资产发现
在这一阶段中,我们要获取目标公司拥有的所有子公司,进而获得所有资产。
子公司
首先,我们需要了解目标有哪些子公司,可以天眼查、企查查或Crunchbase来查看。
ASN
ASN(Autonomous System Number,自治系统号)是一个全球唯一的标识符,用于区分不同的自治系统(AS)。自治系统是一组具有统一路由策略的网络,通常由一个大型组织(如ISP、企业、政府等)运营。通过查询IP地址所属的ASN,可以了解该IP地址的网络运营商、地理位置、路由信息等。
我们可以通过访问https://bgp.he.net/来搜索公司、IP地址或域名来收集信息。
以下是各个地区的管理机构地址,可以更加方便地进行查询。
使用Amass工具命令如下:
1.
amass intel -org google
ASN: 44384 - Test a hrefwww.google.comtesta.
92.61.192.0/20
185.111.140.0/22
2.
amass intel -asn 8911,50313,394161在使用BBOT扫描子域名时,也会自动汇总ASN信息:
apt install pipx
pipx install bbot
bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24 | 5 | TESLA | Tesla Motors, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509 | 54.148.0.0/15 | 4 | AMAZON-02 | Amazon.com, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24 | 3 | TESLA | Tesla Motors, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356 | 8.32.0.0/12 | 1 | LEVEL3 | Level 3 Parent, LLC | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356 | 8.0.0.0/9 | 1 | LEVEL3 | Level 3 Parent, LLC | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
可以访问http://asnlookup.com/查找企业的IP范围,访问http://ipv4info.com/来查找域的AP和ASN。
使用whois命令查找:
whois -h whois.radb.net -- '-i origin AS11535' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq
whois -h whois.radb.net -- '-i origin AS20461' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq | mapcidr -silent | dnsx -ptr -resp-only -retry 3 -silentWeb服务器检测
在搜集域名或子域名时,需要探测其Web服务是否正常运行,如果没有则表示可能已经关闭。
1.
# https://github.com/tomnomnom/httprobe
cat /tmp/domains.txt | httprobe
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443
2.
masscan -p80,443,8000-8100,8443 192.168.1.0/24爬取网页中Url
爬取网页中的Url地址列表。
# Gospider
go install github.com/jaeles-project/gospider@latest
./gospider -s "http://域名或IP地址/" --js -t 20 -d 2 --sitemap --robots -w -r > urls.txt
cat urls.txt | grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"*
# Curl
curl 域名或IP地址/JavaScript文件地址 | grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"*
# LinkFinder
python3 linkfinder.py -d -i 域名或IP地址截图
通过截取Web页面图片,我们可以发现比较敏感的域名或更容易受到攻击的端点。
我们可以使用以下工具进行截图:
- EyeWitness
https://github.com/FortyNorthSecurity/EyeWitness
- HttpScreenshot
https://github.com/breenmachine/httpscreenshot
- Aquatone
https://github.com/michenriksen/aquatone
- Shutter
https://github.com/shutter-project/shutter
- WebScreenshot
如果多个图片,我们可以选择使用Eveballer(用于分析渗透测试屏幕截图的卷积神经网络)来查看。同时,该项目也有在线网站来查看:https://eyeballer.bishopfox.com/
公有云资产
对于字典列表,我们可以使用以下工具进行检索信息:
- Cloud Enum
https://github.com/initstring/cloud_enum
- Cloud Scraper
https://github.com/jordanpotti/CloudScraper
- Cloud List
https://github.com/projectdiscovery/cloudlist
- S3 Scanner
电子邮件
通过获取电子邮件可以帮助我们获取到公司职员等信息,对后续的渗透测试会带来帮助。
以下是工具和在线链接:
凭据泄露
通过域名、子域名和电子邮件可以查找过去是否发生过泄露事件。