizhan.com/

http://ce.cloud.360.cn/

方法2：

使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

有 CDN 的示例：

www.163.com服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:名称: 163.xdwscache.ourglb0.com
Addresses:
58.223.164.86
125.75.32.252
Aliases:
www.163.com
www.163.com.lxdns.com

无 CDN 的示例：

xiaix.me服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:名称: xiaix.me
Address: 192.3.168.172

绕过 CDN 查找网站真实 IP

1.多地ping

因为CDN的原因，国内的站用国外ping，反之亦然，可能获取真实IP。

不同的地方去Ping服务器，如果IP不一样，则目标网站肯定使用了CDN。 

在线ping:

 http://ping.chinaz.com/ 

http://ce.cloud.360.cn/ 

http://www.webkaka.com/ping.aspx

https://asm.ca.com/en/ping.php

2.子域名探测法

有些子域名可能由于成本的原因没有用CDN，所以要尽可能的多收集子域名，从而有效判断真实ip。

或许可以找到一些没有部署 CDN 的子域名，拿到某些服务器的真实 ip/ 段

3.搜索引擎 

常见的有钟馗之眼，shodan，fofa搜索。以fofa为例，只需输入:title:“网站的title关键字”或者body: “网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip。

4.ssl证书收集

Censys工具能实现对整个互联网的扫描，Censys是一款用以搜索联网设备信息的新型搜索引擎，能够扫描整个互联网，Censys会将互联网所有的ip进行扫描和连接，以及证书探测。

举例：

xyz123boot.com证书的搜索查询参数为：parsed.names：xyz123boot.com

只显示有效证书的查询参数为：tags.raw：trusted

攻击者可以在Censys上实现多个参数的组合，这可以通过使用简单的布尔逻辑来完成。

组合后的搜索参数为：parsed.names: xyz123boot.com and tags.raw: trusted

censys将向你显示符合上述搜索条件的所有标准证书，以上这些证书是在扫描中找到的。

要逐个查看这些搜索结果，攻击者可以通过单击右侧的“Explore”，打开包含多个工具的下拉菜单。

What's using this certificate? > IPv4 Hosts

此时，攻击者将看到一个使用特定证书的IPv4主机列表，而真实原始 IP就藏在其中。

5.历史解析记录

一般网站从部署开始到使用cdn都有一个过程，周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站ip，查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录。

找国外的比较偏僻的DNS解析服务器进行DNS查询，因为大部分CDN提供商只针对国内市场，而对国外市场几乎是不做CDN，所以有很大的几率会直接解析到真实IP 。

全世界DNS地址：

http://www.ab173.com/dns/dns_world.php

https://dnsdumpster.com/

https://dnshistory.org/

http://whoisrequest.com/history/

https://completedns.com/dns-history/

 http://dnstrails.com/ 

https://who.is/domain-history/

http://research.domaintools.com/research/hosting-history/

http://site.ip138.com/ 

http://viewdns.info/iphistory/ 

https://dnsdb.io/zh-cn/

https://www.virustotal.com/

https://x.threatbook.cn/

http://viewdns.info/ 

http://www.17ce.com/

https://securitytrails.com/

https://tools.ipip.net/cdn.php

6.邮件记录获取

就是想办法让目标Web服务器给自己发一封邮件，常见于注册账户、密码找回、订阅、咨询等功能点。

收到邮件后，我们可以查看源代码，特别是其中的邮件头，记录下其中的所有IP地址，包括子域名，这些信息很可能与托管服务有关。

然后，我们可以尝试通过这些地址访问目标。

7.利用网站返回的内容寻找真实原始IP

如果原始服务器IP也返回了网站的内容，那么可以在网上搜索大量的相关数据。

浏览网站源代码，寻找独特的代码片段。

在JavaScript中使用具有访问或标识符参数的第三方服务（例如Google Analytics，reCAPTCHA）是攻击者经常使用的方法。

以下是从HackTheBox网站获取的Google Analytics跟踪代码示例：

ga（’create’，’UA-93577176-1’，’auto’）;

可以使用80.http.get.body：参数通过body/source过滤Censys数据

8.利用网站证书查询源IP

子域名探测

参考先知社区的《子域名探测方法大全》

内网信息收集

参考Freebuf的

• 《内网渗透基石篇–内网信息收集（上》
• 《内网渗透基石篇—内网信息收集（下）》

相关文档

这里也收藏了一些热心网友分享的文档供大家参考