被动信息收集

• 公开渠道可获得的信息

• 与目标系统不产生直接交互

• 尽量避免留下一切痕迹

下面是两个关于开源情报（OSINT）的书籍

美国军方 
北大西洋公约组织

信息收集内容

一.IP地址段与域名信息 
二.邮件地址 
三.文档图片数据 
四.公司地址 
五.公司组织架构 
六.联系电话/传真号码 
七.人员姓名/职务 
八.目标系统使用的技术架构 
九.公开的商业信息

那么我们收集到个别信息后又有什么用呢？

• 根据收集到的信息描述目标

• 发现

• 进行社会工程学攻击

• 或者是物理上的缺口(当然这条在后续可能不会进行)

DNS

将域名解析成IP地址

通常我们会将类似于www.baidu.com，www.sina.com等网站表示说成是其域名，但实际的说法是FQDN（完全限定域名）。 
而baidu.com与sina.com则是其域名。

DNS包含多个记录 
A:主机记录。将域名解析成IP 
CNAME:别名记录。将域名解析成别的域名 
NS:域名服务记录。指向了域名服务器的IP 
MX:邮件交换记录。指向了SMTP服务器的IP 
PTR:反向主机记录。将IP解析成域名

查询方式有两种， 
本地查询-递归查询， 
服务器间查询-迭代查询。

NSLOOKUP

直接输入nslookup会进入交互模式。 

参数有type和server，指定查询类型和DNS服务器。

nslookup;
> 
Server:     192.168.50.1
Address:    192.168.50.1#53

#这里可以看到百度是一个别名记录，指向了别的域名
#而nslookup自动帮我们解析了

Non-authoritative answer:
www.baidu.com   canonical name = www.a.shifen.com.
Name:   
Address: 61.135.169.121
Name:   
Address: 61.135.169.125
>
>
#指定查询类型
>set type=a/mx/any/cname/ns
#指定查询服务器
>server 8.8.8.8

当然可以直接使用命令参数模式，

nslookup [-type=类型] 目标域名 [需要使用的DNS服务器] 
nslookup -type=a www.baidu.com 8.8.8.8 
若不指定dnsserverip会使用默认的设置。

DIG

NSLOOKUP和DIG的功能比较相似，但DIG更为强大

通常查询： 
dig [type] 目标域名 [@dnsserverip] 
dig www.baidu.com 
dig any www.baidu.com 
dig ns baidu.com @8.8.8.8 
dig -x 61.135.169.121 
-x 反向查询

@用于指定dns服务器

更多的参数： 
+noall 不显示输出 
+answer 只看应答，通常和+noall组合使用 
+trace DNS追踪，进行迭代查询

dig any www.baidu.com +noall +answer 
dig +trace www.baidu.com

查询BIND版本 
dig txt chaos VERSION.BIND +noall +answer @目标域名服务器

但因为这个信息只对黑客有用，所以通常都会被隐藏。 
比如百度的，

dig txt chaos VERSION.BIND +noall +answer @ns1.a.shifen.com;

; <<>> DiG 9.8.3-P1 <<>> txt chaos VERSION.BIND +noall +answer @ns1.a.shifen.com
;; global options: +cmdVERSION.BIND.       0   CH  TXT "Baidu DNS"

区域传输

通常区域传输都是在两台主从DNS服务器之间进行的，但如果出现个别服务器配置有点小问题的话，我们也可以拿到其区域的资料。

dig @目标NS域名服务器 目标域名 axfr 
dig @ns1.a.shifen.com a.shifen.com axfr 
或 
host -T -l 目标域名 目标NS域名服务器 
host -T -l a.shifen.com ns.a.shifen.com

-T 使用TCP/IP模式 
-l 用axfr请求列出所有主机记录 
axfr 区域传输请求

当然结果都被拒绝的。

dig @ns1.a.shifen.com a.shifen.com axfr;

; <<>> DiG 9.8.3-P1 <<>> @ns1.a.shifen.com a.shifen.com axfr
; (1 server found);
; global options: +cmd
; Transfer failed.
#############################################
host -T -l a.shifen.com ns1.a.shifen.com;
; Transfer failed.
Using domain server:
Name: ns1.a.shifen.com
Address: 61.135.165.224#53
Aliases:

Host a.shifen.com not found: 5(REFUSED)
; Transfer failed.

那么我们怎么获得所有主机记录呢？ 
另外一种就是……且看下一章

Anzeme

2017/10/27

本文转自 

新网学会 51CTO博客，原文链接：http://blog.51cto.com/xwxhvip/1976618 ，如需转载请自行联系原作者