背景
红蓝对抗中,最为重要的就是信息收集,无论是红队还是蓝队,信息收集尤为重要,本文从蓝队两个角度出发。
最近工作强度比较大,时间有限,所以写的时候比较注重讲述一些技巧,能更快更高效的收集到有效信息,对于常规信息收集手法,不做过多描述,文章中若出现较为难懂的地方,可以私信讲解,同时欢迎大佬指正!
本文所有工具包,可关注公众号(猫鼠信安),回复关键字:5693 获取
蓝队角度
蓝队相对红队要被动一些,个人认为主要分为两点:
1、被攻击前的信息收集
2、被攻击后的信息手机
接下来老哥我主要从这两点,给大家分享一下自己对这两点的理解和一些信息收集的技巧,只求一波关注
一、攻击前的信息收集
1、企业资产梳理
无论是哪家单位,hw前期都离不开资产梳理,第一次接触的小伙伴肯定会很头疼,不知道该怎么下手
其实和渗透测试一样,但是企业资产梳理分为外网和内网
外围梳理方法:
(1)备案查询
(2)fofa搜集
(3)子域名扫描
(4)微信公众号、小程序、支付宝小程序等
这四点,和上篇文章方法差不多,最后一个微信公众号和小程序就直接去搜索就好了
内网梳理方法:
(1)Goby扫描
直接使用Goby对整个内网所有C段和B段进行扫描,导出一份结果,可以直接当作资产梳理的结果进行看
可以自己导入一些poc,增加功能
2、企业敏感文件清理
这个主要是针对外网
梳理技巧:
(1)凌风云网盘排查
(2)github、码云排查
(3)fofa排查
(4)谷歌语法排查
这四点和红队视角下的差不多,同样可以参考上篇文章
二、被攻击后的信息收集
这一个又分为入侵成功后入侵失败
1、入侵成功信息收集技巧
这点就是应急响应的中对主机的信息收集了
很多人对于命令不是很熟悉,这个时候自动化信息收集工具就很重要了,推荐下面工具
(1)windows主机信息收集技巧
安恒日志收集工具
火麒麟自动化信息收集工具
(2)Linux主机信息收集技巧
LinuxCheck
LinEnum
2、入侵失败信息收集技巧-锁定攻击IP反制技巧
反制主机首先需要知道入侵Ip,一般情况攻击队入侵的时候会使用很多肉鸡,一般肉鸡都是非常容易反制攻击进去的,都会存在一些较为明显的漏洞,大家直接对攻击Ip进行一次漏洞扫描,可以轻易发现漏洞
(1)威胁情报平台
各大公司都有威胁情报平台可以直接查找
https://ti.qianxin.com/
https://ti.dbappsecurity.com.cn/
https://x.threatbook.com/
(2)ip反查域名
可以通过站长之家等工具进行反差域名,利用域名去查注册人信息,奇安信的威胁情报平台可以一直去反查,下去,若是遇到没有头绪,可以找个好基友借一下账号,有时候能收获不小
(3)蜜罐
很多经典反制案例,都离不开蜜罐,蜜罐获取的信息是重中之重,一定要多去关注蜜罐有没有捕获攻击者信息
(4)社工库查询
免费社工库
每一个都是好东西,部分网站需要FQ,建议访问进去看看,根据自己的需求使用
图书馆-时光机 https://archive.org
marketvisual 搜索公司、姓名、电话 http://www.marketvisual.com
tineye(图片搜索引擎) https://www.tineye.com
checkusernames(检查用户名注册) https://checkusernames.com
hunter 邮箱泄露 https://hunter.io
邮箱反 LinkedIn账号 https://osint.support
邮箱反 facebook账号 https://osint.support
查询ssl网站 crt.sh: http://scrt.sh | censys: https://censys.io