小迪安全2023-2024|第12天:信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报_笔记|web安全|渗透测试|网络安全_2023-2024
一、信息打点01:05
1. 知识点01:24
1)业务资产-应用类型分类
- Web应用: 包括网站语言/CMS/中间件/数据库/系统/WAF等组件
- 系统层面: 涉及操作系统/端口服务/网络环境/防火墙等基础设施
- 移动应用: 包含APP对象/API接口/微信小程序等移动端资产
- 架构特征: CDN/前后端分离/云应用/站库分离/OSS资源等部署架构
2)信息收集技术体系
- 域名收集技术
- 单域名获取:
- 接口查询: 通过企业信息平台接口获取主域名
- 反查解析: 利用IP反查技术获取关联域名
- 子域名枚举:
- DNS数据: 通过DNS记录查询子域名
- 解析枚举: 使用工具进行子域名爆破
- 网络空间: 借助FOFA等网络空间测绘平台
- 指纹识别技术
- 在线工具:
- Wappalyzer:开源指纹识别工具
- TideFinger:潮汐指纹识别系统
- 云悉指纹:专业CMS识别平台
- 技术特征:
- 识别Web框架/CMS版本
- 检测中间件/数据库类型
- WAF设备识别与绕过
3)企业信息收集资源
- 工商信息:
- 天眼查/企查查:企业工商注册信息
- 爱企查/启信宝:企业关联关系查询
- 网络资产:
- FOFA/钟馗之眼:网络空间测绘
- 微步在线:威胁情报分析
- 备案信息:
- 工信部备案系统
- 第三方备案查询平台
2. 演示案例02:19
1)实战工具链
- 域名收集:
- DNSdumpster:DNS记录查询
- crt.sh:证书透明度查询
- 情报分析:
- 360威胁情报中心
- 奇安信威胁情报
- 子域名爆破:
- OneForAll综合收集器
- DNSGrep子域名查询
2)信息收集流程
- 第一阶段:企业基础信息收集
- 通过工商平台获取主体信息
- 查询备案信息确定主域名
- 第二阶段:网络资产测绘
- 使用空间引擎发现关联IP
- 通过证书反查获取子域名
- 第三阶段:指纹识别确认
- 识别Web组件技术栈
- 确认WAF类型及规则
3. 业务资产03:27
1)企业信息查询04:08
- 常用工具:
- 天眼查:https://www.tianyancha.com/
- 小蓝本:https://www.xiaolanben.com/
- 爱企查:https://aiqicha.baidu.com/
- 企查查:https://www.qcc.com/
- 国外企查:https://opencorporates.com/
- 查询重点:
- 业务方向:关注企业拥有的网站、APP、PC端应用、小程序、微信公众号等数字资产
- 关联企业:通过查询可发现目标企业的分公司、子公司等关联企业
- 使用技巧:
- 爱企查超级会员可在拼多多1元购买7天使用权
- 小蓝本是免费工具,但数据可能不如收费工具全面
- 建议多个平台联合使用以获得更全面的信息
- 查询内容:
- 知识产权:重点关注企业拥有的域名、网站、APP、微信公众号等信息
- 联系方式:邮箱地址和域名对安全测试尤为重要
- 关联企业:相同logo或名称相似的企业可能是关联公司
2)备案信息查询16:19
- 常用工具:
- 备案信息查询:http://www.beianx.cn/
- 备案管理系统:https://beian.miit.gov.cn/
- 查询方法:
- 可输入单位名称、域名、备案号或直接网址进行查询
- 查询结果包含主办单位、网站备案号、网站首页地址等信息
- 查询价值:
- 获取企业官方域名和网站信息
- 了解企业网站的基本情况和备案状态
- 域名类型:
- 单域名:企业主域名,如baidu.com
- 子域名:主域名下的二级或三级域名,如www.baidu.com、map.baidu.com
- 查询方法:
- 通过备案信息获取单域名
- 使用子域名查询工具获取子域名列表
4. 单域名获取16:50
1)企业产权查询
- 查询工具:
- 小蓝本:https://www.xiaolanben.com/
- 爱企查:https://aiqicha.baidu.com/
- 备案查询系统:https://beian.miit.gov.cn/
- 查询方法:
- 通过备案号查询:同一公司注册的网站都会备案到该公司名下
- 不同平台数据差异:备案管理系统数据来自官方管理部门,而企业查询平台数据来源不同
- 注意事项:
- 未备案的域名无法查询到信息
- 备案查询是获取关联域名的可靠方式
- 查询示例:
- 隆基绿能科技股份有限公司的备案信息查询
- 通过备案号12001146可查到多个关联网站
- 包括www.longi-group.com等域名
2)租车域名查询19:36
- 查询原理:
- 企业可能注册多个相似域名但未全部投入使用
- 通过域名注册平台查询企业可能注册的其他域名
- 操作方法:
- 在腾讯云等域名注册平台输入企业主域名
- 查看该域名的各种变体(.com/.cn/.net等)是否被注册
- 实际应用:
- 例如查询"longi.com"时发现"longi.cn"也被注册
- 虽然部分域名可能未投入使用,但仍可能与目标企业相关
- 结果分析:
- 已注册域名可能指向企业相关网站
- 未注册域名可考虑是否为企业潜在使用的域名
- 需要结合行业特征判断域名相关性
- 注意事项:
- 该方法适用于其他查询方式无果时使用
- 需要人工判断域名与企业关联性
- 国内网站必须备案才能正常访问
5. 子域名获取22:46
1)IP反查解析技术
- 基本原理:通过已知IP地址反向查询其绑定的域名,常用于发现同一服务器上托管的其他网站。
- 操作示例:当获得目标IP如47.76.212.188时,可通过反查工具发现该IP曾解析过"zhangleijie.blog"等域名。
- 技术价值:能发现隐藏的业务资产,如老师举例"小礼包.com"和博客网站共享同一IP的情况。
2)反查工具与接口
- 常用工具:
- 微步在线:https://x.threatbook.cn/
- DNS反查:http://dns.bugscaner.com/
- 查询技巧:输入IP后查看"解析过的域名"历史记录,可能发现已过期但仍保留解析记录的域名。
- 异常情况:当显示大量无关域名时,可能是由于该IP配置了通配符解析(设置星号*记录)。
3)关联资产发现
- 典型案例:老师演示通过47.76.212.188发现两个关联网站:
- IP直接访问显示Apache测试页
- 反查出的"zhangleijie.blog"可访问到实际博客
- 业务价值:这种发现能扩大攻击面,可能找到防护较弱的相关业务系统。
4)其他关联查询方式
- 备案查询:通过http://www.beianx.cn/查备案主体关联域名
- 证书查询:利用https://crt.sh/查SSL证书关联域名
- 网络空间引擎:
- FOFA:https://fofa.info/
- 360 Quake:https://quake.360.cn/
- Shodan:https://www.shodan.io/
- 威胁情报:
- VirusTotal:https://www.virustotal.com/
- 绿盟威胁情报云:https://ti.nsfocus.com/
6. Web架构资产25:14
1)DNS数据25:44
- 查询原理:通过查询域名解析历史记录,获取该域名曾经绑定过的所有IP地址。例如百度曾将"map.baidu.com"解析到特定IP,该记录会保留在DNS数据库中。
- 应用场景:适用于查找目标网站历史上使用过的服务器IP,可能发现被遗忘的旧服务器资产。
2)证书查询26:09
- 核心机制:利用HTTPS证书的共用特性,通过crt.sh等平台查询使用相同证书的所有域名。例如百度主站(baidu.com)与地图服务(map.baidu.com)使用相同证书。
- 典型特征:证书详情页会显示"颁发给"(主域名)和"使用者备用名称"(包含所有子域名)。
- 适用条件:仅对启用HTTPS的网站有效,要求目标网站使用正规CA颁发的证书。
3)网络空间28:28
- 主流工具:
- 国内平台:FOFA(https://fofa.info)、360Quake(https://quake.360.cn)、奇安信全球鹰(http://hunter.qianxin.com)
- 国际平台:Shodan(https://www.shodan.io)、Censys(https://censys.io)、ZoomEye(https://www.zoomeye.org)
- 工作原理:通过全网扫描建立资产数据库,记录IP、域名、服务指纹等关联信息。
- 典型应用:输入域名可获取关联IP、开放端口、历史解析记录等资产信息。
4)威胁情报30:12
- 核心平台:
- 微步在线(https://x.threatbook.cn)
- 奇安信威胁情报中心(https://ti.qianxin.com)
- 360威胁情报中心(https://ti.360.cn)
- 数据来源:整合漏洞披露、恶意样本分析、攻击事件报告等安全数据。
- 特殊价值:可发现未公开的测试环境、被入侵的子域名等隐蔽资产。
5)枚举解析30:51
- 技术本质:通过字典爆破方式尝试解析常见子域名前缀(如www、mail、api等)。
- 典型工具:
- DNSGrep(https://www.dnsgrep.cn)
- OneForAll(https://github.com/shmilylty/OneForAll)
- 在线查询(http://tools.bugscaner.com/subdom)
- 实现过程:
- 构造子域名字典(如admin、test、dev等)
- 批量拼接主域名进行DNS查询
- 筛选能成功解析的域名记录
优势局限:覆盖面广但会产生大量DNS请求,可能触发防护机制。
- 注:所有时间戳均对应课程视频中的讲解节点,便于复习时快速定位相关内容。实际应用中建议组合使用多种技术,DNS数据+证书查询适合快速发现历史资产,网络空间测绘适合全面梳理现有架构,枚举解析则作为补充验证手段。
7. 子域名获取演示32:18
1)DNS数据查询32:44
- 推荐查询平台
- 平台选择依据:推荐使用特定DNS数据查询平台,其他平台存在访问不稳定(国外网站)、语言障碍(英文界面)或服务终止等问题
- 查询特点:查询过程较慢,需要从历史DNS解析记录中提取数据并生成列表和图片
- DNS记录解析
- 常见记录类型:
- A记录:域名到IP地址的直接解析(最常见)
- MX记录:邮件服务器专用解析(如SMTP服务)
- NS记录:指定域名使用的DNS服务器
- 企业实践:
- 大公司常自建DNS服务器(如阿里DNS)
- 优势:解析速度快、避免公共DNS的安全风险
- 案例:百度曾因使用公共DNS导致部分地区服务中断(2010年安全事件)
- 常见记录类型:
- 历史记录价值
- 持久性特征:即使删除当前解析记录,历史DNS数据仍可能被保留
- 安全应用:
- 可追溯域名曾经解析过的IP(有助于绕过CDN查找真实IP)
- 能发现已删除的子域名解析记录(如测试用的违法域名)
- 实际案例:
- 邮件服务器搭建时产生的MX记录(如qq.com中转记录)
- 已删除的测试域名(data、黑客十二宫库等)仍留有历史痕迹
- DNS安全风险
- 劫持漏洞:攻击者可能篡改DNS解析结果(如四川、江苏等地区特定案例)
- 防护措施:
- 使用专用DNS解析服务
- 大企业采用自建DNS服务器分担风险
- 技术原理:域名通过DNS服务器解析为IP地址,该过程存在单点故障风险
2)增速查询43:43
- 基本概念
- 查询对象:主要用于查询网站是否采用HTTPS协议(即是否有SSL证书)
- 适用场景:适用于安全测试中快速识别目标网站的加密状态
- 查询网址:通过特定证书查询网站进行操作(具体网址未明确给出)
- 查询演示
- 无证书案例:
- 个人博客网站查询结果显示无信息
- 原因:网站未部署SSL证书(非备案问题)
- 识别特征:URL以HTTP开头而非HTTPS
- 有证书案例:
- 百度(baidu.com)等大公司网站均显示"连接安全"
- 证书信息:包含域名、颁发机构、有效期等关键数据
- 无证书案例:
- 技术原理
HTTPS标识:通过查看网站是否使用
https://https://https://
协议头判断
证书类型:
- 企业级应用通常采用HTTPS
- 个人/临时性网站可能仍使用HTTP
安全提示:浏览器会对HTTP网站显示"不安全"警告
3)证书查询48:19
- 操作方法
- 查询步骤:
直接输入域名(无需加协议头
http://http://http://
或
https://https://https://
)
系统返回证书关联的所有域名记录
- 典型结果:
- 主域名(如baidu.com)
- 子域名(如ucc.baidu.com)
- API接口域名(如api.baidu.com)
- 查询步骤:
- 实战价值
- 子域名发现:
- 可获取企业未公开的子域名(如ifanfan.baidu.com)
- 突破传统字典枚举的局限性
- 业务测绘:
- 能打开的域名:反映当前业务
- 不能打开的域名:可能是历史业务或专用接口
- 目标筛选:
- 企业核心业务通常部署HTTPS
- HTTP网站多为非关键业务
- 子域名发现:
- 注意事项
- 局限性:
- 仅适用于HTTPS网站
- HTTP网站无法通过证书查询获取信息
- 业务判断:
- 不能打开的域名可能仍在业务体系内
- 需结合其他手段验证域名的实际价值
- 企业特征:
- 同一证书下的多个子域名通常属于同一业务体系
- 证书信息可反映企业的技术架构特点
- 局限性:
4)网络空间48:55
- 主要搜索平台
- 常用平台:课程介绍了三个主要网络空间搜索平台:丰富、全球鹰360和夸克
- 平台特点:
- 丰富:使用频率最高的平台
- 全球鹰360:提供全面的网络空间搜索功能
- 夸克:需要登录才能使用完整功能
- 搜索语法与应用
- 基本语法:
- 使用"site:qq.com"可以查询与qq.com相关的所有域名
- 示例搜索显示结果均为QQ空间的域名
- 实际应用:
- 搜索"小泥巴"可找到相关域名和端口信息(如3306端口)
- 搜索"农机"可发现"农机渠道管理平台"和"农机氢能智能制造管理系统"等子域名
- 基本语法:
- 平台功能对比
- 会员制度:
- 丰富和全球鹰360需要开通会员
- 夸克采用积分制(免费注册但导出数据需充值)
- 积分系统:
- 100元可兑换30000积分,对应导出30000条数据
- 使用限制:
- 设备登录数量有限制
- 积分消耗速度快(个人使用和朋友共享都会消耗)
- 会员制度:
- 搜索结果显示
- 典型结果:
- 子域名信息(如remote.remove)
- 网关地址
- 管理平台地址
- 业务系统地址
- 结果分析:
- 可能包含无法直接访问但显示名称的地址
- 会显示相关公司的产品信息
- 典型结果:
- 使用注意事项
- 账号安全:
- 登录需要手机验证,存在信息泄露风险
- 账号可能被他人滥用
- 数据保护:
- 不建议共享账号
- 充值积分可能被快速消耗完
- 账号安全:
二、网络空间子域名查询58:06
- 主要平台:阴图起源性三大平台是目前网络空间信息查询最常用的工具
- 查询方式:
- 通过官方语法构造查询条件
- 需要自行多次实践掌握使用方法(“你自己多用几次就好了”)
- 特点:能查询到目标域名的所有子域名信息
三、威胁情报查询58:52
- 查询方法:
- 直接输入域名或IP进行查询
- 可获取域名解析信息和历史注册信息
- 代表平台:
- 微步在线(需注意平台可能不在线)
- 其他商业平台(如360、奇安信等)
- 注意事项:
- 部分功能需要会员或积分
- 不同平台收费模式不同(“有些可能是免费的,有些呢就说不定就要钱了啊”)
四、枚举解析01:01:13
1. 平台介绍01:01:30
- 平台特点:
- 提供网页版直接查询
- 基于字典前缀进行域名解析
- 查询精度取决于平台的知识库
- 局限性:
- 部分平台可能已失效或未更新
- 推荐使用当前仍可正常工作的平台
2. 工具查询01:02:58
- 在线工具资源:
- 菱角社区提供多种查询工具
- 包括域名解析、子域名反查、Web指纹识别等功能
- 注意事项:
- 工具质量参差不齐
- 部分工具可能存在访问问题
3. oneforall介绍01:04:23
- 工具优势:
- 整合多种查询技术(枚举、证书查询、DNS记录)
- 安全圈内最常用的子域名查询工具
- 技术原理:
- 结合三种查询方式的结果
- 未包含网络空间和威胁情报数据
- 安装使用:
- 需要Python 3.6+环境
- 通过pip安装依赖库
- 基本命令格式:oneforall 目标域名
- 使用技巧:
- 批量查询可使用txt文件输入
- 执行时需注意Python版本匹配问题
- 部分国外接口可能访问不稳定
- 输出结果:
- 最终扫描结果会集中显示
- 部分报错不影响整体查询功能
五、网站指纹识别01:19:02
1. 核心概念
- 定义:通过分析网站特征识别其使用的技术组件,包括程序语言、中间件、数据库类型等
- 识别要素:
- 程序语言(如PHP)
- 程序源码(如Z-Blog)
- 中间件(如Apache 2.4.6)
- 数据库类型
- 操作系统(如Windows)
- 应用场景:用于漏洞检测前期的信息收集阶段
2. 主流工具
- 潮汐指纹平台:
- 特点:宁可报错也不漏报
- 能识别常见CMS系统(如识别Z-Blog)
- 可查询历史漏洞记录
- 云栖指纹平台:
- 特点:宁可漏报也不错报
- 识别策略相对保守
- 工具对比:
- 不同工具识别结果可能不一致
- 需交叉验证结果准确性
3. 工具插件01:20:24
- 浏览器插件:
- 安装方法:通过Chrome开发者模式加载
- 适用场景:国外通用CMS识别
- 局限性:对国内小众CMS识别率低
- 本地化工具:
- CMSmap:支持内网环境检测
- Wappalyzer:跨平台识别
- 使用建议:结合多个工具验证结果
4. 识别局限
- 无法识别的情况:
- 自研系统(如百度、腾讯等大厂)
- 小众/冷门系统
- 黑产定制系统
- 未公开的毕业设计等
- 误报处理:
- 需人工验证识别结果
- 注意平台设计理念差异(潮汐易误报,云栖易漏报)
六、课程总结01:35:39
- 技术要点:
- 指纹识别是渗透测试的基础环节
- 需掌握多种工具的组合使用
- 要有独立判断识别结果的能力
- 思维方法:
- 根据目标类型选择检测策略
- 大企业系统往往无法通过常规方法识别
- 保持批判性思维,避免工具依赖
- 后续内容:
- 未识别系统的处理方法
- JS爬虫技术
- 目录扫描与敏感信息提取
七、知识小结
| 知识点 | 核心内容 | 技术要点 | 难度系数 |
| 信息收集方法论 | 企业资产分类与查询技术 | 爱企查/小蓝本会员使用技巧、知识产权查询 | ★★★☆☆ |
| 子域名收集技术 | DNS历史记录/证书查询/网络空间引擎/威胁情报/暴力枚举 | 五大原理对比:DNSDB/CT日志/FOFA/微步在线/子域名爆破 | ★★★★☆ |
| Web架构识别 | CMS指纹识别技术 | 潮汐指纹/云悉指纹/插件识别对比、误报处理策略 | ★★★☆☆ |
| 企业资产拓展 | 关联企业查询技术 | 备案信息反查/域名注册监控/IP反解析 | ★★★★☆ |
| 工具链使用 | OneForAll综合工具 | 多数据源整合:证书/DNS/暴力破解组合应用 | ★★★★☆ |
| 特殊场景处理 | 内网资产识别 | 本地化工具CMSmap/Wappalyzer应用 | ★★★★☆ |
| 业务逻辑分析 | 多终端信息关联 | Web/APP/小程序/公众号/PC端资产关联技巧 | ★★★★☆ |
| 防御规避 | CDN识别技术 | 历史DNS记录对比/证书关联分析 | ★★★★☆ |
