要求:熟练掌握域名收集、子域名、IP地址收集的各种工具的使用,结果写入实验报告 警示:遵纪守法 工具:kail
信息收集又称 网络踩点(footprinting),攻击者通过各种途径对要攻击的目标进行有计划和有步骤的信息收集,从而了解目标网络环境和信息安全状况的过程。
信息收集内容包括:IP地址段、域名信息、邮件地址、公司地址、公司组织架构、联系电话/传真、人员姓名/职务、目标系统的技术架构、公开的商业信息
信息收集用途:信息描述目标、发现目标、社会工程学攻击、物理缺口
dig
dig(domain information group)是常用的域名查询工具,可从DNS域名服务器查询主机地址信息,获取到详细的域名信息。
kali中有dig工具不需要重复下载
名词解释
DNS:Domain Name System 。域名系统是因特网的主要服务,作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网。DNS使用TCP和UDP端口53。
A记录:正向解析,主机记录,最广泛的DNS记录;域名->IP
NS记录:也称为域名服务器记录,用于说明这个区域有哪些DNS服务器承担解析的任务; ns.hebtu.edu.cn
cname记录:别名记录;允许将多个名字映射到同一台计算机 如www.xuesheng.cn 对应IP110.10.10.10 web.xuesheng.cn 对应IP110.10.10.10
PTR记录:反向地址解析记录,作用是把IP地址解析为域名 IP->域名
基本用法:dig 域名
输出内容解释:
第一部分:前两行 第一行会打印出已安装的 dig 版本,以及查询的域名;如上图中,dig版本为9.16.13-Debian,要查询的域名为www.baidu.com 第二行显示全局选项(默认情况下,仅有 cmd)。 如果你不希望一二行被包括在输出中,请使用+nocmd参数。 (此参数必须是 dig 命令后的第一个参数)
第二部分:Got answer(三四五行) 三四五行输出包括从被请求机构(DNS 服务器)收到响应的详细技术信息。标题显示由 dig 执行操作的「操作码」和「操作状态」的「标头」,上述示例中的「操作状态」是NOERROR,这意味着被请求的 DNS 服务器可没有任何阻碍地提供查询。 也可以用+comments参数隐藏这一部分输出,使用此参数时还会禁用一些其它节输出的标题。
第三部分:OPT PSEUDOSECTION 「OPT」伪装部分仅在较新版本的 dig 工具中显示。要隐藏此部分输出可以使用+noedns参数。
第四部分: QUESTION SECTION 显示 dig 将要查询的内容,默认情况下 dig 会查询 A 记录。可以使用+noquestion参数禁用此部分输出。
第五部分:ANSWER SECTION 「ANSWER」部分为我们提供了查询的答案,正如我们已经提到的,默认情况下 dig 将请求 A 记录。 在这里,我们可以看到 www.baidu.com 域名指向的 IP 地址。 可以使用+noanswer参数删除此部分输出。
第六部分:最后一段 其中包括有关查询的统计信息,包括Query time、SERVER、WHEN、MSG SIZE rcvd。 可以使用+nostats参数禁用此部分输出。
具体查询语句
(注意:下列语句中带的参数不区分大小写,即dig www.baidu.com A与dig www.baidu.com a等同) 查询A记录:dig 域名 A 查询MX记录: dig 域名 MX 查询CNAME记录: dig 域名 cname 查询NS记录: dig 域名 NS 查询上述所有记录: dig 域名 NYA
查询A记录并显示简要的返回结果: dig 域名 A +short 
从指定的dns服务器(8.8.8.8)进行查询: dig @服务器ip 域名 
反向查询(查询IP的DNS): dig -x ip +short 
跟踪整个查询过程: dig +trace 域名
host
常用的分析域名查询工具,可测试域名系统工作是否正常;功能:名字->IP地址,IP->名字 查询域名对应的IP地址: host 网址
基本用法:查询域名对应的IP地址: host 域名
具体查询语句
显示域名查询的详细信息: host -v 域名 查询域名的MX信息: host -t mx 域名 显示详细的DNS信息: host -a 域名 用其它DNS查询百度主机: host 域名 其他DNSip(例:host www.baidu.com 8.8.8.8)
dnsenum
功能:获取各种DNS资源记录,根据字典暴力枚举子域名、主机名、C段网络扫描和反向网络查找
基本用法
dnsenum [选项] 域名 将会得到
具体用法
用dnsenum -h可以查询全部命令 常用命令: –dnsserver 将指定DNS服务器用于A,NS和MX查询。 –enum Shortcut选项相当于–threads 5 -s 15 -w。 –noreverse跳过反向查找操作。 –private在文件domain_ips.txt的末尾显示并保存私有ips。 –subfile 将所有有效的子域写入此文件。 -t, - timeout tcp和udp超时值,以秒为单位(默认值:10秒)。 –threads 将执行不同查询的线程数。 -v, - verbose详细:显示所有进度和所有错误消息。 -f, - file 从此文件中读取子域以执行暴力破解。 -u,使用有效子域更新使用-f开关指定的文件。 -r, - delay在子域上递归,强制所有具有NS记录的已发现的子域。 -o --output 以XML格式输出。将扫描的结果输出成为文件。
例如: dnsenum -r -f /usr/share/dnsenum/dns.txt 域名 dnsenum -f /usr/share/dnsenum/dns.txt --dnsserver 8.8.8.8 cisco.com -O cisco.txt
dnsrecon
强大的域名信息收集和枚举工具,支持所有域名枚举和域名资源记录查询
基本用法
dnsrecon -d 目标域名 -D 字典文件 还可以在后面加-t brt 使用内建字典枚举域名和IP地址;-t std 默认的标准查询;-t axfr对所有的NS服务器进行域传送测试 
具体用法
此工具可以完成: 区域传输 ---- Zone Transfer 反向查询 ---- Reverse Lookup 暴力猜解 ---- Domain and Host Brute-Force 标准记录枚举 ---- Standard Record Enumeration (wildcard,SOA,MX,A,TXT etc.) 缓存窥探 ---- Cache Snooping 区域遍历 ---- Zone Walking Google查询 ---- Google Lookup
dnsrecon -h可以查询全部命令
dnsrecon -d 目标域名 -D 字典文件 -t {std|brt|axfr} -t brt 使用内建字典枚举域名和IP地址;-t std 默认的标准查询;-t axfr对所有的NS服务器进行域传送测试 
fierce
功能:综合使用多种技术扫描IP地址和主机名的枚举工具,包括反向查找某个IP地址段中的域名 用法:fierce --domain 目标域名 [-dnsserver 指定DNS] [-range ip地址范围] [-threads 线程数] [-wordlist 字典路径] 
oneforall–功能强大的子域收集工具
在线工具查询https://phpinfo.me/domain/ 
DNS信息收集工具dnsenum、fierce和dnsrecon都支持IP地址收集
netdiscover :一款支持主动/被动的ARP侦查工具,有线和无线网络均可
用法:netdiscover [-p] -r 地址范围 
nmap :经典端口扫描工具,集成了主机发现模块 用法:nmap [-PA [端口]] [-PS [端口]] [-PU [端口]] -sn -n 地址范围 -sn: ping扫描- 禁止端口扫描 -PS [portlist]: TCP SYN扫描 -PA[portlist]: TCP ACK扫描 -PU [portlist]: UDP 扫描 
FOFA-强大的网络空间资产搜索引擎
metasploit中的psnuffle模块
截获同一局域网内用户登录某应用(FTP, HTTP, TELNET等)的明文账号 
WEB挖掘分析
通过搜索引擎从WEB站点中寻找和搜索攻击目标的相关信息 site: 域名 inurl: login allinurl: login admin intext: 关键字 // 寻找正文中含有关键字的网页 allintext: 关键字 // 寻找正文中的多个关键字 filetype: 关键字 // 指定访问的文件类型 
Msfconsole :brute_dirs, dir_scanner模块等
