1.收集目标组织身份信息-凭证

1.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集凭证信息，这些信息可以在目标定位期间使用。攻击者收集的帐户凭据可以是与目标受害者组织直接相关的凭据，也可以尝试利用用户倾向于在个人帐户和企业帐户中使用相同密码的趋势。

攻击者可以通过各种方式收集此信息，例如通过钓鱼。攻击者还可能入侵站点，然后植入旨在收集访问者网站认证cookie的恶意内容（引自：ATT ScanBox）。凭证信息也可能通过在线或其他可访问的数据集（例如：搜索引擎，泄露凭据转储，代码仓库等）暴露给攻击者。攻击者还可以从暗网或其他黑市购买凭证。收集这些信息可能为其他形式的侦察提供可能性（例如：搜索开放网站/域或钓鱼），建立运营资源（例如：入侵账号），或实现初始访问（例如：外部远程服务或有效账号）。

1.2测试案例：

在tg-sgk机器人处直接输入受害者的邮箱、微博地址、手机号码、QQ等进行查寻受害者的密码信息。 2、google hacking：常见搜索引擎，shodan/FOFA/Zoomeye等。

2.收集目标组织身份信息-邮箱地址

2.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集邮件地址信息，这些信息可以在目标定位期间使用。即使存在内部实例，组织也可能具有外部的电子邮件系统和员工邮箱。

攻击者可以轻松地收集邮件地址，因为它们很容易获得并且可以通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）暴露给攻击者。收集这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索开放网站/域或钓鱼），建立运营资源（例如：邮件账号），或实现初始访问（例如：钓鱼攻击）。

2.2测试案例：

收集邮箱信息主要有两个作用：

通过发现目标系统账号的命名规律，可以用来后期登入其他子系统。爆破登入邮箱用。

通常邮箱的账号有如下几种生成规律： 比如某公司有员工名叫做“姜伯约”，它的邮箱可能如下：

jiangboyue@xxx.comboyue.jiang@xxx.comjboyue@xxx.comjby@xxx.com

当我们收集几个邮箱之后，便会大致猜出对方邮箱的命名规律。

除了员工的邮箱之外，有一些共有的邮箱，比如人力的邮箱、客服的邮箱，hr@xxx.com、kefu@xxx.com,这种邮箱有时会存在弱口令，在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱：

手工方式

Google Hacking：

site:target.com intext:@target.comsite:target.com 邮件site:target.com email

github等第三方托管平台：

在github中搜索邮箱后缀

社工库的方式

Online Search Email

通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况

工具方式

The Harvester：

The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要翻墙运行该工具。

Infoga：

Infoga可从不同的公共源网络（搜索引擎，pgp密钥服务器和shodan）收集电子邮件帐户信息（ip，主机名，国家/地区）。是一个用法非常简单的工具，但是，对于渗透测试的早期阶段，或者只是为了了解自己公司在互联网上的可见性是非常有效的。

3.收集目标组织身份信息-员工姓名

3.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集雇员姓名，这些信息可以在目标定位期间使用。员工姓名用于导出电子邮件地址，以及帮助指导其他侦察工作或制作更可信的诱饵。

攻击者可以轻松地收集雇员姓名，因为它们很容易获得并且可以通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）暴露给攻击者。收集这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索开放网站/域或钓鱼），建立运营资源（例如：入侵账号），或实现初始访问（例如：钓鱼攻击或有效账号）。

3.2测试案例：

比如直接通过购买一些招聘网站上的账号即可查看企业的员工的姓名信息。同样招聘网站具备社交属性的话，也可以获取到相关员工的姓名信息。

4.收集目标组织网络信息-域属性

4.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集受害者网络域的信息。有关域及其属性的信息可能包括各种详细信息，包括受害者拥有的域以及管理数据（例如：姓名，注册商等）以及更直接可操作的信息。例如联系人（电子邮件地址和电话），公司地址和名称服务器。

攻击者可以通过不同的方式收集这些信息，例如直接通过主动扫描（例如监听端口，服务器banner，用户代理字符串），钓鱼进行收集。也可能是通过在线或其他可访问的数据集（例如：WHOIS）暴露给攻击者。收集这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索公开技术数据库，搜索开放网站/域或钓鱼），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：钓鱼攻击）。

4.2测试案例：

Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期、DNS等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间。

Kali下whois查询域名Whois查询 - 站长之家Whois 爱站ip138Whois LookupICANN Lookup域名信息查询 - 腾讯云nicolasbouliane新网 whois信息查询IP WHOIS查询 - 站长工具微步在线奇安信威胁情报平台5.收集目标组织网络信息-DNS

5.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集受害者DNS的信息。DNS信息可能包括各种详细信息，例如注册的名称服务器以及概述目标子域，邮件服务器和其他主机的地址的记录。

攻击者可以通过不同的方式收集这些信息，例如通过DNS/Passive DNS查询或以其他方式收集详细信息。凭证信息也可能通过在线或其他可访问的数据集（例如：搜索公开技术数据库）暴露给攻击者。收集这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索公开技术数据库，搜索开放网站/域，或主动扫描），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：外部远程服务）。

5.2测试案例：

dnsdb: 全球DNS搜索引擎

viewdns.info: DNS历史记录网站，记录了几年内的更改记录。

securitytrails.com: 庞大的DNS历史数据库，我试了下可以查出几年内网站用过的IP、机房信息等，非常可怕。

在线网站查询

dnsdbNETCRAFTviewdnsthreatbooksecuritytrails6.收集目标组织网络信息-网络信任关系

6.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集受害者网络信任关系的信息。有关网络信任的信息可能包括各种详细信息，包括已连接（并可能提升了的）网络访问权限的第二或第三方组织/域（例如：托管服务提供商，承包商等）。

攻击者可以通过不同的方式收集这些信息，例如通过网络钓鱼诱骗收集。有关网络信任的信息也可以通过在线或其他可访问的数据集（例如：搜索公开技术数据库）暴露给攻击者。收集这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：主动扫描，或搜索开放网站/域），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：信任关系）。

6.2测试案例：

比如一些特殊行业，航空、金融、运营商，和分公司或者第三方公司之间都是专线，通过入侵分公司、第三方公司，获取权限，走专有网络进入目标网络内。

7.收集目标组织网络信息-网络拓扑

7.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集受害者网络拓扑的信息。网络拓扑的信息可能包括各种细节，包括面向外部和内部网络环境的物理或逻辑布置。这些信息可能还包括有关网络设备（网关，路由器等）和其他基础结构的详细信息。

攻击者可以通过不同的方式收集这些信息，例如通过主动扫描或钓鱼。网络拓扑信息也可能通过在线或其他可访问的数据集（例如：搜索受害者拥有的网站）暴露给攻击者。信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索公开技术数据库，搜索开放网站/域），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：外部远程服务）。

7.2测试案例：

在内网进行网络拓扑信息收集的方法有很多，对于在外网进行收集的方法，可以通过谷歌语法、网盘检索、QQ群等方法收集。

8.收集目标组织网络信息-IP地址

8.1ATT&CK描述：

攻击者可能会事先收集攻击目标的IP地址信息。公共IP地址可能是按块分配给企业的，也可能是一系列连续地址分配给企业的。已分配IP地址信息可能包括各种细节信息，比如当前使用的IP地址。收集已分配的IP地址信息，攻击者可以了解当前在用的IP地址，也可能推导出攻击目标的其他细节，比如组织规模、地理位置、Internet服务提供商以及面向公众基础设施的部署位置/方式。

IP地址信息可能是攻击者通过主动扫描或钓鱼等方式主动收集的，也可能是通过在线或其他可访问的数据集如搜索公开技术数据库暴露给攻击者的。收集这些信息可能会触发其他形式的侦察行动（例如：主动扫描或搜索开放网站/域），从而建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：外部远程服务）。

8.2测试案例：

扫描工具：Nmap、Goby、masscan等

空间搜索引擎：FOFA、Zoomeye等

绕过CDN查找真实IP:

9.收集目标组织网络信息-网络安全设备

9.1ATT&CK描述：

攻击者可能会事先收集攻击目标的网络安全设备信息。网络安全设备的信息可能包括各种详细信息，例如已部署的防火墙，内容筛选器和代理/堡垒主机的存在和详细信息。攻击者还可能针对地收集有关受害者的网络入侵检测系统（NIDS）或其他与防御性网络安全操作有关的设备的信息。

攻击者可以通过不同的方式收集这些信息，例如通过主动扫描或钓鱼。网络安全设备信息也可能通过在线或其他可访问的数据集（例如：搜索受害者拥有的网站）暴露给攻击者。这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索公开技术数据库，搜索开放网站/域)，建立运营资源（例如：开发能力， 获取能力），或实现初始访问（例如：外部远程服务）。

9.2测试案例：

WEB蜜罐识别阻断插件，公开的采购信息等。

10.收集目标组织信息-确定物理位置

10.1ATT&CK描述：

攻击者可能会收集目标组织的实际位置，这些位置可以在目标锁定期间使用。有关目标组织的物理位置的信息可能包括各种详细信息，包括关键资源和基础结构的存放位置。实际位置还可以指示目标组织在哪个法律管辖区或机构内工作。

攻击者可以通过多种方式收集此信息，例如通过“网络钓鱼诱骗”直接诱捕。目标组织的实际位置也可能通过在线或其他可访问的数据集（例如：搜索受害人拥有的网站或社交媒体）暴露给攻击者。

10.2测试案例：

受害者的个人社交信息，微博、微信、QQ等。

受害组织的位置信息，通过官方网站即可查找到相关组织的位置。

11.收集目标组织信息-业务关系

11.1ATT&CK描述：

攻击者可能会收集有关目标组织的业务关系信息，这些信息可在目标确定期间使用。有关组织业务关系的信息可能包括各种详细信息，包括已连接（并可能提升了）网络访问权限的第二或第三方组织或域（例如：托管服务提供商，承包商等）。此信息还可能揭示目标组织的硬件和软件资源的供应链和运送路径。

攻击者可以通过多种方式收集此信息，例如通过“网络钓鱼诱骗”直接诱捕。有关业务关系的信息也可能会通过在线或其他可访问的数据集（例如，社交媒体或目标组织拥有的网站）暴露给攻击者。

11.2测试案例：

受害者的个人社交信息，微博、微信、QQ等。

受害组织的上下游关系，比如母子公司关系。

12.收集目标组织信息-确定业务节奏

12.1ATT&CK描述：

攻击者可能会收集与目标组织的业务有关的信息，这些信息可以在定位过程中使用。有关组织业务信息可能包括各种详细信息，包括每周的工作时间/天。此信息还可能显示受害者的硬件和软件资源的购买和运输时间/日期。

攻击者可以通过多种方式收集此信息，例如通过“网络钓鱼诱骗”直接诱捕。有关业务节奏的信息也可能会通过在线或其他可访问的数据集（例如，社交媒体或受害人拥有的网站）暴露给攻击者。

12.2测试案例：

此技术可能在社工前期使用，观察受害者上下班时间、车辆进入情况，为后续物理入侵提供一些帮助。

13.收集目标组织信息-确定角色

13.1ATT&CK描述：

攻击者可能会在目标组织中收集有关目标组织内的身份和角色的信息。有关业务角色的信息可能会揭示各种可针对性的细节，包括关键人员的可识别信息以及他们可以访问哪些数据/资源。

攻击者可以通过多种方式收集此信息，例如通过“网络钓鱼诱骗”直接诱捕。有关业务角色的信息也可以通过在线或其他可访问的数据集（例如，社交媒体或受害人拥有的网站）暴露给攻击者。

13.2测试案例：

攻击者可能会收集运维、网络管理员相关信息，后续可以进行精准社工，或者相关人员的账号密码爆破，也可能是发送目标组织成员感兴趣的邮件，实现邮件钓鱼等。

14.收集目标组织主机信息-硬件信息

14.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集有关受害者主机硬件的信息，这些信息可以在目标定位期间使用。有关硬件基础设施的信息可能包括各种详细信息，例如特定主机上的类型和版本，以及是否存在可能指示附加防御保护措施的其他组件（例如：卡/生物识别器，专用加密硬件等）。

攻击者可以通过各种方式收集此信息，例如通过主动扫描（例如：主机名，服务器旗标，用户代理字符串）、 钓鱼。攻击者还可能入侵站点，然后植入旨在收集访问者主机信息的恶意内容。有关硬件基础设施的信息也可能通过在线或其他可访问的数据集（例如：职位发布，网络地图，评估报告，履历表或购买发票）暴露给攻击者。收集这些信息可能为其他形式的侦察提供可能性（例如：搜索开放网站/域，或搜索公开技术数据库），建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：攻击硬件供应链或硬件添加）。

14.2测试案例：

可收集目标组织所使用的的摄像头型号以及其他物联网设备信息。

15.收集目标组织主机信息-软件信息

15.1ATT&CK描述：

攻击者可能会事先收集攻击目标的主机软件信息，可能包括各种细节信息如主机上的软件类型和版本，是否有防御软件（如防病毒、SIEM组件）等。

软件信息可能是攻击者通过主动扫描（例如监听端口，服务器banner，用户代理字符串），钓鱼，或攻击网站后使用恶意软件等方式主动收集的，也可能是通过在线或其他可访问的数据集（例如职位发布，网络地图，评估报告，简历或购买发票）暴露给攻击者的。收集这些信息可能会触发其他形式的侦察行动（例如：搜索开放网站/域或者搜索公开技术数据库)），从而建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：供应链攻陷或外部远程服务）。

15.2测试案例：

指纹识别：在渗透测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。

在线指纹识别网站： TSscan:

BugScaner:

云悉指纹:

WhatWeb:

常见的网站指纹识别工具有：whatweb，wappalyzer火狐插件等。

16.收集目标组织主机信息-固件信息

16.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集有关受害者主机固件的信息，这些信息可以在目标定位期间使用。有关主机固件的信息可能包括各种详细信息，例如特定主机上的类型和版本，这可以用来推测出更多目标环境中主机的信息（例如：配置，用途，使用期限/补丁级别等）。

攻击者可以通过各种方式收集此信息，例如通过网络钓鱼收集。有关固件的信息也可能通过在线或其他可访问的数据集（例如：职位发布，网络地图，评估报告，履历表或购买发票）暴露给攻击者。收集这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索开放网站/域或者搜索公开技术数据库)），建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：供应链攻陷或面向公众应用的漏洞利用）。

16.2测试案例：

无

17.收集目标组织主机信息-客户端配置

17.1ATT&CK描述：

在入侵受害者之前，攻击者可能会收集有关受害者的客户端配置信息，这些信息可以在目标定位期间使用。有关客户端配置的信息可能包括各种详细信息和设置，包括操作系统/版本，虚拟化，体系结构（例如：32位或64位），语言或时区。

攻击者可以通过各种方式收集此信息，例如通过主动扫描（例如：主机名，服务器旗标，用户代理字符串）、 钓鱼。攻击者还可能入侵站点，然后植入旨在收集访问者客户端配置信息的恶意内容（引自：ATT ScanBox）。有关硬件基础设施的信息也可能通过在线或其他可访问的数据集（例如：职位发布，网络地图，评估报告，履历表或购买发票）暴露给攻击者。收集这些信息可能为其他形式的侦察提供可能性（例如：搜索开放网站/域，或者搜搜索公开技术数据库），建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：供应链攻陷或外部远程服务）。

17.2测试案例：

beef-信息收集

18.搜索开放的域和网站-社交媒体

18.1ATT&CK描述：

入侵受害者之前，攻击者可以搜索社交媒体以收集目标确定期间使用的有关受害者的信息。社交媒体网站可能包含有关受害组织的各种信息，例如业务公告以及有关员工的角色，位置和兴趣的信息。

攻击者可以根据他们寻求收集的信息在不同的社交媒体站点中进行搜索，也可能会被动地从这些站点收集数据，并使用收集的信息来创建虚假的个人资料/群组，以诱使受害者泄露特定信息（例如：钓鱼服务）。这些来源提供的信息可能为如下活动提供可能性：其他形式的侦察活动（例如：钓鱼或搜索公开技术数据库），建立运营资源（例如：建立账号或入侵账号），实现初始访问（例如：通过服务进行鱼叉式钓鱼攻击）。

18.2测试案例：

攻击者可以通过收集某企业员工信息，比如前期添加好友，观察其社交媒体上的动态，翻看历史动态信息，收集其工作沟通工具、上下班时间等。如对方通过邮箱沟通交流业务，可以进行钓鱼邮件投递进行渗透，获取权限。

19.搜索开放的域和网站-搜索引擎

19.1ATT&CK描述：

入侵受害者之前，攻击者可以通过搜索引擎以收集目标确定期间使用的有关受害者的信息。搜索引擎服务通常爬取在线站点以索引上下文，并且可能向用户提供专门的语法以搜索特定的关键字或特定类型的内容（即文件类型）。

攻击者可以根据他们寻求收集的信息来构造各种搜索引擎查询语句。威胁方可以使用搜索引擎来收集有关受害者的一般信息，威胁方可以使用专门的查询语句来查找敏感信息（例如网络详细信息或凭据）的泄漏。这些来源提供的信息可能为如下活动提供可能性：其他形式的侦察活动（例如：钓鱼或搜索公开技术数据库），建立运营资源（例如：建立账号或入侵账号），实现初始访问（例如：有效账号或钓鱼攻击）。

19.2测试案例：

google hacking

基础篇：

* intitle：搜索网页标题中包含有特定字符的网页。例如intitle: 后台，这样网页标题中带有‘后台’的网页都会被搜索出来。* inurl：搜索包含有特定字符的URL。例如inurl:admin，可以用来查找网站后台。* intext: 搜索网页正文内容中的指定字符，例如intext:操作系统。可以搜索含有‘操作系统’的页面* Filetype: 搜索指定类型的文件。例如操作系统　filetype:pdf，就可以找到关于操作系统的pdf文档。* Site：找到与指定网站有联系的URL。例如Site：baidu.com。所有和这个网站有联系的URL都会被显示。* movie: 当我们用movie提交查询的时候，Google会返回跟查询关键词相关的电影信息。(当前只支持英文Google)* info: 查询网站的一些信息。例如info:bbs.byr.cn，它只会返回一个结果，是一个选择列表，列表的选项是这个网站的某一方面的信息。info=cache+related+link+site+intext+intitle。* 双引号: 代表完全匹配，使关键词不分开，顺序都不能变。* 减号: 减号与前一个关键词之间一定要有一个空格，与后一个关键词之间一定不能有空格。搜索结果为，匹配前一个关键词但不匹配后一个关键词的结果。例如seo -搜索引擎。* AND: 逻辑与，这个命令我们其实一直都在用，只是没有意识到。一般用空格代替，还可以用“+”代替。例如霹雳布袋+败亡之剑，返回的结果同时包含两者。* weather: 查询某一地区或城市的天气。不过我们这一地区或城市必须是Google能识别的，例weather:beijing，Google将会给我们返回北京的天气。* 星号（*）: 通配符，可以匹配任意字符串。例如搜索*擎，则返回的结果中不仅有“搜索引擎”，还有“搜索巨擎”之类的。* allinurl: 结果的url中包含多个关键词。例如allinurl:byr jobs，等于inurl:byr inurl:jobs。allinurl也是排他性指令* define: 查询关键词的词义，起的是字典的作用。Google会返回包含查询关键词定义的网页，例define:computer，支持汉字哦！

进阶篇：

* 查找后台地址：site:域名inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms* 查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username* 查找可注入点：site:域名 inurl:aspx|jsp|php|asp* 查找上传漏洞：site:域名 inurl:file|load|editor|Files* 查看脚本类型：site:域名 filetype:asp/aspx/php/jsp* 迂回策略：inurl:cms/data/templates/images/index/* 网络设备关键词：intext:WEB Management Interface for H3C SecPath Series* 存在的数据库：site:域名 filetype:mdb|asp|#

20.1ATT&CK描述：

攻击者可能会搜索目标组织拥有的网站，以获取可在目标攻击中使用的信息。目标组织拥有的网站可能包含各种细节，包括部门/分部的名称、物理位置和关键员工的数据，如姓名、角色和联系信息（例如：电子邮件地址）。这些网站还可能有突出商业运作和关系的细节。

攻击者可能会搜索目标组织拥有的网站，以收集可操作的信息。来自这些来源的信息可能会提供其他形式的侦察机会（例如：钓鱼信息或搜索开放式技术数据库），建立业务资源（例如：建立账户或破坏账户）或初始访问（例如：信任关系或钓鱼）。

20.2测试案例：

收集网站上公布的人事信息（政府网站居多）、管理员邮箱信息等。

21.主动扫描_扫描地址段

21.1ATT&CK描述：

攻击者可能会在实施攻击前扫描IP地址块，收集可在确定攻击目标期间使用的信息。公有IP地址可以按块或是按一系列顺序地址分配给组织。

攻击者可能会扫描IP地址块，以便收集目标组织网络信息，例如哪些IP地址分配给了哪些主机使用以及这些主机的详细信息。扫描范围可以从简单的ping（ICMP请求和响应）到更细致的扫描（通过服务器banner或其他网络artifacts显示主机软件/版本）。扫描所获取的信息可能会触发其他形式的侦察行动（例如：搜索开放网站/域或搜索公开技术数据库），从而建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：外部远程服务）。

21.2测试案例：

常见扫描器

nmap扫描网段内的所有IP地址：

sudo nmap -sP -PI -PT 192.168.1.0/24

22.1ATT&CK描述：

攻击者可能会在实施攻击前扫描漏洞来确定攻击目标。漏洞扫描通常会检查目标主机/应用程序（例如：软件和版本）的配置是否有攻击者试图利用的漏洞。

这些扫描还可能包括收集目标组织的主机信息等其它尝试，从而识别更常见的可利用漏洞。漏洞扫描通常是通过服务器banner、监听端口或其他网络组件（Tomcat\Weblogic等）来获取运行软件和版本号。

22.2测试案例：

常见扫描器（Nucei\Awvs\Xray\Nessus）

23.搜索开放的技术数据库-DNS/被动DNS

23.1ATT&CK描述：

在入侵受害者之前，攻击者可以在DNS数据中搜索可在目标确定期间使用的有关受害者的信息。DNS信息可能包括各种详细信息，包括注册的名称服务器以及概述目标子域，邮件服务器和其他主机的地址的记录。

攻击者可以搜索DNS数据以收集可操作的信息。也可以直接查询目标组织的名称服务器，或者搜索记录了DNS查询响应的集中存储库（称为被动DNS）（引自：DNS Dumpster）（引自：Circl Passive DNS）。攻击者还可能寻求和定位揭示目标内部网络信息的DNS错误配置/泄漏。这些来源提供的信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索受害者拥有的网站或搜索开放网站/域），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：外部远程服务或信任关系）。

23.2测试案例：

信息收集--DNS信息收集

NSLOOKUP

解析A记录、MX记录、NS记录：

终端中输入 ：nslookup在显示的页面中输入域名，会解析出最终的A记录和IP地址>set type=a      # 指定查询类型为A记录（主机记录）>set type=mx     # 指定查询类型为MX记录（邮件交换记录·）>set type=ns     # 指定查询类型为NS记录（域名服务器记录）>sina.com        # 查询 sina.com 这个域名

反向域名解析：

使用IP反向解析出域名（ptr）>set type=ptr> 66.102.251.24

指定server IP：

>server 8.8.8.8        # 指定我们想要指定的DNS服务器的IP，使用该服务器来进行查询>

指定所有类型：

>set type=any    # 指定查询所有类型的记录>

DIG

查询所有记录：

dig sina.com any @8.8.8.8# 查询 sina.com 的所有类型的记录，并指定IP地址为 8.8.8.8# 建议指定不同的域名服务器IP对同一个域名进行解析（比较结果，确定查询的准确性）

筛选输出结果:

dig mail.163.com any# 查询163的mail的记录dig +noall mail.163.com any # +noall筛选输出结果（即什么结果都不输出）dig +noall +answer mail.183.com any # 只显示我们最终想要的结果

反向查询（ptr）:

dig -x  66.102.251.24# 反向查询该IP地址的ptr记录，得到其域名

查询DNS服务器的bind版本信息：

# 在Linux和Unix服务器中提供的DNS服务的软件包一般都是bind# 在获得bind信息后就可以查看它的bind有哪些漏洞，依据这些漏洞获得所有的DNS记录dig +noall +answer txt chaos VERSION.BIND @mail.163.com#   过滤筛选输出    文本 bind的class类型     域名

对DNS记录进行追踪（DNS追踪）：

dig +trace 

DNS区域传输：

DNS区域传输是发生在DNS服务器之间信息同步的一个过程（区域传输机制，通常只发生在本域域名服务器之间），在渗透测试中被尝试用来获取所有的DNS记录信息

dig @ns1.sina.com sina.com axfr#    先指定ns服务器         发起区域传输的指令# DNS服务器的域名查询一般都是UDP的53端口，区域传输即域名服务器之间的同步数据使用TCP的53端口host -T -l sina.com ns1.sina.com# -T:显示时间  -l:进行AXFR的全区域传输  # 如果是查询 sina.com 的话，后面一定要跟一个 sina 的域名服务器的地址（查询什么跟什么）

DNS字典爆破：

准备一个包含常见主机记录名称的字典，用字典向DNS服务器发起一个字典式的暴力破解。如果有这个记录，DNS服务器就会返回其对应的IP地址。如果没有就会返回一个错误的结果（尝试将目标服务器里面的所有的主机记录和子域的域名记录给爆破出来）

dnsenum：

sudo apt install dnsenum        # 安装dnsenumdnsenum -f dns.txt -dnsserver 8.8.8.8 sina.com -o sina.xml# -o：把爆破出来的内容保存成一个xml文件，-f：指定字典文件

dnsmap：

sudo apt install dnsmap    # 安装dnsmapdnsmap sina.com -w dns.txt# -w：用来指定字典文件

DNS注册信息（whois查询）：

收集DNS的注册信息，比如注册新浪sina.com的信息。有的域名在注册时会留下注册人的姓名、电话、邮箱、公司地址等等信息（可以用来作为社会工程学或者物理攻击的手段）。

可以通过whois来查询这些信息。不同地区、区域有不同地区的whois信息，那个国家用那个NIC必须分配后才能使用，不能随便乱用，否者会造成互联网上的混乱，而且可能出现重复的IP地址。最早的IP分配就是由InterNic来完成的，后来不同地区成立了一些地区性质的NIC，亚太地区的NIC是由APNIC负责。

通过whois命令行工具来查询：

sudo apt install whois    # 安装whois工具whois 8.8.8.8whois sina.comwhois -h whois.apnic.net  66.102.251.24

在线whois网站查询：

    # AFRINIC      # APNIC        # ARIN       # IANA      # ICANN     # LACNIC        # NRO       # RIPE       # InterNic

24.1ATT&CK描述：

在入侵受害者之前，攻击者可以在公开的WHOIS数据中搜索可在目标确定期间使用的有关受害者的信息。WHOIS数据由负责分配和分配域名等Internet资源的区域互联网注册中心（RIR）存储。任何人都可以查询WHOIS服务器以获取有关注册域的信息，例如分配的IP块，联系信息和DNS名称服务器。

攻击者可以搜索WHOIS数据以收集可操作的信息。威胁方可以使用在线资源或命令行实用程序对WHOIS数据进行搜刮，以获取有关潜在受害者的信息。这些来源提供的信息可能为其他形式的侦察提供可能性（例如：主动扫描或钓鱼），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：外部远程服务或信任关系）。

24.2测试案例：

whois（读作“Who is”，非缩写）是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。通过whois来实现对域名信息的查询。

网站查询：

域名Whois查询 - 站长之家Whois 爱站ip138域名信息查询 - 腾讯云nicolasbouliane新网 whois信息查询IP WHOIS查询 - 站长工具微步在线Bugscaner

工具查询：

在命令行输入whosi+域名

使用Nmap查询，使用这个方法还可以爆出目标的端口号开启与否：nmap --script=whois-domain +域名

25.搜索开放的技术数据库-数字签名

25.1ATT&CK描述：

在入侵受害者之前，攻击者可以在公开的数字证书数据中搜索可在目标确定期间使用的有关受害者的信息。数字证书由证书颁发机构（CA）颁发，以加密方式验证签名内容的来源。这些证书，例如用于加密Web流量（HTTPS SSL / TLS通信）的证书，包含有关注册组织的信息，例如名称和位置。

攻击者可以搜索数字证书数据以收集可操作的信息。威胁方可以使用在线资源和查找工具来收集有关证书的信息 。数字证书数据也可以从组织签名的工件中获得（例如：加密的网络流量中使用的证书随内容一起提供）。 这些来源提供的信息可能为其他形式的侦察提供可能性（例如：主动扫描或钓鱼），建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：外部远程服务或信任关系）。

25.2测试案例：

证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目，证书授权机构会为每一个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮箱地址，这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

26.搜索开放的技术数据库-CDN

26.1ATT&CK描述：

在入侵受害者之前，攻击者可以在内容分发网络（CDN）数据中搜索可在目标确定期间使用的有关受害者的信息。CDN允许组织托管来自分布式负载均衡服务器阵列的内容。CDN还可以允许组织根据请求者的地理区域自定义内容传递。

攻击者可以搜索CDN数据以收集可操作的信息。威胁方可以使用在线资源和查找工具来收集有关CDN内容服务器的信息。攻击者还可能寻求和定位CDN错误配置，这些CDN配置可能泄漏不打算托管的敏感信息，或不具有与组织网站上托管的内容相同的保护机制（例如登录门户）（引自：DigitalShadows CDN）。这些来源提供的信息可能为其他形式的侦察提供可能性（例如：主动扫描或搜索开放网站/域），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：路过式下载）。

26.2测试案例：

搜索开放的技术数据库-CDN

27.搜索开放的技术数据库-公开的扫描数据库

27.1ATT&CK描述：

入侵受害者之前，攻击者可以在公开的扫描数据中搜索可在目标确定期间使用的有关受害者的信息。各种在线服务不断发布Internet扫描/调查的结果，经常收集诸如活动IP地址，主机名，开放端口，证书甚至服务器旗标之类的信息。

攻击者可以搜索扫描数据库以收集可操作的信息。威胁方可以使用在线资源和查找工具从这些服务中收集信息。攻击者可能会寻求已确定目标的相关信息，或使用这些数据集来发现成功突破的机会。这些来源提供的信息可能为如下活动提供可能性：其他形式的侦察活动（例如：主动扫描或搜索开放网站/域），建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：外部远程服务或面向公众应用的漏洞利用）。

27.2测试案例：

利用fofa、zoomeye、quake、shodan等空间测绘系统，收集相关用户信息。

FOFA:

zoomeye:

quake:

shodan: