攻防视角下的信息收集组合拳-蓝队视角

背景

红蓝对抗中，最为重要的就是信息收集，无论是红队还是蓝队，信息收集尤为重要，本文从蓝队两个角度出发。

最近工作强度比较大，时间有限，所以写的时候比较注重讲述一些技巧，能更快更高效的收集到有效信息，对于常规信息收集手法，不做过多描述，文章中若出现较为难懂的地方，可以私信讲解，同时欢迎大佬指正！

本文所有工具包，可关注公众号（猫鼠信安），回复关键字：5693 获取

蓝队角度

蓝队相对红队要被动一些，个人认为主要分为两点：
1、被攻击前的信息收集
2、被攻击后的信息手机

接下来老哥我主要从这两点，给大家分享一下自己对这两点的理解和一些信息收集的技巧，只求一波关注

一、攻击前的信息收集

1、企业资产梳理

无论是哪家单位，hw前期都离不开资产梳理，第一次接触的小伙伴肯定会很头疼，不知道该怎么下手

其实和渗透测试一样，但是企业资产梳理分为外网和内网

外围梳理方法：
（1）备案查询
（2）fofa搜集
（3）子域名扫描
（4）微信公众号、小程序、支付宝小程序等

这四点，和上篇文章方法差不多，最后一个微信公众号和小程序就直接去搜索就好了
内网梳理方法：
（1）Goby扫描
直接使用Goby对整个内网所有C段和B段进行扫描，导出一份结果，可以直接当作资产梳理的结果进行看

可以自己导入一些poc，增加功能

2、企业敏感文件清理

这个主要是针对外网

梳理技巧：
（1）凌风云网盘排查
（2）github、码云排查
（3）fofa排查
（4）谷歌语法排查
这四点和红队视角下的差不多，同样可以参考上篇文章

二、被攻击后的信息收集

这一个又分为入侵成功后入侵失败

1、入侵成功信息收集技巧

这点就是应急响应的中对主机的信息收集了

很多人对于命令不是很熟悉，这个时候自动化信息收集工具就很重要了，推荐下面工具

（1）windows主机信息收集技巧
安恒日志收集工具

火麒麟自动化信息收集工具

（2）Linux主机信息收集技巧

LinuxCheck

LinEnum

2、入侵失败信息收集技巧-锁定攻击IP反制技巧

反制主机首先需要知道入侵Ip，一般情况攻击队入侵的时候会使用很多肉鸡，一般肉鸡都是非常容易反制攻击进去的，都会存在一些较为明显的漏洞，大家直接对攻击Ip进行一次漏洞扫描，可以轻易发现漏洞

（1）威胁情报平台
各大公司都有威胁情报平台可以直接查找

https://ti.qianxin.com/
https://ti.dbappsecurity.com.cn/
https://x.threatbook.com/

（2）ip反查域名

可以通过站长之家等工具进行反差域名，利用域名去查注册人信息，奇安信的威胁情报平台可以一直去反查，下去，若是遇到没有头绪，可以找个好基友借一下账号，有时候能收获不小

（3）蜜罐

很多经典反制案例，都离不开蜜罐，蜜罐获取的信息是重中之重，一定要多去关注蜜罐有没有捕获攻击者信息

（4）社工库查询
免费社工库
每一个都是好东西，部分网站需要翻墙，建议访问进去看看，根据自己的需求使用

图书馆-时光机						  https://archive.org
marketvisual 搜索公司、姓名、电话	  http://www.marketvisual.com
tineye(图片搜索引擎)				  https://www.tineye.com
checkusernames（检查用户名注册）	  https://checkusernames.com
hunter 邮箱泄露					  https://hunter.io
邮箱反 LinkedIn账号 				  https://osint.support
邮箱反 facebook账号				  https://osint.support
查询ssl网站					   	  crt.sh: http://scrt.sh	|	censys: https://censys.io