情報収集の思考とツール

情報収集の思路とツール#

==========

IMG_20250304_110756

参考リンク：
全体の思路：
- サブドメイン -> IP -> 全ポート -> http、https -> 資産取得 -> フィンガープリンティング
- ミニプログラム、公式アカウント、アプリ
- ポート識別による非 Web 資産 -> 例えばデータベース：まずバッチで弱パスワード検出を行い、その後得られた関連情報に基づいて辞書を構築してブルートフォース攻撃を行う
内部ネットワーク情報収集の思路（最初から fscan でスキャンしないこと）
- まず取得したマシンでネットワークカード情報、historyの履歴コマンド、netstatのポート情報、arpテーブル、psプロセス、設定ファイルなどを確認し、制御されたマシンが通じている他の内部ネットワークセグメント情報を収集する。
- 微步在线などの脅威インテリジェンスコミュニティでドメイン情報を確認する。
  - 解決されていない IP が存在する場合、内部ネットワークでのみアクセス可能なドメインかもしれないので、制御されたマシンでpingコマンドを使ってドメインの内部アドレスを取得する。
  - インターネットで解決されている IP が存在する場合も、制御されたマシンでpingコマンドを使ってドメインの内部アドレスを取得することができる。
- インターネット側のウェブサイトでは、時々内部ネットワークシステムへのリダイレクトがある。例えば OA システム、統一認証システムなど、クリックすると内部ネットワークにリダイレクトされ、内部アドレス情報を取得できる。
- どのような穴を通じて成功したか -> 例えばファンウェイ -> ファンウェイの設定ファイルを確認する。例えばデータベースの設定ファイル、データベースシステムは別の内部ネットワークサーバーに存在する可能性があるため、内部ネットワークの存在を確認する。
- さらに多くの手法については、この記事を参照してください：内部ネットワークの存在を判断する方法

ツールの総合利用#

会社名資産収集#

天眼查
小蓝本
愛企查
企查查
鷹図
360 脅威インテリジェンスセンター
ENScan_GO
- 指定された株式比率の会社資産を照会可能

サブドメイン収集#

列挙、第三者集約サービス
検索エンジン
- Google または百度など site:xxx.com
- fofa domain="xxx.com"
証明書透明性情報
- 証明書透明性（Certificate Transparency、CT）は Google の公開プロジェクトで、ドメイン所有者、CA、ドメインユーザーが SSL 証明書の発行と存在を監査することによって、これらの証明書に基づく脅威を修正することを目的としています。これはオープンな公共フレームワークであるため、誰でも証明書透明性の基本コンポーネントを構築またはアクセスできます。CA 証明書にはドメイン名、サブドメイン、メールアドレスなどの機密情報が含まれており、一定のセキュリティリスクがあります。
- 証明書透明性を利用してドメイン情報を収集するには、一般的に CT ログ検索エンジンを使用してドメイン情報を収集します。オンラインサイト：

CDN#

CDN 判断#

異なるホストを使用してドメインを ping して CDN の有無を判断
- 站长之家多地 ping
- ipip
- 全球 Ping テスト
- 爱站网 Ping 検出
- ping ドメインを使用して CDN の有無を判断
  - 直接 ping ドメインを使用してエコーアドレスを確認し、以下のように cname.vercel-dns.com がエコーされる場合、明らかに CDN 技術が使用されています。
    - 画像出典 mathwizard

nslookup を使用してドメインを解決して CDN の有無を判断
- Name フィールドが cname.vercel-dns.com のように指している場合、CDN 技術が使用されていることを示します。
- 🌰 www.baidu.com 、Address フィールドが異なる 2 つの IP を指している場合、www.baidu.comは CDN を使用している可能性があります。

CDN をバイパスして実際の IP を取得#

サブドメインの IP を解決
- CDN を使用するにはお金がかかるため、多くのウェブサイトはメインサイトのみ CDN 加速を行い、サブドメインは行っていないことがあります。サブドメインはメインサイトと同じサーバーまたは同じ C クラスネットワークにいる可能性があるため、サブドメインの IP 情報を照会することでメインサイトの実際の IP 情報を判断するのに役立ちます。
過去の DNS レコードを照会
- DNS と IP のバインディングの過去のレコードを照会することで、以前の実際の IP 情報を発見できるかもしれません。
海外ホストを使用してドメインをリクエスト
- 一部の国内 CDN 加速サービスプロバイダーは国内の回線のみ CDN 加速を行っており、海外の回線は加速されていない場合があります。このため、海外のホストを使用して実際の IP 情報を探ることができます。自分の海外ホストを使用するか、全球 Ping テストで海外の探査ノードを選択して実際の IP 情報を判断できます。
メール情報
- メールシステムは一般的に内部にあり、CDN の解決を経ていないため、ターゲットウェブサイトのメール登録、パスワードリセット、RSS 購読などの機能を利用してメールを送信し、ターゲットからの返信メールを受け取った後、メールのソースコードを確認することでターゲットの実際の IP を取得できます。
- 画像出典 mathwizard

情報漏洩
- 情報漏洩の機密情報、ファイル（例：phpinfo ページ、ウェブサイトソースコード（バックアップ）ファイル、Github 漏洩情報など）を利用して実際の IP 情報を取得します。
  - phpinfo ページのSERVER_ADDRフィールドは、そのホストの実際の IP を表示します。
ターゲットウェブサイトのアプリケーション
- ターゲットウェブサイトに独自のアプリがある場合、Burp Suite などのトラフィックキャプチャツールを利用してアプリのリクエストをキャプチャし、その中からターゲットの実際の IP を見つけることができるかもしれません。

IP 逆引きドメイン（サイドサイト調査）#

360 ip 逆引き
微步在线
站长工具同 IP ウェブサイト調査
webscan
云悉
dnsgrep ip 逆引き
bugscaner ip 逆引き
bing
- https://cn.bing.com/search?q=ip:x.x.x.x
fofa
- ip="x.x.x.x"

フィンガープリンティング#

js およびインターフェース情報#

JSFinder: https://github.com/Threezh1/JSFinder
URLFinder: https://github.com/pingc0y/URLFinder
- 新しいバージョンの JSFinder と見なすことができます
LinkFinder: https://github.com/GerbenJavado/LinkFinder
Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer (webpack)
重要なインターフェースを検索
- config/api
- method:"get"
- http.get("
- method:"post"
- http.post("
- $.ajax
- service.httppost
- service.httpget
- path
- api
- xxx.js.map ファイルが存在する場合
  - axios キーワードを検索し、ルーティングを探す

APP#

メール収集#

EmailAll

WAF 識別#

機密情報#

クラウドストレージエンジン#

Googlehack 構文#

バックエンドアドレス
- site.com intitle: 管理 | バックエンド | ログイン | 管理者 | システム | 内部
- site.com inurl|admin|system|guanli|denglu|manage|admin_login|auth|dev
機密ファイル
- site.com (filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR --filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype OR filetype)
テスト環境
- site.com inurl|ceshi
- site.com intitle: テスト
メール
- site.com (intitle:"Outlook Web App" OR intitle:"メール" OR inurl:"email" OR inurl:"webmail")
その他
- site.com inurl|uid=|id=|userid=|token|session
- site.com intitle.of "server at"
Google 構文ジェネレーター
- オンラインバージョン：http://www.php1nf0.top/google/google.php
- オフラインバージョン：こちらから受け取ってくださいここ

浸透テストの情報収集#

*   浸透テストの情報収集
*    オープンソースインテリジェンス情報収集（OSINT）
*    github
*     whois照会/登録者逆引き/メール逆引き/関連資産
*     googleハッキング
*     企業パスワード辞書の作成
*       サブドメイン取得
*     辞書リスト
*     メールリスト取得
*      漏洩パスワード照会
*    企業外部関連情報の収集 オープンソースインテリジェンス情報収集（OSINT）
*     github
*    Github_Nuggests（Github上のファイルの機密情報漏洩を自動的にクロール） :https://github.com/az0ne/Github_Nuggests
*    GSIL（Github上の漏洩情報をほぼリアルタイム（15分以内）で発見できる） :https://github.com/FeeiCN/GSIL
*    x-patrol(小米チームの):https://github.com/MiSecurity/x-patrol  whois照会/登録者逆引き/メール逆引き/関連資産  
*   站长之家:http://whois.chinaz.com/?DomainName=target.com&ws=
*愛站:https://whois.aizhan.com/target.com/
*   微步在线:https://x.threatbook.cn/
*  IP逆引き:https://dns.aizhan.com/
*  天眼查:https://www.tianyancha.com/
*   虎妈查:http://www.whomx.com/
*  過去の脆弱性照会 :
*   オンライン照会:http://wy.zone.ci/
*   自搭建:https://github.com/hanc00l/wooyun_publi/  googleハッキング
* 企業パスワード辞書の作成 辞書リスト   passwordlist:https://github.com/lavalamp-/password-lists

 猪猪侠辞書:https://pan.baidu.com/s/1dFJyedzBlasting_dictionary （弱パスワード、一般的なパスワード、ディレクトリブルートフォース、データベースブルートフォース、エディタブルートフォース、バックエンドブルートフォースなど、さまざまな辞書を共有および収集）  特定のベンダーに対して、ベンダー関連のドメインの辞書を重点的に構築 ['% pwd%123','% user%123','% user%521','% user%2017','% pwd%321','% pwd%521','% user%321','% pwd%123!','% pwd%123!@#','% pwd%1234','% user%2016','% user%123$%^','% user%123!@#','% pwd%2016','% pwd%2017','% pwd%1!','% pwd%2@','% pwd%3#','% pwd%123#@!','% pwd%12345','% pwd%123$%^','% pwd%!@#456','% pwd%123qwe','% pwd% qwe123','% pwd% qwe','% pwd%123456','% user%123#@!','% user%!@#456','% user%1234','% user%12345','% user%123456','% user%123!']
パスワード生成  GenpAss（中国特色の弱パスワード生成器: https://github.com/RicterZ/genpAss/
 passmaker（カスタムルールのパスワード辞書生成器）：
https://github.com/bit4woo/passmaker
 pydictor（強力なパスワード生成器）：
https://github.com/LandGrey/pydictor
メールリスト取得  theHarvester ：https://github.com/laramies/theHarvester *  メールを取得した後、連絡先リストをエクスポート  LinkedInt :https://github.com/mdsecactivebreach/LinkedInt
 Mailget：https://github.com/Ridter/Mailget
漏洩パスワード照会  ghostproject: https://ghostproject.fr/
 pwndb: https://pwndb2am4tzkvold.onion.to/
企業外部関連情報の収集サブドメイン取得

 Layer サブドメイン掘削機 4.2 記念版   subDomainsBrute ：https://github.com/lijiejie/subDomainsBrute

 wydomain ：https://github.com/ring04h/wydomain
 Sublist3r ：https://github.com/aboul3la/Sublist3r
 site.com:https://www.google.com  Github コードリポジトリ

 パケット分析リクエストの戻り値（リダイレクト/ファイルアップロード/app/apiインターフェースなど）

 站长帮手 links などのオンライン照会サイト

 ドメイン転送脆弱性 Linux dig @ns.example.com example=.com AXFR Windows nslookup -type=ns xxx.yyy.cn #ドメインの DNS サーバーを照会 nslookup #nslookup インタラクティブモードに入る server dns.domian.com #指定された dns サーバー ls xxx.yyy.cn #ドメイン情報をリスト表示

 GetDomainsBySSL.py :https://note.youdao.com/ynoteshare1/index.h tml?id=247d97fc1d98b122ef9804906356d47a&type=note#/
 censys.io 証明書 :https://censys.io/certificates?q=target.com  crt.sh
証明書照会:https://crt.sh/?q=%25.target.com
 shadon :https://www.shodan.io/
 zoomeye :https://www.zoomeye.org/  fofa :https://fofa.so/
 censys：https://censys.io/
 dnsdb.io :https://dnsdb.io/zh-cn/search?q=target.com
 api.hackertarget.com :http://api.hackertarget.com/reversedns/?q =target.com
 community.riskiq.com :https://community.riskiq.com/Search/targe t.com
 subdomain3 :https://github.com/yanxiu0614/subdomain3
 FuzzDomain :https://github.com/Chora10/FuzzDomain  dnsdumpster.com :https://dnsdumpster.com/
 phpinfo.me :https://phpinfo.me/domain/
 dns オープンデータインターフェース :https://dns.bufferover.run/dns?q=baidu.com

Github#

@xxx.com password/secret/credentials/token/config/pass/login/ftp/ssh/pwd
@xxx.com security_credentials/connetionstring/JDBC/ssh2_auth_password/send_keys