总结:连载｜浅谈红队中的外网信息收集（一）

　　总结:连载｜浅谈红队中的外网信息收集（一）

　　文章首次发表于：

　　火线区社区()

　　前言

　　最近一直在整理总结以往学过的关于红队的知识点。这里我主要指的是ATT&CK矩阵模型，不过做了简化，增加了一些国内独有的情况。

　　一般会按照外网信息采集、管理、权限维护、权限升级、内网信息采集、横向移动、痕迹清理的顺序进行。

　　因为是总结文章，所以文章的重点是在“面”上而不是在具体的“点”上，所以文中的具体技术细节不再赘述，否则内容会有很多。

　　想了解具体细节的读者可以去我个人公众号TeamsSix的历史文章，里面会有一些点的描述文章。

　　限于个人水平，文中难免有错误或不恰当的描述，希望在评论中指出，希望理解。

　　确定目标

　　在开始信息采集之前，您必须首先确定目标。在红队项目或HW项目中，一般目标是公司名称，然后通过公司名称获取各种信息，进而进行外网管理、内网穿透等。

　　知道了目标公司的名称后，我们就可以开始采集信息的工作了。

　　外网信息采集

　　在这里我整理了以下信息采集的方法。当然，它肯定是不完整的。欢迎大家在评论区一起补充讨论：

　　1、组织所有权结构

　　拿到公司名称后，先别急着查记录找域名，而是先看公司的股权结构，因为一般一家公司的子公司也可以瞄准，但有时需要50%的股份。股份或100%持股，视实际情况而定。

　　比较常见的网站查询公司组织股权结构的有天眼查、七叉叉、爱七叉、小蓝本、钉钉七点等。

　　如果标的控股公司不多，可以直接看股权渗透图，比较直观；如果控股公司多，看股权渗透图就比较费劲了。

　　除了股权渗透，还可以看到它的外资信息

　　在这两个地方都可以找到目标持股的公司。

　　目标少一点没关系，一个一个的，但是目标太多了，效率就会很低。幸运的是，现在有现成的工具。

　　ENScanGo

　　ENScanGo 是现有开源项目 ENScan 的升级版。工具地址为：

　　这是沃尔夫集团安全团队Keac先生为解决企业信息采集难的问题而编写的工具。一键采集标的及其控股公司的ICP备案、APP、小程序、微信公众号等信息。然后聚合导出。

　　比如这里我采集的信息是“北京百度网通科技*敏*感*词*”。以及他持有50%股份的公司。

　　

　　enscan -n 北京百度网讯科技*敏*感*词* -invest-num 50

　　采集到的结果如下：

　　这样就直接省略了采集ICP备案的步骤，可以一键获取目标公司及其子公司的公司名称、APP、微信公众号、ICP备案等信息。

　　2、主域名查询

　　主域名查询可分为注册域名查询和未注册域名查询。

　　记录域名查询

　　除了上述企业信息查询网站获得的备案信息外，最完整、最准确的方法是去国家备案信息查询网站查询，地址为：。

　　除了官方渠道，还有一些第三方注册域名查询网站，比如站长之家等。

　　未注册域名查询

　　一些公司会将他们的其他业务站点放在 网站 的末尾，其中可能收录未记录的站点。

　　3、子域获取

　　比较常用的工具是 OneForAll，除了 amass、subfinder、xray、ksubdomain 等。

　　如果提前知道目标，也可以提前采集一波子域，然后在项目即将启动的时候再采集一波子域，比较两次采集的结果，优先新的子域。

　　4、端口扫描

　　一般来说，最常见的是nmap和masscan。这是一个 nmap 快速扫描所有端口的命令。

　　nmap -sS -Pn -n --open --min-hostgroup 4 --min-parallelism 1024 --host-timeout 30 -T4 -v -p 1-65535 -iL ip.txt -oX output.xml

　　不过除了这些方法，fscan其实还可以用于外网的端口扫描，而且速度更快。

　　例如，使用 fscan 只扫描端口，而不是扫描漏洞

　　fscan -hf hosts.txt --nopoc -t 100

　　fscan的默认线程是600，因为外网扫描600的线程比较大，所以这里设置为100。如果扫描结果不理想，可以将线程设置得更小。

　　端口扫描可以与空间搜索引擎的结果相结合。如果空间搜索引擎发现目标中有很多高级端口，那么在进行端口扫描时记得添加这些高级端口。

　　5、指纹识别

　　指纹识别对我来说是很重要的一点，因为指纹识别的结果对管理很有帮助，可以让管理更有针对性，同时也可以节省很多时间。

　　比较常见的在线指纹查询网站包括godeye、云曦，以及observer_ward、Ehole等工具。

　　6、空间搜索引擎

　　通过使用空间搜索引擎，您有时可以在首次识别目标时发现目标弱点。

　　

　　目前比较常见的太空搜索引擎有Fofa、Shodan、360夸克、奇安信全球鹰、智创宇ZoomEye等。

　　常用工具有Fofa_Viewer、FofaX、Kunyu，其中Fofa_Viewer为图形界面，使用友好。

　　下载链接：

　　FofaX 是一个命令行界面。FofaX 可以与其他工具结合使用。除了这两个工具调用Fofa接口外，上面提到的Ehole还可以调用Fofa查询。

　　坤宇调用ZoomEye的接口，工具下载地址：

　　7、api接口

　　获取api接口常用的工具有jsinfo、findsomething、jsfinder、BurpJSLinkFinder等。

　　如果发现一些未经授权的接口，可能会获得一些高价值的信息，例如大量敏感信息泄露。

　　另外，在翻转js文件的时候，可以注意是否有以runtime命名的js文件，因为这个js文件会收录其他js文件的名字（包括当前页面没有加载的js文件），所以使用运行时js文件我发现了更多的js文件，这使得找到api接口的概率更高。

　　8、目录访问

　　比较常用的目录扫描工具有dirsearch、ffuf

　　ffuf 更侧重于 FFUZ，但无论是目录扫描还是 FFUZ，扫描的结果都是字典，Github 上超过 4k 个star 的字典：

　　9、邮箱地址获取

　　邮件地址比较常用的方法是通过搜索引擎直接找到网上公开的邮件信息，往往指向目标的网站，例如目标的某个网页的附件中收录email和其他信息。

　　此外，您还可以使用Github在代码中搜索目标公司的开发人员评论的邮箱信息。其实我不明白为什么开发者喜欢在代码中评论自己的邮箱。

　　也可以通过LinkedIn找到目标公司的员工姓名，通过“拼音+@公司域名”的方式构建员工邮箱。

　　还有一些网站可以查询邮箱，比较方便，比如下面的网站：

　　另外，如果采集到目标Outlook站点，也可以尝试爆破邮箱用户名。

　　10、网盘信息

　　有时候可以在网盘资料中找到很多好东西，这样的网站还有很多。在爱达杂货店导航站可以找到很多网盘搜索网站。

　　11、附加信息

　　其他信息，如app、小程序、供应商、外包合作伙伴、公众号等，都可以从上面的组织股权结构类网站中或多或少的查询到，也可以使用ENScan。

　　其中，供应商和外包合作伙伴值得注意。如果拿下供应商，或许可以直接进入目标内网。如果赢得外包合作伙伴，可以利用这一层关系进行社会工作或尝试进入目标内网。

　　后记

　　当然，红队中采集的信息远不止上面所说的。其他常用的还有资产监控平台、社会工程库、自动化信息采集工具（如水泽）、各种内部红队平台等，篇幅有限。再次展开。

　　美好的过去文章

　　技巧:下载自媒体内容素材，帮你快速创造内容

　　下载自媒体内容材料，帮助您快速创建内容。在这个自媒体飞速发展的时代，大家都在这方面发展，但是对于一些新手来说，如何进行内容创作就成了一个难题，因为大家的知识储备都不是很丰富，经常会遇到没有灵感的情况。

　　对于这种情况，我们有一个很好的解决办法，就是找内容素材。内容素材的采集可以参考以下方法，一起来看看吧。

　　第一个：使用工具采集材料

　　

　　当大家想到工具采集材质的时候，首先想到的就是一转，因为一转已经是家喻户晓的材质采集工具，它可以用于采集视频和文章素材，没有灵感的时候可以去一转搜索相关关键词，可以找到相关素材，还可以选择时间和平台材料发布。

　　二：搜索引擎找素材

　　这种找素材的方法也是比较常用的方法，很多人习惯直接去百度找素材。对于需要少量素材的自媒体的人来说也比较方便。选择您自己的主题。

　　第三：微博热搜榜

　　

　　一般来说，关注微博热搜榜自媒体的人往往更多地在娱乐和社交领域。微博有实时列表。如果根据热点进行创作，你的流量肯定会增加。会很大，其他领域的作者也可以试试。

　　第四：知乎

　　知乎也是不错的素材采集，知乎素材很多，是一个问答平台，里面的答案也很精彩，你可以直接搜索相关知识，相信你会有所收获。大家素材采集完成后，可以直接使用易小儿一键发视频或者文章，省心省力。