title: 被动信息收集
date: 2016-04-11 08:48:52
tags: Kali第六章 被动信息收集

0x00 被动信息收集

被动信息收集指的是通过公开渠道可获得的信息，与目标系统不产生直接交互，尽量避免留下一切痕迹。

OSINT：
关于开源智能信息收集可以参看一下两篇文章：
美国军方：http://www.fas.org/irp/dodair/army/atp2-22-2.pdf
被大西洋公约组织：http://information-retireval.info/docs/NATO-OSINT.html

信息收集的过程

Passive reconnaissance(no direct interaction)->Normal interaction->Active reconnaissance->More information greater chance of detection

信息收集的内容

ip地址段，域名信息，邮件地址(判断是个人搭建的邮件信息服务器还是使用的企业级邮件服务器)，文档图片数据，公司地址，公司组织架构，联系电话/传真号码，人员姓名/职务，目标系统使用的技术架构，公开的商业信息

信息用途

用信息描述目标，发现目标的物理系统，为社会工程学攻击奠定基础，以及发现一些可能的物理缺口

0x01 信息收集之-DNS

DNS域名，FQDN与IP地址，PTP，NS，A，Cname，MX

对于一个网站最想了解的或许就是域名，比如sinlang.com这是一个域名(Domain Name)，www.sinlang.com则是完全限定域名(FQND:Fully Qualified Domain Name),FQND即是是该域名(sinlang.com)下的一个主机记录，主机记录也叫做A记录，当然也有可能是一个别名记录(C name)。每个域名都一个或者多个域名服务器，用来负责对该域名的解析，而域名服务器地址又是通过DNS里面的NS记录进行定义和注册的。此外每个域名或者也有自己的邮件服务器(MX记录)。而前面所有的解析记录都是将主机名解析成另外一个主机名或者IP地址，但是ptr则是一个反向解析记录的过程，即是将IP地址解析成主机名。

DNS解析过程.png

DNS 查询以各种不同的方式进行解析。有时，客户端也可使用从先前的查询获得的缓存信息就地应答查询。DNS 服务器可使用其自身的资源记录信息缓存来应答查询。DNS 服务器也可代表请求客户端查询或联系其他 DNS 服务器，以便完全解析该名称，并随后将应答返回至客户端。这个过程称为递归。另外，客户端自己也可尝试联系其他的 DNS 服务器来解析名称。当客户端这么做的时候，它会根据来自服务器的参考答案，使用其他的独立查询。该过程称作迭代。

0x02 DNS信息收集工具-NSLOOKUP

root@jack:~# nslookup
> www.sina.com
Server:     112.100.100.100 {本地缓存DNS服务器,就是所在地的运营商的服务器，如果不想使用本地服务商解析，可以更换任意的DNS服务器进行解析，比如:server 8.8.8.8更换为谷歌的DNS服务器进行解析！}
Address:    112.100.100.100#53

解析结果:

Non-authoritative answer:
www.sina.com    canonical name = us.sina.com.cn.
us.sina.com.cn  canonical name = news.sina.com.cn.
news.sina.com.cn    canonical name = jupiter.sina.com.cn.
jupiter.sina.com.cn canonical name = hydra.sina.com.cn.
Name:   hydra.sina.com.cn
Address: 218.30.108.188
Name:   hydra.sina.com.cn
Address: 218.30.108.182
Name:   hydra.sina.com.cn
Address: 218.30.108.190
Name:   hydra.sina.com.cn
Address: 218.30.108.183
Name:   hydra.sina.com.cn
Address: 218.30.108.181
Name:   hydra.sina.com.cn
Address: 218.30.108.191
Name:   hydra.sina.com.cn

可以看到www.sina.com并没有被直接解析为一个特定的IP地址，所以www.sina.com不是一个A记录，而是一个C name记录，转而被继续解析成us.sina.com.cn，一直解析知道主机记录。

查找新浪FTP服务器的IP

首先查MX记录

root@jack:~# nslookup
> set type=mx 
> sina.com

查询结果: 
Server:     112.100.100.100
Address:    112.100.100.100#53
Non-authoritative answer:
sina.com    mail exchanger = 5 freemx1.sinamail.sina.com.cn.
sina.com    mail exchanger = 10 freemx2.sinamail.sina.com.cn.
sina.com    mail exchanger = 10 freemx3.sinamail.sina.com.cn.

再查询三A个记录的IP

Authoritative answers can be found from:
> set type=a
> freemx1.sinamail.sina.com.cn.
Server:     112.100.100.100
Address:    112.100.100.100#53

Non-authoritative answer:
Name:   freemx1.sinamail.sina.com.cn
Address: 202.108.3.242
> freemx2.sinamail.sina.com.cn.
Server:     112.100.100.100
Address:    112.100.100.100#53

Non-authoritative answer:
Name:   freemx2.sinamail.sina.com.cn
Address: 218.30.115.106
> freemx3.sinamail.sina.com.cn.
Server:     112.100.100.100
Address:    112.100.100.100#53

Non-authoritative answer:
Name:   freemx3.sinamail.sina.com.cn
Address: 60.28.2.248

查询新浪的所有域名服务器

root@jack:~# nslookup
> set type=ns
> sina.com

返回结果:

Non-authoritative answer:
sina.com    nameserver = ns3.sina.com.
sina.com    nameserver = ns2.sina.com.cn.
sina.com    nameserver = ns2.sina.com.
_sina.com nameserver = ns1.sina.com._
sina.com    nameserver = ns1.sina.com.cn.
sina.com    nameserver = ns3.sina.com.cn.
sina.com    nameserver = ns4.sina.com.cn.
sina.com    nameserver = ns4.sina.com.
Authoritative answers can be found from:

解析

解析sina.com nameserver = ns1.sina.com.对应的ip地址:

> set type=a
> ns1.sina.com

返回结果:

Server:     112.100.100.100
Address:    112.100.100.100#53

Non-authoritative answer:
Name:   ns1.sina.com
Address: 114.134.80.144

以此类推我们可以将sina的所有ip地址全部解析出来!

参数set type=any

any可以解析所有的服务器记录。

> set type=any
> sina.com

返回结果：

Address: 66.102.251.33
sina.com    text = "v=spf1 include:spf.sinamail.sina.com.cn -all"
sina.com
    origin = ns1.sina.com.cn
    mail addr = zhihao.staff.sina.com.cn
    serial = 2005042601
    refresh = 900
    retry = 300
    expire = 604800
    minimum = 300
sina.com    nameserver = ns2.sina.com.
sina.com    nameserver = ns3.sina.com.
sina.com    nameserver = ns1.sina.com.cn.
sina.com    nameserver = ns2.sina.com.cn.
sina.com    nameserver = ns1.sina.com.
sina.com    nameserver = ns4.sina.com.cn.
sina.com    nameserver = ns4.sina.com.
sina.com    nameserver = ns3.sina.com.cn.
sina.com    mail exchanger = 10 freemx2.sinamail.sina.com.cn.
sina.com    mail exchanger = 10 freemx3.sinamail.sina.com.cn.
sina.com    mail exchanger = 5 freemx1.sinamail.sina.com.cn.

我们可以看到any查询出了sina.com域名的所有记录，ns记录，mail邮件交换记录。除此以为我们可以看到有一条特殊的记录即"text",SPF记录，其作用就是反垃圾邮件的，根据方向解析，获得垃圾邮件的来源地址，对服务器得到ip进行对比，若匹配则判断为正规邮件，不匹配则为垃圾邮件！

__ 当然以上的命令可以合成一条：nslookup -q=any 163.com__

0x03 PTR反向解析记录