渗透测试标准-情报收集-精品（下）

大会

会议在公司大楼进行/现场采集

为现场情报收集选取特定的位置，如角落，不易引起人注意的位置，然后随着时间推移进行侦察（通常至少2-3天以确保收集信息完整）。在现场情报收集时，要注意一些重点信息：

■物理安全检查

■无线扫描/射频扫描

■员工行为规范

■没设置门禁的房间/邻近设施（共用空间）

■搜检垃圾箱（老外的文章中经常提到的一个行动，抽时间专门写一篇关于此的文章）

■使用的设备类型

会议在其他场地进行

识别场外场地提供方与组织的重要性/关系。如下所示：

■场地为数据中心位置

■场地为网络配置/供应商

人工情报

■人工情报补充了情报上更多的内容，因为它提供了其他方式无法获得的信息，并为情报信息添加了更多“个人”视角（感情，历史，关键人物之间的关系，“氛围”等...） 获得人工情报的方法通常涉及直接的互动，无论是身体上的还是口头上的。情报收集应在虚假的身份下进行，这种身份将可以为采访活动或者商务合作。 此外，可以通过利用观察来进行对更敏感目标的进行情报收集，如：亲身在现场观察或通过电子/远程手段（CCTV，网络摄像头等......）。这通常是为了建立行为模式（例如合作伙伴的访问频率，员工的着装要求，访问路径，可提供额外访问的关键位置，例如公司楼下咖啡店）。

应用于

■主要员工

■合作伙伴/供应商

■社会工程学

■以下是技术类内容：

外部信息收集

介绍

■是信息收集的一个阶段，包括与目标的交互，以便从组织外部的角度获取信息。

操作

■通过与目标互动可以收集大量信息。通过探测服务或设备，您通常可以创建可以进行指纹识别的场景，或者甚至更简单地，可以获得可识别设备的编号。必须执行此步骤才能收集有关目标的更多信息。

外部信息

识别客户外部范围

■在渗透测试期间收集情报的主要目标之一是确定将在范围内的主机。有许多技术可用于识别系统，包括使用反向DNS查找，DNS 解析，WHOIS搜索。下面记录了这些技术和其他技术。

被动收集

■whois是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。whois通常使用TCP协议43端口。

■WHOIS信息基于树层次结构。ICANN（IANA）是所有TLD的权威注册机构，是所有手动WHOIS查询的良好起点。

ICANN - http://www.icann.org

IANA - http://www.iana.com

NRO - http://www.nro.net

AFRINIC - http://www.afrinic.net

APNIC - http://www.apnic.net

ARIN - http://ws.arin.net

LACNIC - http://www.lacnic.net

RIPE - http://www.ripe.net

■一旦查询了相应的注册商，我们就可以获得注册人信息。有许多网站提供WHOIS信息; 但是，为了准确记录文档，您只需使用相应的管理机构为准就行了。国内可以使用爱站网，站长之家等。

BPG查询

■BGP属于外部或域间路由协议。BGP的主要目标是为处于不同AS中的路由器之间进行路由信息通信提供保障。BGP既不是纯粹的矢量距离协议，也不是纯粹的链路状态协议，通常被称为通路向量路由协议。这是因为BGP在发布到一个目的网络的可达性的同时，包含了在IP分组到达目的网络过程中所必须经过的AS的列表。通路向量信息时十分有用的，因为只要简单地查找一下BGP路由更新的AS编号就能有效地避免环路的出现。BGP对网络拓扑结构没有限制。可通过BGP4、BGP6这两个网站查询

■BGP4 - http://www.bgp4.as/looking-glasses

■BPG6 - http://lg.he.net/

主动收集

■端口扫描技术将根据测试可用的时间和隐蔽需求而有所不同。如果系统知之甚少，则可以使用快速ping扫描来识别系统。此外，应运行没有ping验证的快速扫描（nmap中的-PN）以检测最常见的可用端口。有些测试人员只检查打开的TCP端口，应确保也检查UDP。

■http://nmap.org/nmap_doc.html详细描述了nmap的详细信息.

■Nmap提供了许多选项。由于本节涉及端口扫描，因此我们将重点介绍执行此任务所需的命令。重要的是要注意所使用的命令主要取决于被扫描的主机的时间和数量。执行此任务所需的主机越多或时间越少，我们查询主机的次数就越少。

■此外还应测试IPv6。

标志提取

■Banner Grabbing是一种枚举技术，用于收集有关网络上计算机系统和运行其开放端口的服务的信息。标志提取用于识别网络目标主机正在运行的应用程序和操作系统的版本。

■标志提取通常在超文本传输协议（HTTP），文件传输协议（FTP）和邮件传输协议（SMTP）上执行; 分别为端口80,21和25。通常用于执行标志提取抓取的工具是Telnet，nmap和Netcat。

nmap -sV --script=banner 192.168.0.102

nc -v 192.168.0.10 443

■网络无法到达

■SNMP服务器未运行

■字符串无效

■响应数据报尚未传输回来

DNS区域传输漏洞

■DNS服务器分为：主服务器、备份服务器和缓存服务器。 域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。 在主备服务器之间同步数据库，需要使用“DNS域传送”。DNS服务器配置不当，导致匿名用户利用DNS域传送协议获取某个域的所有记录，

危害

■网络拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器等，攻击者可以节省很少的扫描时间，直接加快、助长攻击者的入侵过程。有许多工具可用于测试执行DNS区域传输，如host，dig和nmap。

nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.网站.com -p 53 -Pn dns.xxx.网站.com

dns-zone-transfer.domain后的参数是指定要查询的域，dns.xxx.edu.cn 为指定的查询域名服务器。

邮件退回

■如果在传送邮件时出现问题，邮件服务器会向发件人发送退回邮件，它们包含错误代码、有关该问题的技术细节，并且有时还包含邮件发件人采取的故障排除步骤。可分为：未送达报告 (NDR) ，（失败）传递状态通知（DSN）消息，未送达通知（NDN）或仅仅是退回退回邮件。退回的邮件可用于帮助攻击者识别SMTP服务器，因为SMTP服务器信息（包括软件和版本）可能包含在退回邮件中。这可以构造虚假的收件人[email protected]来达成。Gmail提供对邮件退回信息的完全访问权限，使其成为测试人员的首选。

DNS发现

■可以通过查看域名的WHOIS来查看dns。此外，应检查目标的其他顶级域名，并检查其他顶级域名网站是否被目标控制的其他域名进行引用。

■我们经常使用到得DNS服务器里面有两个区域，即“正向查找区域”和“反向查找区域”，正向查找区域就是我们通常所说的域名解析，反向查找区域即是这里所说的IP反向解析，它的作用就是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录是邮件交换记录的一种，邮件交换记录中有A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名。通过对PTR记录的查询，达到反查的目的。

推荐网站：

https://viewdns.info/reversedns/

http://dns.aizhan.com/

DNS爆破

■由于DNS用于将IP地址映射到主机名，我们希望查看它是否为不安全配置。涉及DNS的最严重的错误配置之一就是允许互联网用户执行DNS区域传输。我们可以使用几种工具来枚举DNS，以便不仅检查执行区域传输的能力，还可以发现不常见的其他问题。

■在渗透测试期间识别脆弱的Web应用程序可能是一项特别富有成效的活动。要寻找的东西包括错误配置的应用程序，具有插件功能的应用程序（插件通常包含比基础应用程序更易受攻击的代码）和独立开发的应用程序，可以采用Web应用指纹识别工具来进行该活动。

虚拟主机检测和枚举

■Web应用程序通常托管于多个主机，以整合单个服务器上的功能。如图片服务器，数据库服务器，视频服务器等。如果多个服务器指向相同的DNS地址，则它们可能托管在同一服务器上。

建立外部目标清单

■完成上述活动后，应编制用户，电子邮件，域名，应用程序，主机和服务的列表，形成信息收集文档。

版本探测

■版本检查是识别应用程序信息的捷径,在某种程度上，可以使用nmap对服务版本进行指纹识别，并且通常可以通过查看任意页面的源代码来收集Web应用程序的版本。

■应识别程序是否安装或修补程序官网发布的补丁文件，并探测补丁文件是否生效。

内部信息收集

被动侦察

■如果测试人员可以访问内部网络，则数据包嗅探可以提供大量信息。可以采用p0f3进行操作，工具地址：http://lcamtuf.coredump.cx/p0f3/。

识别客户内部范围

■执行内部测试时，首先枚举您的本地子网，并且您可以通过稍微修改地址来从那里推断到其他子网。此外，查看内部主机的路由表可能特别有说服力。以下是可以使用的许多技术。 DHCP服务器不仅可以是本地信息的潜在来源，还包括远程IP范围和重要主机的详细信息。大多数DHCP服务器将提供本地IP网关地址以及DNS和WINS服务器的地址。在基于Windows的网络中，DNS服务器往往是Active Directory域控制器，因此是感兴趣的目标。

积极侦察

■内部主动侦察应包含外部主动侦察的所有要素，此外还应侧重于内部网功能，例如：

• 目录服务（Active Directory，Novell，Sun等...）
• 提供业务功能的企业内部站点
• 企业应用程序（RP, CRM, Accounting, etc...）
• 识别敏感网段（会计，研发，营销等......）
• 访问映射到生产网络（数据中心）
• VoIP基础设施
• 身份验证配置（kerberos，cookie令牌等）
• 代理和互联网访问管理

确定防护机制

■应根据相关地点/组/人员确定以下要素并进行反馈。这将使得在执行实际攻击时能够正确应用漏洞研究和利用 ，从而最大化攻击效率。

基于网络的防护

• “简单”数据包过滤器
• 流量管理设备
• DLP数据防泄露系统
• 加密/隧道

基于主机的防护

• 堆栈/堆保护
• 应用白名单
• AV(防病毒)/过滤/行为分析
• DLP数据防泄露系统

应用程序保护

• 防识别应用程序保护
• 编码选项
• 访问绕过
• 白名单页面

存储保护：

• HBA（主机总线适配器）
• LUN Masking
• 存储控制器
• iSCSI CHAP密钥

用户保护：

• AV防病毒 /垃圾邮件过滤软件

本文来源于：渗透测试标准-情报收集-精品（下）-变化吧门户
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。