Web安全班作业 | 企业信息收集之道

文章来源｜MS08067 SRC漏洞实战班课后作业

本文作者：某学员A（SRC漏洞实战班1期学员）

按老师要求尝试完成布置的作业如下：

一、信息收集

以下进行信息收集的对象为：内部公司

1.1 收集域名信息

1.1.1 Whois查询

通过在线网站：

• 站长之家域名WHOIS信息查询地址 http://whois.chinaz.com/
• 爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/

通过kali自带的工具：

1.1.2 备案信息查询

通过在线网站查询：

• http://www.beianbeian.com ICP备案查询网
• http://www.tianyancha.com 天眼查
• http://icp.chinaz.com 站长工具
• http://www.beian.mit.gov.cn 工业和信息化部
• http://cha.fute.com/index 域名助手备案信息查询

1.2 企业资产收集

1.2.1 微信公众号

https://weixin.sogou.com/

1.2.2 微信小程序

https://www.xiaolanben.com/company 小蓝本

1.2.3 APP资产

• https://app.diandian.com 点点
• https://www.qimai.cn 七麦

未发现目标公司存在APP资产。

1.2.4 企业架构

https://www.tianyancha.com/company/3414868019

股权穿透图如下：

1.2.5 网站指纹信息识别

• BugScaner http://whatweb.bugscaner.com/look
• 潮汐指纹 http://finger.tidesec.com

1.2.6 获取真实IP地址

这里以某论坛为例，直接ping网站域名可以看到目标网站开启了CDN。

直接ping网站的主域名即可得到真实IP地址。

可在获得真实ip后绑定hosts值测试是否是真实IP地址。

访问目标网站，回显正常。

1.2.7 IP反查域名

https://site.ip138.com/XXX.XXX.XXX.XXX/

1.2.8 端口开放情况

这里以小米范工具为例，也可以使用在线的端口扫描网站

• http://coolaf.com/tool/port
• http://tool.cc/port/

1.2.9 C段

FOFA搜索语法如下：ip="192.168.X.X/24"

1.2.10 子域名

1.2.10.1 通过搜索引擎

通过google语法

site:网站主域名

1.2.10.2 通过工具脚本

通过Layer子域名挖掘机

通过SubDomainsBrute脚本

通过Sublist3r脚本

通过OneForALL脚本

下载地址：shmilylty/OneForAll: OneForAll是一款功能强大的子域收集工具(github.com)

安装依赖：

pip3 install --user -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/

运行命令如下：

python3 oneforall.py --target aaa.com run

1.2.10.3 通过第三方聚合应用枚举

很多第三方服务汇聚了大量DNS数据集，可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名，就可检索到相关的域名信息。

https://dnsdumpster.com

1.2.10.4 证书透明度公开日志枚举

证书透明度(CertificateTransparency, CT)是证书授权机构(CA)的一个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引|擎搜索一些公开的CT日志。

网址：

• https://crt.sh
• https://censys.io

1.2.10.5 隐藏域名hosts碰撞

很多时候访问目标资产IP响应多为：401、403、404、500，但是用域名请求却能返回正常的业务系统（禁止IP直接访问），因为这大多数都是需要绑定host才能正常请求访问的 （目前互联网公司基本的做法）（域名删除了A记录，但是反代的配置未更新），那么我们就可以通过收集到的目标的 域名 和 目标资产 的IP段组合起来，以 IP段+域名 的形式进行捆绑碰撞，就能发现很多有用的东西。

在发送http请求的时候，对域名和IP列表进行配对，然后遍历发送请求 （就相当于修改了本地的hosts文件一样），并把相应的title和响应包大小拿回 来做对比，即可快速发现一些隐蔽的资产。

目标域名历史解析IP来源有：

• https://site.ip138.com
• https://ipchaxun.com
• https://www.aicesu.cn/reg

脚本可以在参考文章中找到。

参考文章如下：

• https://mp.weixin.qq.com/s/fuASZODw1rLvgT7GySMC8Q
• https://www.moonsec.com/

二、尝试搭建ARL资产侦察灯塔系统

2.1 工具简介

旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

下载地址：https://github.com/TophantTechnology/ARL

2.2 工具启动

1. 安装docker环境

apt install docker.io

查看 docker 版本

2. 安装pip, 新版本在python2下运行有点问题, 优先选择python3进行安装

docker-compose 安装

curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py
python3 get-pip.py  
pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple docker-compose

3. 安装ARL

mkdir docker_arl
wget -O docker_arl/docker2.4.zip https://github.com/TophantTechnology/ARL/releases/download/v2.4/docker.zip
cd docker_arl
unzip docker2.4.zip
docker volume create arl_db
docker-compose up -d

4. 登录ARL

可以看到端口已经成功映射，访问IP地址+端口即可。

• URL：https://192.168.0.104:5003
• 密码：admin/arlpass

到此ARL项目成功部署。