APT404-不作恶

在路上,一直在路上!

Web渗透第一步 之 信息搜集 [ 搜集目标真实Ip信息 ]



0x01 在实际渗透中,给我们的目标可能仅仅就是一个域名或者某个组织名,那么该如何仅仅通过一个目标域名或者组织域名来确定目标所在的一些真实ip段呢,下面我们就开始整个信息搜集任务的第一步,搜集目标ip及域名信息,注意,这里我们暂且先不考虑目标是否用了CDN的问题,如何透过cdn找真实ip在后面会做单独说明,这里就先以正常的情况来说明

0x02 以www.cityu.edu.hk 为例,拿到目标域名的第一反应,没别的,先ping下目标域名看看解析情况再说

1
2
# ping www.cityu.edu.hk
www.cityu.edu.hk (144.214.5.62) ping 目标主域解析到的ip是这个

0x03 虽然没ping通,但这并不影响我们看它解析到的ip,不通的原因,还要看它提示的是什么,如果是超时,多半是因为防火墙拦截了imcp请求,不过这并不是重点,重点是我们已经发现这个域名被解析到了这个ip上,而且被解析的这个域名依然是 www.cityu.edu.hk,其实,从这里基本就已经可以确定这个ip就是目标的真实ip段内的[搞多了,自然就会有感觉],不信的话,我们可以直接尝试在浏览器中访问下解析到的这个ip,看看是不是会自动跳转到www.cityu.edu.hk 这个域名上的网页上,但仅仅就这一个ip还是远远不够的,对一个这种规模的大学来讲,机器肯定不再少数,我们接着往下走……

0x04 ping 完主域,顺手再来ping下子域,依然是没ping通,不过我们看到这个子域也被解析到了这个ip上[很可能是代理服务器或者负载均衡器什么的]

1
2
# ping cityu.edu.hk
cityu.edu.hk (144.214.5.62)

0x05 通过上面简单的ping,我们已初步发现目标所在的其中一个真实ip段,但仅仅只有这一个段还是远远不够的[像这种规模的大学,几乎整个B段都可能是它的],接着我们可以从目标的mx,ns,a记录入手,至于这些记录具体都是干什么的,这里就不细说了,大家请自行谷歌,因为我们今天的重点并不在这些记录本身,而仅仅是想通过这些记录[子域]获取一些目标的真实ip段,如下,推荐dig,nslookup不太准[非权威查询]

1
2
查目标的mx记录:
# dig +short @8.8.8.8 cityu.edu.hk mx

1
2
3
smtp.cityu.edu.hk (144.214.4.72)  
很显然,这只是目标的一个子域,根据ping解析到的结果我们发现这个ip也确实是香港ip
跟ping主域返回的结果是144.214.5.62,貌似是差了一个'C'段,不过,大致可以确定是目标的真实ip段


1
2
3
cityu-edu-hk.mail.protection.outlook.com (65.55.88.234)  
注意此域名,它并非目标子域,很显然是挂到outlook上的,ip也不是香港的
所以,此ip对我们实际的渗透意义并不大,可以忽略


1
2
3
查目标ns记录:
# dig +short @8.8.8.8 cityu.edu.hk ns
cpccspc.cityu.edu.hk (144.214.5.254) 目标子域,ip和主域处在同一C段中,可以确定为目标真实ip

1
vax.cityu.edu.hk (144.214.2.1) 目标子域,同处在B段中,初步确定为目标真实ip

cpccux0.cityu.edu.hk (144.214.5.253) 目标子域,ip和主域处在同一C段中,可以确定为目标真实ip


1
2
3
查目标a记录:
# dig +short cityu.edu.hk a
144.214.5.62 和直接ping的结果一致,确定为真实ip

0x06 当然,你可以从一些第三方网站上获取到目标的一些ip及域名信息,下面就推荐几个自己常用的

1
2
3
ip138的数据库还是蛮不错的,主要是更新频繁,只需提供一个目标ip或者域名[给子域就好了]即可定位ip所在地
如果你想把它写到脚本中批量查,它也提供查询接口,付点儿费,然后把接口写到你的脚本中即可
www.ip138.com


1
2
3
4
5
6
7
8
这是个相对比较老的信息搜集站,直接给个目标子域,它会把目标的一些子域也都列出来
然后你可以挨个点到每个子域里面再去看该子域详情,域名详情包括这个域名ip变更的历史记录
[比如,我们发现在www.cityu.edu.hk这个域名上曾经解析到过三个ip,尝试ping下以前的ip看看还在不在
说不定是个入手点呢],web服务器版本型号,操作系统类型[如果是一些低版本的操作系统,我们可以直接尝试比较经典的漏洞exp,比如iis(2000 2003)写等等……]
域名注册商[如果你想做域名劫持可能会用到],域名所在地等等……
从结果看到我们看到,主域其实是一台f5负载均衡设备[印证了前面的猜测]
另外从别的子域里面我们又发现了很多其它的真实ip段
www.netcraft.com


1
2
最后再来查下目标域名的 whois 信息,里面的一些内容对我们渗透也是有一定帮助的,比如,注册时留下的各种联系信息,邮箱,电话,姓名等等...
www.whois.com/whois

whois里面对我们有用的信息可能也就下面这些:

1
注册信息中的邮箱,名字,域名注册时间,过期时间以及当前注册状态


1
管理员各种联系信息,包括管理员邮箱电话,传真,各种名字[可以用来制作字典]


1
目标技术的联系方式,包括邮箱,电话,传真,名称


1
用于解析该域名的所有ns服务器,从这里面我们发现了两个我们之前在ns记录没查到的域名,不过一看,这很显然就不是目标自己的ns服务器,所以,忽略

0x07 通过上面的初步搜集,我们大致整理出了下面的一些目标真实ip段,因为段比较多,这里并没有都写上去……,关键是大家的搜集思路清晰就好:

1
2
3
4
5
144.214.2.0/24
144.214.4.0/24
144.214.5.0/24
144.214.236.0/24
……

0x08 到这一步,初步的ip及域名信息搜集就基本算是完成了,内容确实比较简单,关于工具的使用也比较容易,实在不会,看看命令的相关帮助应该就能明白了,可能最需要注意的地方还是 ping 的时候最好多ping几次,有时候因为自己的网速或者目标的网络问题,也会导致超时,并非一定是防火墙的原因,所以,一般ping 个5,6次就差不多了,当然,这里只是大家告诉你怎么手工去找,相信这里的一点铺垫,到后面会更利于你去理解和使用这一类的信息搜集工具,因为它们的工作流程大致都是如此,只不过我们现在是在手工实现它,还是那句话,实际渗透中怎么快怎么来[以效率为重],后面会说到dnsenum,一个脚本基本就可以把上面说的东西全干了……

0x09 当然啦,这仅仅还是万里长征的第一步,拿到准确的目标ip段信息,也是为了方便我们后面,对目标机器大概的部署情况做一些简要判断,从中找到一些可能的突破口,这中间还会涉及到cdn的问题,不过不用太着急,后面会再专门针对cdn做单独的详细说明,至于拿到这些真实ip信息以后的事情,就自己随意了,旁站,C段,ddos,爆破…………,自己想怎么发挥都行…

小结:
    没啥技术含量,方便加深对此类工具的深层理解,顺带留给有需要的朋友