情報収集の考え方とツール

情報収集の考え方とツール#

==========

IMG_20250304_110756

参考リンク：
全体の考え方：
- サブドメイン -> IP -> 全ポート -> http、https -> 資産取得 -> フィンガープリンティング
- ミニプログラム、公式アカウント、アプリ
- ポート識別による非 Web 資産 -> 例えばデータベース：まずバッチで弱いパスワードを検出し、得られた関連情報に基づいて辞書を構築してブルートフォース攻撃を行う
内部ネットワーク情報収集の考え方（最初から fscan を使わないでください）
- まず制御下にあるマシンでネットワークカード情報、historyの履歴コマンド、netstatのポート情報、arpテーブル、psプロセス、設定ファイルなどを確認し、制御下にあるマシンが通過した他の内部ネットワークセグメント情報を収集します。
- 微步在线などの脅威インテリジェンスコミュニティでドメイン情報を確認します。
  - 解決されていない IP が存在する場合、内部ネットワークでのみアクセスできるドメインかもしれません。制御下にあるマシンでpingドメインを試みて内部ネットワークアドレスを取得します。
  - インターネットで解決されている IP が存在する場合も、制御下にあるマシンでpingドメインを試みて内部ネットワークアドレスを取得できます。
- インターネット側のウェブサイトには、時々内部ネットワークシステムへのリダイレクトがあることがあります。例えば、OA システム、統一認証システムなど、クリックすると内部ネットワークにリダイレクトされ、内部ネットワークアドレス情報を取得できます。
- どの脆弱性を利用して成功したか -> 例えば、ファンウェイ -> ファンウェイの設定ファイルを確認します。例えば、データベース設定ファイル、データベースシステムは別の内部ネットワークサーバーにある可能性があり、内部ネットワークの存在を確認します。
- さらに多くの手法については、この記事を参照してください：内部ネットワークの存在を判断する方法

ツールの総合利用#

会社名資産収集#

天眼查
小蓝本
愛企查
企查查
鹰图
360 脅威インテリジェンスセンター
ENScan_GO
- 指定の株式比率の会社資産を照会できます

サブドメイン収集#

列挙、第三者集約サービス
検索エンジン
- Google または百度など site:xxx.com
- fofa domain="xxx.com"
証明書透明性情報
- 証明書透明性（Certificate Transparency、CT）は Google の公開プロジェクトで、ドメイン所有者、CA、およびドメインユーザーが SSL 証明書の発行と存在を監査することによって、これらの証明書に基づく脅威を修正します。これはオープンな公共フレームワークであるため、誰でも証明書透明性の基本コンポーネントを構築またはアクセスできます。CA 証明書にはドメイン名、サブドメイン、メールアドレスなどの機密情報が含まれており、一定のセキュリティリスクがあります。
- 証明書透明性を利用してドメイン情報を収集するために、一般的には CT ログ検索エンジンを使用してドメイン情報を収集します。オンラインサイト：

CDN#

CDN の判断#

異なるホストを使用してドメインを ping して CDN があるかどうかを判断します
- 站长之家多地 ping
- ipip
- 全球 Ping テスト
- 爱站网 Ping 検測
- ping ドメインを使用して CDN があるかどうかを判断します
  - 直接 ping ドメインを使用してエコーアドレスを確認し、以下のようにエコーが cname.vercel-dns.com であれば、明らかに CDN 技術が使用されています。
    - 画像提供 mathwizard

nslookup を使用してドメインを解析して判断します
- Name フィールドが cname.vercel-dns.com を指している場合、CDN 技術が使用されていることを示します。
- 🌰 www.baidu.com、Address フィールドが 2 つの異なる IP を指している場合、www.baidu.comは CDN を使用している可能性があります。

CDN を回避して真の IP を取得#

サブドメインの IP を解析します
- CDN を使用するにはお金がかかるため、多くのウェブサイトはメインサイトに対してのみ CDN 加速を行い、サブドメインには行っていません。サブドメインはメインサイトと同じサーバーまたは同じ C セグメントネットワークにある可能性があるため、サブドメインの IP 情報を照会することでメインサイトの真の IP 情報を判断するのに役立ちます。
過去の DNS レコードを照会します
- DNS と IP のバインドの過去のレコードを照会することで、以前の真の IP 情報を発見する可能性があります
海外ホストを使用してドメインをリクエストします
- 一部の国内 CDN 加速サービスプロバイダーは国内の回線に対してのみ CDN 加速を行っていますが、海外の回線には行っていません。このため、海外のホストを使用して真の IP 情報を探ることができます。自分の海外ホストを使用するか、全球 Ping テストで海外の探査ノードを選択して真の IP 情報を判断します。
メール情報
- メールシステムは一般的に内部にあり、CDN の解析を経ていません。ターゲットウェブサイトのメール登録、パスワードのリセット、または RSS 購読などの機能を利用してメールを送信し、ターゲットからの返信メールを受信した後、メールのソースコードを確認することでターゲットの真の IP を取得できます。
- 画像提供 mathwizard

情報漏洩
- 情報漏洩の機密情報、ファイル（例：phpinfo ページ、ウェブサイトのソースコード（バックアップ）ファイル、Github の漏洩情報など）を利用して真の IP 情報を取得します。
  - phpinfo ページのSERVER_ADDRフィールドは、そのホストの真の IP を表示します。
ターゲットウェブサイトのアプリケーション
- ターゲットウェブサイトに独自のアプリがある場合、Burp Suite などのトラフィックキャプチャツールを利用してアプリのリクエストをキャプチャし、その中からターゲットの真の IP を見つけることができるかもしれません。

IP 逆引きドメイン（サイドサイト調査）#

360 ip 逆引き
微步在线
站长工具同 IP ウェブサイト調査
webscan
云悉
dnsgrep ip 逆引き
bugscaner ip 逆引き
bing
- https://cn.bing.com/search?q=ip:x.x.x.x
fofa
- ip="x.x.x.x"

フィンガープリンティング#

js およびインターフェース情報#

JSFinder: https://github.com/Threezh1/JSFinder
URLFinder: https://github.com/pingc0y/URLFinder
- 新しいバージョンの JSFinder と見なすことができます
LinkFinder: https://github.com/GerbenJavado/LinkFinder
Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer (webpack)
重要なインターフェースを検索
- config/api
- method:"get"
- http.get("
- method:"post"
- http.post("
- $.ajax
- service.httppost
- service.httpget
- path
- api
- xxx.js.map ファイルが存在する場合
  - axios キーワードを検索し、ルーティングを探します

アプリ#

メール収集#

EmailAll

WAF 識別#

機密情報#

クラウドストレージエンジン#

Googlehack 構文#

バックエンドアドレス
- site.com intitle: 管理 | バックエンド | ログイン | 管理者 | システム | 内部
- site.com inurl|admin|system|guanli|denglu|manage|admin_login|auth|dev
機密ファイル
- site.com (filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR --filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype)
テスト環境
- site.com inurl|ceshi
- site.com intitle: テスト
メール
- site.com (intitle:"Outlook Web App" OR intitle:"メール" OR inurl:"email" OR inurl:"webmail")
その他
- site.com inurl|uid=|id=|userid=|token|session
- site.com intitle.of "server at"
Google 構文生成器
- オンラインバージョン：http://www.php1nf0.top/google/google.php
- オフラインバージョン：こちらから受け取ってくださいここ

侵入テストの情報収集#

*   侵入テストの情報収集
*    オープンソースインテリジェンス情報収集（OSINT）
*    github
*     whois照会/登録者逆引き/メール逆引き/関連資産
*     googleハッキング
*     企業用パスワード辞書の作成
*       サブドメイン取得
*     辞書リスト
*     メールリスト取得
*      漏洩パスワード照会
*    企業外部関連情報の収集 オープンソースインテリジェンス情報収集（OSINT）
*     github
*    Github_Nuggests（Github上のファイルの機密情報漏洩を自動的にクロール） :https://github.com/az0ne/Github_Nuggests
*    GSIL（Github上の漏洩情報をほぼリアルタイム（15分以内）で発見できる） :https://github.com/FeeiCN/GSIL
*    x-patrol(小米チームの):https://github.com/MiSecurity/x-patrol  whois照会/登録者逆引き/メール逆引き/関連資産  
*   站长之家:http://whois.chinaz.com/?DomainName=target.com&ws=
*愛站:https://whois.aizhan.com/target.com/
*   微步在线:https://x.threatbook.cn/
*  IP逆引き:https://dns.aizhan.com/
*  天眼查:https://www.tianyancha.com/
*   虎妈查:http://www.whomx.com/
*  過去の脆弱性照会 :
*   オンライン照会:http://wy.zone.ci/
*   自分で構築:https://github.com/hanc00l/wooyun_publi/  googleハッキング
* 企業用パスワード辞書の作成 辞書リスト   passwordlist:https://github.com/lavalamp-/password-lists

 猪猪侠辞書:https://pan.baidu.com/s/1dFJyedzBlasting_dictionary （弱いパスワード、一般的なパスワード、ディレクトリブルートフォース、データベースブルートフォース、エディタブルートフォース、バックエンドブルートフォースなど、さまざまな辞書を共有および収集します）  特定のベンダーに対して、ベンダー関連のドメインの辞書を重点的に構築します ['% pwd%123','% user%123','% user%521','% user%2017','% pwd%321','% pwd%521','% user%321','% pwd%123!','% pwd%123!@#','% pwd%1234','% user%2016','% user%123$%^','% user%123!@#','% pwd%2016','% pwd%2017','% pwd%1!','% pwd%2@','% pwd%3#','% pwd%123#@!','% pwd%12345','% pwd%123$%^','% pwd%!@#456','% pwd%123qwe','% pwd% qwe123','% pwd% qwe','% pwd%123456','% user%123#@!','% user%!@#456','% user%1234','% user%12345','% user%123456','% user%123!']
パスワード生成  GenpAss（中国特有の弱いパスワード生成器: https://github.com/RicterZ/genpAss/
 passmaker（カスタムルールのパスワード辞書生成器）：
https://github.com/bit4woo/passmaker
 pydictor（強力なパスワード生成器）：
https://github.com/LandGrey/pydictor
メールリスト取得  theHarvester ：https://github.com/laramies/theHarvester *  メールを取得した後、連絡先リストをエクスポート  LinkedInt :https://github.com/mdsecactivebreach/LinkedInt
 Mailget：https://github.com/Ridter/Mailget
漏洩パスワード照会  ghostproject: https://ghostproject.fr/
 pwndb: https://pwndb2am4tzkvold.onion.to/
企業外部関連情報の収集サブドメイン取得

 Layer サブドメイン掘削機 4.2 記念版   subDomainsBrute ：https://github.com/lijiejie/subDomainsBrute

 wydomain ：https://github.com/ring04h/wydomain
 Sublist3r ：https://github.com/aboul3la/Sublist3r
 site.com:https://www.google.com  Github コードリポジトリ

 パケットキャプチャ分析リクエストの戻り値（リダイレクト/ファイルアップロード/app/apiインターフェースなど）

 站长帮手 links などのオンライン調査サイト

 ゾーン転送脆弱性 Linux dig @ns.example.com example=.com AXFR Windows nslookup -type=ns xxx.yyy.cn #特定のドメインの DNS サーバーを照会 nslookup #nslookup 対話モードに入る server dns.domian.com #指定された dns サーバー ls xxx.yyy.cn #ドメイン情報をリスト表示

 GetDomainsBySSL.py :https://note.youdao.com/ynoteshare1/index.h tml?id=247d97fc1d98b122ef9804906356d47a&type=note#/
 censys.io 証明書 :https://censys.io/certificates?q=target.com  crt.sh
証明書照会:https://crt.sh/?q=%25.target.com
 shadon :https://www.shodan.io/
 zoomeye :https://www.zoomeye.org/  fofa :https://fofa.so/
 censys：https://censys.io/
 dnsdb.io :https://dnsdb.io/zh-cn/search?q=target.com
 api.hackertarget.com :http://api.hackertarget.com/reversedns/?q =target.com
 community.riskiq.com :https://community.riskiq.com/Search/targe t.com
 subdomain3 :https://github.com/yanxiu0614/subdomain3
 FuzzDomain :https://github.com/Chora10/FuzzDomain  dnsdumpster.com :https://dnsdumpster.com/
 phpinfo.me :https://phpinfo.me/domain/
 dns オープンデータインターフェース :https://dns.bufferover.run/dns?q=baidu.com

Github#

@xxx.com password/secret/credentials/token/config/pass/login/ftp/ssh/pwd
@xxx.com security_credentials/connetionstring/JDBC/ssh2_auth_password/send_keys