利用第三方服务对目标进行被动信息收集防止被发现

本文只用作学习研究，请勿非法使用！！！
本文只用作学习研究，请勿非法使用！！！
本文只用作学习研究，请勿非法使用！！！

被动信息收集概述：

被动信息收集概述和目的：

信息收集的方式可以分为两种：被动和主动
被动信息收集方式是指利用第三方的服务对目标进行访问了解，比如：Google搜索
主动的信息收集方式：通过直接访问、扫描网站，这种将流量流经网站的行为。比如：nmap扫描端口
被动信息收集的目的：通过公开渠道，去获得目标主机的信息，从而不与目标系统直接交互，避免留下痕迹

信息收集内容：

• 人：
  • 网站服务器的所有者、注册人、网站人员相关信息、组织架构、社交账号、子公司等人的信息
  • 公司地址
  • 公司组织架构
  • 联系电话/传真号码
  • 人员姓名/职务
• 信息：
  • IP地址段：
    • 旁站：与目标网站共用一个IP，在同一台服务器上
    • C段：同一个内网
  • 域名信息：
    • 子域
    • 注册人
    • 注册邮箱
    • 备案信息
  • 邮件地址：
    • 企业邮箱：钓鱼
  • 文档图片数据：
    • 公司垃圾桶
  • 目标系统使用的技术架构：
    • 什么系统，安装了哪些服务，开放了哪些端口，端口都是哪些版本
  • 公开的商业信息：
    • 公司相关的信息

信息用途：

• 信息描述目标
• 发现目标
• 社会工程学攻击
• 物理缺口(漏洞)

DNS域名解析原理–收集网站域名解析记录：

DNS服务概述：

DNS(Domain Name Server，域名服务器)是进行域名(domain name)和与之对应的IP地址(IP address)转换的服务器，DNS服务器分为根域DNS服务器、顶级域名DNS服务器。根域DNS服务器有13个，都存储了全部的顶级域名服务器的所在地址

DNS查询过程：

8个步骤

• 浏览器缓存：当用户通过浏览器访问某域名时，浏览器首先会在自己的缓存中查找是否有该域名对应的IP地址(若曾经访问过该域名且没有清空缓存便存在)
• 系统缓存：当浏览器缓存中无域名对应IP则会自动检查用户计算机系统Hosts文件DNS缓存是否有该域名对应IP
• 路由器缓存：当浏览器及系统缓存中均无域名对应IP则进入路由器缓存中检查，以上三步均为客户端的DNS缓存
• ISP(互联网服务提供商)DNS缓存(一般是本地DNS服务器)：当在用户客户端查找不到域名对应IP地址，则将进入ISP DNS缓存中进行查询。比如用的是电信的网络，则会进入电信的DNS缓存服务器中进行查找
• 根域名服务器：当以上均为完成，则进入根服务器进行查询。全球仅有13台根域名服务器，1个主根域名服务器，其余12个为辅根域名服务器。根域名收到请求后会查看区域文件记录，若无则将其管辖范围内顶级域名(如.com)服务器IP告诉本地DNS服务器
• 顶级域名服务器：顶级域名服务器收到请求后查看区域文件记录，若无则将其管辖范围内主域名服务器的IP地址告诉本地DNS服务器
• 主域名服务器：主域名服务器接受到请求后查询自己的缓存，如果没有则进入下一级域名服务器进行查找，并重复该步骤直至找到正确记录
• 保存结果至缓存：本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时将该结果反馈给客户端，客户端通过这个IP地址与WE服务器建立链接

DNS查询方式：

• 递归查询：
  • 主机向本地域名服务器的查询一般都是采用递归查询
  • 客户端只发一次请求，要求对方给出最终结果
• 迭代查询：本地域名服务器向根域名服务器的查询是迭代查询
  • 客户端发出一次请求，对方如果没有授权回答，他就会返回一个能解答这个查询的其他名称服务器列表，客户端会再向返回的列表中发出请求，直到找到最终负责所查域名的名称服务器，从他得到最终结果

DNS信息收集：

主要查A记录、MX记录、NS记录、SOA记录、是否存在域传送漏洞

• 将域名转换为IP地址：
  • ping 12306.cn

CDN：内容分发服务器，减轻服务器负载

• nslookup
  • 主机记录(A记录)：A记录是用于名称解析的重要记录，它将特定的主机名映射到对应主机的IP地址上。
  • 别名(CNAME记录)：CNAME记录用于将某个别名指向到某个A记录上，这样就不需要再为某个新名字另外创建一条新的A记录
  • 电子邮件交换记录（MX记录)：记录一个邮件域名对应的IP地址
  • 域名服务器记录 (NS记录)：记录该域名由哪台域名服务器解析
  • SOA：SOA叫做起始授权机构记录，主DNS服务器
  • DNS服务器分为主服务器，备份服务器，缓存服务器
  • 域传送 漏洞：由于dns配置不当，本来只有备份服务器能获得主服务器的数据，由于漏洞导致任意client都能通过“域传送”获得主服务器的数据（zone数据库信息）。
• nslookup -type=a 12306.cn -->查询主机记录
• nslookup -type=MX 12306.cn -->查询邮箱记录
• nslookup -type=ns 12306.cn -->查询域名服务器记录
  • 非权威应答(Non-authoritative answer)：不是从主DNS返回的数据
  • 权威应答：从主DNS返回的数据
• nslookup -type=soa 12306.cn -->查询主DNS服务器记录
  • primary name server：主DNS服务器 -->windows可以查出来，kali查不出来
  • 可通过主DNS服务器查询域传送漏洞
• 查询域传送漏洞：
  • nslookup
  • server [主DNS服务器] -->主DNS服务器通过"nslookup -type=soa"查询
  • ls [域名] -->如果能出来数据，代表存在域传送漏洞

DNS信息收集-DIG：

dig (选项) 需要查询的域名
@<DNS服务器地址>：指定进行域名解析的域名服务器
any：显示所有类型的域名记录，默认只显示A记录
-x：通过IP反查域名

• dig 12306.cn -->查询A记录
• dig 12306.cn mx -->查询邮件记录
• dig 12306.cn soa -->查询SOA记录
• dig axfr [主DNS服务器] [域名] -->查询是否存在域传送漏洞
• dig @114.114.114.114 12306.cn -->通过114.114.114.114DNS服务器查询A记录
• dig -x 114.114.114.114 -->通过IP反查域名，可通过ping命令进行验证

查询网站的域名注册信息和备案信息：

https://ping.chinaz.com/ -->查询域名是否做了CDN，www.baidu.com和baidu.com不是一回事

域名注册信息查询：

通过WEB接口查询：

阿里云：https://whois.aliyun.com/
站长之家：http://whois.chinaz.com/
联系人和联系邮箱可进行反查，需要查看反查的域名是否可以访问，可以访问那就需要收集域名信息

whois命令查询：

whois 12306.cn

备案信息查询：

WEB接口查询：

http://icp.chinaz.com/或者https://icp.chinaz.com/
https://icp.aizhan.com/
https://beian.miit.gov.cn/ -->通过域名查询备案号，在通过备案号查询所有信息
网站备案/许可证号：京 ICP 备 05020493 号-4 -->-4：代表企业下面有多个网站备案
12306.cn.wsglb0.com -->可以把wsglb0.com放到WEB接口中进行查询，可得到是一个CDN加速平台，之后点击企业名称，可得到企业的相关信息

天眼查/企查查：

https://www.tianyancha.com/ -->查看企业的一些信息
https://www.qcc.com/

收集子域名信息：

子域名介绍：

• 顶级域名是域名的最后一个部分，即是域名最后一点之后的字母，例如在http://example.com这个域名中，顶级域是.com(或.COM)，大小写视为相同
• 常见的顶级域主要分两类：
  • 通用顶级类别域名常见的：
    • .com：工商金融企业
    • .edu：教育机构
    • .gov：政府部门
    • .net：互联网络信息中心和运行中心
    • .org：非盈利组织
  • 国家及地区顶级域：
    • .cn：中国
    • .uk：英国
    • .jp：？
    • 地理顶级域名一般由各个国家或地区负责管理
• 子域名(Subdomain Name)：凡顶级域名前加前缀的都是该顶级域名的子域名，而子域名根据技术的多少分为二级子域名、三级子域名以及多级子域名
  • 一个点是一级域名，几个点就是几级域名

挖掘子域名的重要性：

• 子域名是某个主域的二级域名或者多级域名，在防御措施严密情况下无法直接拿下主域，那么就可以采用迂回战术拿下子域名，然后无限靠近主域。
• 例如：www.xxxxx.com 主域不存在漏洞，并且防护措施严密。而二级域名 edu.xxxxx.com 存 在漏洞，并且防护措施松散。
  • C段：同一个内网
  • 旁站：同一台服务器

子域名挖掘方法：

• 搜索引擎挖掘 如： 在 Google 中输入 site:qq.com
• 第三方网站查询：http://tool.chinaz.com/subdomain、https://dnsdumpster.com/
• 证书透明度公开日志枚举：https://crt.sh/
• 其他途径：https://phpinfo.me/domain
• 子域名挖掘工具 ：Layer 子域名挖掘机。
• 去做：挖掘之后如果
  • 需要验证域名是否有效(是否可以正常访问)–>整理成文档
  • 如果存在不同域名对应相同IP，说明可能在同一个服务器
  • 是否存在CDN(一般二级域名很少做CDN)

使用Layer子域名挖掘机收集域名信息：

Layer子域名挖掘机是一款域名查询工具，可提供网站子域名查询服务。拥有简洁的界面、简单的操作模式，支持服务接口、暴力搜索、同服挖掘三种模式，支持打开网站、复制域名、复制IP、复制CDN、导出域名、导出IP、导出域名+IP、导出域名+IP+WEB服务器以及导出存活网址


直接解压运行即可，如果报错(.NET Framework)，需要安装上面的dotNetFx40_Full_x86_x64.exe，安装完成后再次点击Layer.exe即可
如果要使用自定义字典，需要把字典文件命名为dic.txt，放到程序同目录下，程序会自动加载字典
默认字典总共175万多条数据，包含了常用的子域名以及3000+常用单词和1-3位所有字母
爆破子域名时，程序会自动拼接
右键–单击某个域名可以打开网站、复制域名、复制IP、复制所选项、导出域名、导出全部

使用资产检索FOFA搜索引擎收集信息：

FOFA介绍：

FOFA是一款非常强大的搜索引擎，FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎，拥有全球联网IT设备更全的DNA信息。搜索全球互联网的资产信息，进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是更加本土化，拥有更多的域名数据，建立了全球最大的资产规则集，而且现在已经更新了识别蜜罐的功能

FOFA基础语法：

搜索出来之后需要自己去验证
如果搜索出来直接显示IP地址，那有可能是真实IP
官网：https://fofa.info/

• title=“beijing” -->从标题中搜索"beijing"
• body=“北京” -->通过页面中包含的特殊字符串(头部信息)来搜索资产
• domain=“baidu.com” -->子域名收集
• country=“CN” -->搜索指定国家(编码)的资产
• region=“xinjiang” -->搜索指定行政区的资产
• city=“beijing” -->搜索指定城市的资产
• host=“.edu.cn” -->搜索edu资产
• port=“3389” -->搜索3389端口的资产
• 排除搜索：
  • domain=“baidu.com” && region!=“HK” -->查询不包含香港的子域名服务器资产
  • !=：排除
  • &&：两个条件都需要满足
  • ||：只要满足一个条件就可以
• 组合查询：
  • (domain=“baidu.com” && region!=“HK”) && body=“WELCOME” -->搜索 baidu.com 域名排除香港的资产列表，并且 body 中包含 WELCOME的资产
• 通过JavaScript文件查询：
  • 右键–>源代码，找到src=
  • js_name=“./script/core/lib/require.js”
  • body=“./script/core/lib/require.js” -->比js_name更加友好，搜出来的内容较多
• 利用规则列表进行搜索：

• cms -->直接搜索cms，会自动调用FOFA语法
  • app=“友点建站-CMS”
• nginx：
  • header=“nginx 1.6.2”
• discuz：
  • app=“Tencent-Discuz”
  • app=“Tencent-Discuz” && body=“Discuz! X3.4” -->搜索 Discuz! x3.4 版本
    • 右键–>源代码，可以看到对应的版本信息
    • 一般版本号都在body和header中
  • app=“Tencent-Discuz” && body=“Discuz! X3.4”&& region=“TW” -->搜索中国台湾地区所有的 Discuz! X3.4 论坛

• 查看网络摄像头：

ARL资产侦察灯塔系统搭建及使用：

资产侦察灯塔系统简介：

ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔旨在快速发现并整理企业外网资产并为资产构建基础数据库，无需登录凭证或特殊访问即可主动发现并识别资产，让甲方安全团队或者渗透测试人员快速寻到指定企业资产中的脆弱点，降低资产被威胁利用的可能性并规避可能带来的不利影响

资产梳理的路径会根据输入的数据进行变动与调整，如输入数据为基于域名时，采用的技术手段包括DNS枚举、智能域名生成枚举、第三方API服务来获取子域名(FOFA需要会员)，随后将域名解析为IP(当输入数据基于IP时，可直接进入后续阶段)，即是对IP进行端口扫描、服务识别、系统识别、站点识别和WEB指纹识别，同时爬取站点URL，并对首页进行截图，完成资产发现
当通过域名或是IP识别出对应的安全应用后，便可将其与鱼鹰(Osprey)POC漏洞检测框架、通用漏洞扫描(CRS)、漏洞预警系统(AVS)和漏洞盒子相关联，快速准确识别资产威胁，降低资产风险

资产侦察灯塔系统搭建：

系统要求：

目前暂不支持 Windows，Linux 和 MAC 建议采用 Docker 运行，系统配置最低 2 核 4G。由于自动资产发现过程中会有大量的的发包，建议采用云服务器可以带来更好的体验
实现环境：centos7.6

资产侦察灯塔系统搭建：

yum install -y yum-utils device-mapper-persistent-data lvm2		-->安装docker环境依赖
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo		-->配置国内docker的yum源(阿里云)
yum -y install epel-release		-->安装epel扩展仓库
yum install docker-ce docker-ce-cli containerd.io docker-compose -y		-->安装docker-ce和docker-compose
	docker-ce-cli 作用是 docker 命令行工具包
	containerd.io 作用是容器接口相关包
	Compose 是用于定义和运行多容器 Docker 应用程序的工具。通过 Compose，您可以使用YML 文件来配置应用程序需要的所有服务。然后，使用一个命令，就可以从 YML 文件配置中创建并启动所有服务
systemctl start docker && systemctl enable docker		-->启动docker并设置开机自启动
docker version		-->显示docker版本信息(可以正常查看 docker 版本信息，说明 docker 部署没有问题)

使用阿里云 docker 镜像加速器，提升 pull 的速度：
vim /etc/docker/daemon.json		-->手动创建
{
"registry-mirrors":["https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hub-mirror.c.163.com"]
}
上面为写入的内容

systemctl daemon-reload
systemctl restart docker
docker info		-->Registry Mirrors下面的内容显示为阿里云

资产侦察灯塔系统部署：
docker pull tophant/arl		-->拉取镜像
git clone https://github.com/TophantTechnology/ARL
如果git失败，执行：
	git config --global http.https://github.com.proxy socks5://127.0.0.1:1080	-->只对github.com使用代理,其他仓库不走代理
	git config --global --unset http.https://github.com.proxy	-->取消github代理
cd ARL/docker/
docker-compose up -d
	如果报错执行：docker volume create --name=arl_db
	执行完成之后再次运行：docker-compose up -d
docker-compose ps		-->是否有相关进程
打开谷歌浏览器，访问：https://192.168.137.11:5003/ 注：如果打不开，把防火墙关一下
使用默认账号：admin，密码：arlpass 登录

资产侦察灯塔系统使用：

资产分组：

• 资产分组功能用于整合资产范围内的域名资产到资产组中，用户也可以对资产组范围内的资产进行监控，实时监控新增资产。
• 新建资产组：
  • 可以通过批量导入的方式将资产范围内的域名资产添加到资产组中，一个资产组中可以包含多个域名信息。
  • IP类别：选择域名
  • IP名称：随意
  • 资产范围：收集到的域名信息
    • 可添加与删除
• 添加监控任务：
  • 通过指定资产组，和添加监控任务操作，可以下发域名资产的监控任务到 ARL 中，后台将会根据运行间隔对监控任务内的资产进行扫描，用于发现监控新增的资产。
  • 范围：可设置单个，也可全选
  • 可设置运行的时间间隔，建议不能小于6小时
  • 策略先不选择，后期我们需要自己定制策略
  • 添加成功后，点击资产监控可以查看到所有的监控任务
• 通过资产分组中的添加监控任务之后，资产监控中将会展示正在运行的监控任务，运行的次数，运行间隔等信息，用户也可以通过资产组范围 ID 来检索监控范围内的相关资产内容。
• 在任务关联中也会添加监控任务：
  • 配置项使用的是：域名爆破 端口扫描, RiskIQ 调用, ARL 历史查询, crt.sh 调用
  • 任务运行完成之后，点击任务名称，可以查看监控任务的扫描结果
• 添加站点监控任务：
  • 站点监控功能会将资产分组中的站点标题变化等进行比较，如果有新的变化将会在任务结果中展现，配置了邮箱将会进行消息推送。 在资产分组中点击 添加站点监控任务 按钮可添加任务，如果要删除停止操作可以在资产监控模块进行管理。

策略配置：

• 通过创建不同的策略，可以对资产进行不同方案的扫描，可以针对不同类型的资产，根据资产的功能创建指定的策略。
• 创建策略前，先查看下 PoC 信息，看是否有信息，如果没有的话请点击更新，将会加载系统默认PoC 信息。
• PoC 概述： Proof Of Concept 的缩写。在渗透圈指：观点验证程序。就是运行这个程序就可以得出预期的结果，也就验证了观点。
• 点击更新PoC信息之后，会显示出增加的内容
• 设置策略名称(可随意)：子域名收集，策略描述：对目标网站进行子域名收集：
  • 域名和IP配置：
    • 域名爆破类型：选择对域名爆破的字典：
      • 大字典：常用2万字典大小
      • 测试：少数几个字典，常用于测试功能是否正常
    • 端口扫描类型：
      • 测试：少数几个端口
      • TOP1000：常用top 1000端口
      • TOP100：常用top 100端口
      • 全端口：所有端口 1-65535
      • 自定义：自定义要扫描的端口，多个端口之后用逗号隔开，如：21,22
    • 域名爆破：是否开启域名爆破
    • DNS字典智能生成：根据已有的域名生成字典进行爆破
    • ARL历史查询：对ARL历史任务结果进行查询用于本次任务
    • 域名查询插件：支持的数据源为 11 个，alienvault，certspotter，crtsh，fofa，hunter，passivetotal，quake，rapiddns，securitytrails，threatminer，virustotal
    • 端口扫描：是否开启端口扫描，不开启站点会默认探测80,443
    • 服务识别：是否进行服务识别，有可能会被防火墙拦截导致结果为空
    • 操作系统识别：是否进行操作系统识别，有可能会被防火墙拦截导致结果为空
    • SSL 证书获取：对端口进行 SSL 证书获取
    • 跳过 CDN：对判定为 CDN 的 IP, 将不会扫描端口，并认为 80,443 是端口是开放的
    • 服务(python)识别：使用 python 脚本进行服务识别
  • IP高级配置：
    • 对主机超时时间，扫描速率进行配置
    • 探测报文并行度：不能太大，数值越大，发送数据包速度越快
  • 站点和风险配置：
    • 站点识别：对站点进行指纹识别
    • 搜索引擎调用：利用搜索引擎结果爬取对应的 URL
    • 站点爬虫：利用静态爬虫对站点进行爬取对应的 URL
    • 站点截图：对站点首页进行截图
    • 文件泄露：对站点进行文件泄露检测，会被 WAF 拦截
    • nuclei 调用：调用 nuclei 默认 PoC 对站点进行检测，会被 WAF 拦截，请谨慎使用该功能
  • PoC配置：
    • 如果目标存在 PoC 列表中的应用，可以使用其中的 PoC 验证目标的应用是否存在此漏洞。
  • 弱口令爆破设置：
    • 在运行过程中会进行端口扫描，服务识别，然后根据匹配的协议进行弱口令爆破。
  • 资产组配置：
    • 可以关联资产组，当通过该策略下发任务时任务结果会自动同步到对应的资产中。
    • 不关联的情况下，所有分组都可以使用此策略，如果管理，只有此分组可以使用
  • 全部设置完成之后，点击确定按钮，之后在策略配置列表就可以看到新增加的策略
  • 点击策略序号左侧的 + 可以查看该策略的配置项
  • 任务下发后会对资产进行扫描和探测：
    • 任务类型：
      • 资产侦查任务：目标支持 IP、IP 段和域名，对资产进行端口识别、服务识别、系统识别等。
      • 风险巡航任务：目标需要输入确定的地址（IP 或域名），对资产进行风险扫描。
    • 任务下发成功后，可以到任务管理中查看
    • 等待任务执行完成，点击任务名或 Task_id 就可以查看结果了。
  • FOFA任务下发：
    • 通过关联指定策略对 FOFA 接口检索到的资产进行探测。
    • 由于查询 API 条数限制，仅支持高级会员。需要先在/root/ARL/docker/config-docker.yaml 里配置 FOFA 的邮箱和 API KEY，重启容器生效。
    • 查看 FOFA 的 API KEY：个人中心–>API KEY
    • 设置FOFA参数：
      • vim /root/ARL/docker/config-docker.yaml
      • 修改20、21行
    • 保存退出，重启容器：
      • docker-compose restart
    • 任务管理–FOFA任务下发：
      • 任务名称：随意
      • 查询语句：domain=“baidu.com”
        • FOFA的语句
        • 可先点击右边的测试进行测试
        • 关联策略：对检索到的资产进行探测
      • 下发之后可在任务管理列表中看到下发的任务
  • 指纹管理：
    • 只支持 body, title, header, icon_hash 四个字段，仅仅可以使用逻辑或，如 body=“Powered by WordPress”，一条规则可以使用多个字段，每个字段只有或的关系，命中了一个表示规则匹配
    • 指纹添加后需要重启任务
    • 规则：
      • header=“PbootCMS” -->搜索CMS相关指纹
  • 计划任务：
    • 可以在计划任务模块中添加定时任务和周期任务
    • 定时选择指定的时间运行，期间只运行一次。
    • 周期任务采用 Cron 表达式，系统限制了最少间隔 6 小时，如每天的 2 点 10 分触发任务下发（这里不保证任务立即运行，如果队列中有任务将会排队。） 在计划类型中选择周期任务，在 Cron 中填入 10 2 * * *， 点击确定进行提交，通过比对下一次运行时间来看 Cron 表达式是否和预期的一样。
    • 如果对 Cron 表达式不熟悉，可以通过网站：https://tool.lu/crontab/ 学习下。
    • 每隔12小时执行一次：
      • Cron：0 _/12 _ * *
      • 添加完成后，在计划任务列表查看
  • Github管理和监控：
    • 通过 GitHub 接口在 GitHub 搜索指定关键词的仓库，比如搜索和某个漏洞相关的 EXP 或 POC。
    • 使用这个功能需要先在 /root/ARL/docker/config-docker.yaml 中配置 GitHub Token。
    • 登录 GitHub , 访问 https://github.com/settings/tokens 点击 Generate new token 按钮，过期时间可以选择 No expiration, 这里只是用来搜索，权限可以不勾选。
    • 获取 GitHub Token，访问：https://github.com/settings/tokens
      • Personal access tokens–>Generate new token(classic)
      • Note：随意
      • Expiration：随意
      • 点击Generate token
      • 之后复制Token
    • 配置Github Token：
      • vim /root/ARL/docker/config-docker.yaml
      • 将Token粘贴到74行双引号中
      • 之后重启容器：docker-compose restart
    • Github管理：
      • 添加 GitHub 任务，搜索 Spring Framework 远程命令执行漏洞（CVE-2022-22965）的 EXP 或POC。
        • 任务名：Spring Framework 远程命令执行漏洞
        • 关键词：CVE-2022-22965
      • 添加完成后，会在Github任务管理列表中显示
      • 任务执行完成后，点击任务名，可以查看搜索到的结果
    • Github监控：
      • 可以添加周期任务对指定的关键词进行监控搜索。
      • 监控漏洞 CVE-2022-22965，每隔 6 小时搜索一次。
      • 注意：监控任务时间间隔不能小于 6 小时。
      • 添加任务：
        • 任务名：监控 CVE-2022-22965
        • 关键词：CVE-2022-22965
        • cron表达式：0 _/6 _ * *
      • 添加完成后，可在GitHub监控管理列表中显示
  • 代理设置：
    • 可以配置代理，只支持 HTTP 代理，基于代理对目标进行探测，隐藏自己真实的 IP 地址，但是端口扫描不会走代理。
    • vim /root/ARL/docker/config-docker.yaml
    • 修改第78行：HTTP_URL: “http://代理 IP:代理端口 PORT”
    • docker-compose restart
    • 免费的代理地址：https://www.kuaidaili.com/free/inha/
    • 使用代理进行探测时，是不能够探测内网目标的，除非目标在公网也能够正常访问。
    • 也可以使用v2rayN作为代理：
      • 参数设置–>v2rayN设置–>勾选–允许来自局域网的连接
      • v2ray的代理端口有两个：HTTP端口和SOCKS5端口
      • 这里只能使用HTTP端口
        • vim /root/ARL/docker/config-docker.yaml
        • 第78行配置：HTTP_URL: “http://v2ray客户端机器IP:10810”
        • docker-compose restart
    • 之后测试使用代理进行探测，重启探测任务
    • 探测完毕后，点击任务名称可查看结果

资产侦察灯塔系统升级：

git下载更新：
cd /root/ARL
git pull	
压缩包下载的话使用此命令更新：
cd /root/ARL/docker
docker-compose pull
docker-compose up -d

资产侦察灯塔系统忘记密码重置：

docker exec -ti arl_mongodb mongo -u admin -p admin
use arl
db.user.drop()
db.user.insert({ username: 'admin', password: hex_md5('arlsalt!@#'+'admin123') })
exit
之后使用admin/admin123 登录即可

Google搜索引擎使用技巧：

• 谷歌黑客数据库：https://www.exploit-db.com/google-hacking-database

• 也可使用必应搜索引擎：

  • www.bing.com

• 使用搜索引擎的目的：

  • 寻找存在漏洞的页面，或者存在敏感信息的文件
  • 不要下载什么文件都直接打开，一定要开启杀毒软件，原因是黑客会利用我们这种行为，伪造一个包含信息的页面，我们打开页面后下载的文件就有可能是包含病毒的文件。

• site：指定域名

  • site:qq.com
  • apache site:cnvd.org.cn -->查找cnvd.org.cn中有关apache的漏洞文章

• inurl：URL中存在的关键字页面

  • inurl:admin.php -->查找后台登录页面
  • inurl:admin_login.asp -->查找后台登录页面
  • inurl:login.php
  • inurl:login.asp
  • inurl:login.html
  • inurl:manage/manage.php
  • inurl:manage/login.php
  • inurl:qq.txt -->QQ账号密码
  • inurl:.php?news_id= site:qq.com
  • inurl:php?id=1

• intext：网页内容里面的关键字

• Filetype：指定文件类型

  • “Kali filetype:torrent” -->搜索kali相关的种子文件
    • Kali：搜索的关键字
    • filetype：指定文件类型
    • torrent：文件类型名称，torrent是种子文件，可以填写任意扩展名
  • filetype:php -->搜索PHP开发的页面
  • filetype:pdf 渗透测试
  • 老师 filetype:torrent -->搜索老师相关的种子文件(工具：需要关闭安全搜索、语言改为英语)

• intitle：网页标题中的关键字

  • intitle：后台登录
  • intitle:index.of -->搜索所有目录开放的站点
    • intitle：标题
    • index.of：包含index.of字段，出现该字段表示网站目录是对我们开放的，我们可以查看到网站目录下的所有文件信息。
  • intitle:index.of .bash_history
    • .bash_history 表示我们要筛选的文件名称，也可以替换成其他的敏感信息文件，该文件记录了用户的历史命令记录
  • intitle:index.of my.cnf -->查找MySQL的配置文件my.cnf
  • intitle:index.of config_global.php -->查找 discuz 论坛中存储 mysql 密码的配置文件 config_global.php

• link：返回你所有的指定域名链接

• info：查找指定站点信息

• cache：搜索Google里的内容缓存(cache 返回的结果是被搜索引擎收录时的页面，比如一些页面被删除了，我们通过 cache 还是可以访问。)

  • cache:12306.cn

• 组合技巧：

  • intext:user.sql intitle:index.of
    • intext:user.sql：查询包含user.sql用户数据库信息的页面
    • intitle:index.of：表示网站目录是开放状态
  • site:gov.* intitle:“index.of” *.csv -->查看所有政府网站中可以直接显示目录，并显示的目录中有 csv 文件的链接。
  • s3 site:amazonaws.com filetype:xls password
    • s3 关键字，亚马逊的一种服务器类型。
    • site:amazonaws.com 目标是亚马逊云平台。
    • filetype:xls password 文件类型 xls 包含密码的文件。
  • dell filetype:xls password

利用漏洞库查询漏洞信息：

常见最新漏洞公布网站：

• 美国著名安全公司 Offensive Security 的漏洞库 http://www.exploit-db.com [比较及时]
• 赛门铁克的漏洞库 http://www.securityfocus.com （国际权威漏洞库）
• 国家信息安全漏洞共享平台 http://www.cnvd.org.cn/
• 国内安全厂商——绿盟科技 http://www.nsfocus.net
• 俄罗斯知名安全实验室 https://www.securitylab.ru/vulnerability/
• CVE 常见漏洞和披露 http://cve.mitre.org
• 安全客 https://www.anquanke.com/
• 美国国家信息安全漏洞库 https://nvd.nist.gov/
• 知道创宇漏洞库 https://www.seebug.org/

SearchSploit漏洞搜索使用技巧：

SearchSploit 是一个用于搜索 Exploit-DB 漏洞数据的命令行工具，它可以允许你离线 Exploit 数据库，这样你就可以在本地执行离线搜索，这对于有时候不能联网的渗透工作非常的有用。
exploit-db 官网地址：http://www.exploit-db.com
Kali自带SearchSploit

Searchsploit 参数说明：
-c, --case [Term] 执行区分大小写的搜索，缺省是对大小写不敏感。
-e, --exact [Term] 对漏洞标题执行精确的顺序匹配（默认为每个关键词的 AND 匹配）
-s, --strict 执行严格的搜索，因此输入值必须存在，从而禁用版本范围的模糊搜索
-h, --help 在屏幕上显示帮助
-j, --json [Term] 以 JSON 格式显示结果
-m, --mirror [EDB-ID] 将一个漏洞利用镜像-（副本）到当前工作目录，后面跟漏洞 ID 号
-o, --overflow [Term] Exploit 标题被允许溢出其列
-p, --path [EDB-ID] 显示漏洞利用的完整路径(如果可能，还将路径复制到剪贴板)后面跟漏洞 ID 号
-t, --title [Term] 仅仅搜索漏洞标题（默认是标题和文件的路径）
--exclude="term" 从结果中删除值。通过使用 "|" 分隔多个值，例如--exclude="term1 | term2 | term3"。
-u, --update 检查并安装任何 exploitdb 软件包更新（deb 或 git）
-w, --www [Term] 显示 Exploit-DB.com 的 URL 而不是本地路径（在线搜索）
-x, --examine [EDB-ID] 使用$PAGER 检查（副本）漏洞利用
--colour 在搜索结果中禁用颜色突出显示.
--id 显示 EDB-ID 值而不是本地路径
--nmap 使用服务版本检查 Nmap XML 输出中的所有结果（例如：nmap -sV -oX file.xml）。
-v 显示更多的信息

SearchSploit 使用 AND 运算符，而不是 OR 运算符。使用的关键词越多，滤除的结果越多，越精准。
实战：
searchsploit -u		-->更新漏洞库
searchsploit -t windows 10		-->在标题中搜索win10相关漏洞
  	#-t：仅搜索漏洞标题中带有win10的漏洞，如果不加-t，searchsploit 将检查该漏洞利用的标题以及该路径。根据搜索条件，这可能会导致误报(特别是在搜索与平台和版本号匹配的关键词时)
searchsploit -e windows 10		-->在标题中按照关键词顺序精确搜索win10相关漏洞(更精准)

说明：
Exploit Title：漏洞相关 EXP 的标题
Path：EXP 所在的路径，路径中最后的数字是 EDB-ID 值，可以通过 EDB-ID 值查看 EXP 的完整路径。

searchsploit -p 41705		-->查看EDB-ID 为41705的完整路径(EDB-ID为 searchsploit 命令查询出来的)
searchsploit windows 10 smb		-->搜索 windows 10 smb 相关的漏洞
searchsploit windows 10 smb --exclude="2008"	-->搜索 windows 10 smb 相关的漏洞并排除2008关键字
searchsploit smb windows remote | grep py		-->只查看python的EXP(win smb远程漏洞)
搜索织梦 CMS 系统 5.7 版本漏洞的 EXP，并将 EXP 复制到当前目录：
	searchsploit dedecms 5.7		-->EXP 的ID为：37423
	searchsploit -m 37423			-->将 EXP 复制到当前目录

searchsploit dedecms SQL injection -w		-->在线搜索织梦 CMS 相关的 SQL 注入漏洞

微信公众号：一个努力的学渣！！！