被动扫描

1 .Malteao的使用

Maltego 是一款十分令人惊喜的信息收集软件（需联网使用）。这款工具可以通过域名注册、搜索引擎、社交网络、电子邮件等渠道收集目标的信息。Kali 中包含了 Maltego4.2 版，但是这个工具需要使用者自行完成注册功能才能使用。

Maltego的使用

1、调查testfire.net域名：选中Footprint L1进行信息收集

2.使用sn0int进行信息收集

目前比较流行信息搜集工具 recon-ng 存在无法正常连接使用的问题，本书使用了一个功能类似的替代工具 snoint。相比起 Maltego 而言，snoint 在国内的资料并不多，但是 snoint 也确实是一款功能极为强大的信息收集和网络侦察工具。同样使用 snoint 我们可以自动化地完成渗透测试过程中的很多步骤。这款工具提取提供了一些被动扫描的功能，也提供了主动扫描的功能。snoint 是一些工具的集合，优势在于你可以目的性更加明确地去进行信息收集。打个比方来说，Maltego 就像是一个全科医生，你可以从他那里得到全面的报告；而 snoint 则像是专科医生，你可以从其中一个医生得到针对某一部位的报告，这样做的好处是可以更容易的聚焦在某一重点。

sn0int的使用

启动 sn0int

        向sn0int中的范围（scope）执行添加操作

        模块的运行

  

        对扫描结果运行其他模块，运行模块usl-scan

           从范围（scope）中删除、恢复实体（entity）

 删除实体

恢复实体

3.神奇的搜索引擎-ZoomEye

Shodan 和 ZoomEye 都是网络安全人员十分喜爱的搜索引擎。不同于 Google 和 Baidu 等用于搜索网页页面的引擎，它们的目的是搜索网络上指定类型的设备。利用 Shodan 和 ZoomEye，你可以轻松地完成一些以前看起来几乎是不可能完成的任务，例如轻松地找出位于非洲的一些没有设置口令的服务器。因此，Shodan 也被很多人称作 “最可怕的搜索引擎”。

        ZoomEye定位：专为网络安全设计的“设备搜索引擎”，与传统网页搜索引擎（如Google）                                        不同，专注于暴露在互联网上的联网设备。

        ZoomEye核心能力：扫描全球开放的端口、协议、服务，甚至未加密的敏感数据。

        ZoomEye用户群体：渗透测试人员、安全研究员、黑客（正邪两用）。

ZoomEye实际应用场景

        渗透测试：快速定位目标企业的暴露资产，评估攻击面。

        威胁情报：追踪全球物联网僵尸网络、挖矿蠕虫的传播路径。

        企业防御：自查公网资产，修复高危端口或配置错误

被动扫描技术总结：

---

1. 被动扫描的定义与价值

• 定义：被动扫描是一种通过收集公开可用信息（OSINT）或间接数据（如DNS记录、证书透明度日志、社交媒体）来获取目标情报的技术，不直接与目标系统交互，避免触发防御机制。

• 核心价值：

  • 隐蔽性强：不易被目标察觉。

  • 法律风险低：依赖合法公开数据源。

  • 高效覆盖：快速获取目标资产、关联关系及潜在漏洞。

---

2. 工具在被动扫描中的应用

（1）Maltego：全面情报聚合

• 功能特点：

  • 通过域名、IP、邮箱等实体，自动关联公开数据（WHOIS、社交媒体、证书日志）。

  • Footprint L1：基础扫描模块，用于快速收集目标域名的子域名、DNS记录、注册信息。

• 示例操作：

  • 调查 testfire.net 时，运行 Footprint L1 可获取子域名、关联IP及注册者邮箱。

• 优势：可视化关系图谱，适合全面评估目标暴露面。

• 局限：依赖第三方API，免费版数据量受限。

（2）sn0int：模块化定向侦察

• 功能特点：

  • 模块化设计：支持被动扫描模块（如 usl-scan 用于子域名枚举）与主动扫描模块（需明确分离使用）。

  • 被动扫描实践：

    • 添加目标到 scope（范围），运行被动模块（如 passive/dns-resolve）解析DNS历史记录。

    • 通过公开数据库（如Censys、证书透明度）收集子域名、IP及服务信息。

• 优势：灵活聚焦特定目标（如仅扫描子域名或邮箱），资源消耗低。

• 局限：学习曲线较高，中文资料较少。

（3）ZoomEye：设备级暴露面分析

• 功能特点：

  • 搜索暴露的联网设备（如服务器、摄像头、工控系统），过滤条件包括协议、端口、地理位置。

  • 被动扫描应用：通过历史扫描数据（如 ssl:"Apache" country:CN）获取目标公网资产。

• 示例场景：

  • 发现某企业未加密的数据库服务（port:27017），或非洲无密码SSH服务器（port:22 auth:empty）。

• 优势：全球设备级情报，支持威胁建模。

• 局限：需付费解锁高级搜索功能。

---

3. 工具对比与协同策略

维度	Maltego	sn0int	ZoomEye
扫描范围	全面关联（域名、人员、组织）	聚焦特定目标（子域名、IP）	设备与端口级暴露面
数据源	聚合公开API与数据库	自定义模块+公开数据库	全球设备扫描数据库
使用场景	初期资产发现与关联分析	定向深度侦察	暴露资产与漏洞快速定位
被动性	完全被动	支持被动模块	完全被动（依赖历史数据）

协同策略：

1. 初期侦察：用Maltego生成目标关系图谱，识别关键域名与IP。

2. 深度聚焦：通过sn0int的被动模块（如 passive/dns-history）细化子域名与历史记录。

3. 暴露面验证：ZoomEye检索目标IP的开放服务，确认高风险端口（如 3389、445）。

---

4. 被动扫描最佳实践

• 合法合规：

  • 仅使用公开数据源，避免触碰隐私信息（如个人邮箱、内部系统）。

  • 遵守《网络安全法》及GDPR等法规，获取目标授权后再行动。

• 效率优化：

  • 结合多工具数据交叉验证（如Maltego与ZoomEye结果比对）。

  • 利用sn0int的自动化脚本批量处理重复任务。

• 防御建议：

  • 企业定期使用ZoomEye自查公网资产，关闭非必要端口。

  • 监控证书透明度日志，及时修复暴露的子域名。

---

5. 被动扫描的伦理警示

• 双刃剑效应：被动扫描技术可被用于防御（如渗透测试）或攻击（如踩点）。

• 道德边界：禁止将扫描结果用于非法用途（如数据贩卖、勒索）。