DNS字典爆破

什么是字典爆破呢？

就是用大量的数据去一个一个尝试出正确的数据或你想得到的数据。

密码字典里存放的是密码，

而DNS字典里存放的是大量的域名记录: bbs. www. mail. 数十乃至数万个。

我们用这个字典去进行DNS查询，

如果有，那么服务器就会返回其域里的这台主机记录。

当你的字典足够大，我们就可以获取目标域的所有主机记录。

Kali虽然内置了多条爆破指令，却没有内置字典，所以需要你自己生成或收集。

命令：

dnsrecon

这个命令速度非常快，并且支持超时时间

dnsrecon -d 目标域名 [-n 域名服务器] [--lifetime 超时秒数] [--threads 线程数] [-t brt|std] [-D 字典文件] 

dnsrecon -d baidu.com -t brt --threads 32 --lifetime 5 -D /usr/share/dnsrecon/namelist.txt;

[*] Performing General Enumeration of Domain: baidu.com
[*] Checking for Zone Transfer for baidu.com name servers
[*] Resolving SOA Record
[+]      SOA dns.baidu.com 202.108.22.220
[*] Resolving NS Records
[*] NS Servers found:
[*]     NS dns.baidu.com 202.108.22.220
[*]     NS ns4.baidu.com 220.181.38.10
[*]     NS ns7.baidu.com 180.76.76.92
[*]     NS ns3.baidu.com 220.181.37.10
[*]     NS ns2.baidu.com 61.135.165.235
[*] Removing any duplicate NS server IP Addresses
.........

被动信息收集主要是通过间接的方式，从搜索目标主机、网站在网上相应的注册信息等来获取相应的信息，具体的方法有很多，下面就记录几种。

nslookup：

set type=< a | cn | mx | ns | ptr | any >

type可用q等直接替代

server参数改变域名服务器

另查看本机域名服务器：cat /etc/resolv.conf

nslookup -q=any <域名> <域名服务器>（可用直接指明使用指定的域名服务器）

dig：

dig <域名> any @<域名服务器>

+noall +answer显示最终的查询结果

-x参数，反向域名查询

可以查询DNS服务器的bind版本，为了查询该服务器的漏洞：

dig +noall +answer txt chaos VERSION.BIND @<域名>

bind对应的类是chaos类，对应的记录类型是txt，

DNS追踪（对域名进行迭代查询）：

dig +trace 域名

DNS区域传输：

host -T -l 1.com ns1.1.com

-T显示时间，-l参数进行axfr的全局传输

dig @ns1.1.com 1.com axfr

DNS字典爆破：

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt

查看fierce命令的文件包生成的文件，并在其中找到相应的字典文件：

dpkg -L fierce

dnsdict6 -d4 -t 16 -x sina.com

-t指定线程数、默认为8，-x指定使用xl（加大）级别的字典，-d显示IPv6的地址，-4显示IPv4的地址

DNS注册信息：

whois命令：

whois baidu.com

DNS信息收集--DIG

例：nslookup sina.com -type=any 8.8.8.8

例：dig sina.com any @ 8.8.8.8

不同的DNS服务器的查询结果不同

例：dig mail.163.com any

+noall 屏蔽所有结果

+answer 显示查询结果

例：dig +noall +answer mail.163.com any | awk {'print $5'}

-x 参数实现反向查询

dig +trace 域名

DIG:

   dig +域名+any/vsf/ns @DNS服务器

   dig + noall +answer -x 8.8.8.8 //反向查询

bind版本信息：

  dig +noall +answer txt chaos version.bind @dns服务器

NSLOOKUP:

  sever + dns服务器地址 //指定dns解析

  set q = any                //所有类型

nclookup ： 解析DNS的详细过程

被动收集资料方式（分类）:

域名、邮箱、人员、地址：【kali系统下使用】

1. nslookup,dig,whois

2. fierce

3. Dnsercon

搜索引擎：

1. shodan

2. google

专属密码字典：【kali系统下使用】

Cupp

·DNS查询

  Google

  baidu

  bing

  Yahoo

  Brute tarce
解析IP地址（查询数据库）
联系人
报告
API               

例：
搜索新浪相关的主机记录

> search google
> show options
> show info
 > set SOURCE sina.com    //指定源为sina.com
> run

> search baidu   
> use recon/domains-hosts/baidu_site
> show options
> run

> show hosts  //查看记录生成的host表
> query select * from hosts  //也可查询
> query select * from hosts where host like '%www%'

> search brut  //爆破主机模块
> use recon/domains-hosts/brute_hosts
> show options
> set SOURSE sinsa
> run

> query select * from hosts where host like '%sina.com.cn%'

> search res    //resolve模块
需要指定域名解析ip地址
> set SOURSE query select  host from hosts where host like  '%sina.com.cn%'
> run
> show hosts

查看有哪些报告模块
> search report
> use reporting/html
> show options
> set CREATOR Fanghong.yuan
> set CUSTOMER SINA.COM
> set  FILENAME  /root/Desktop/sina.html
> show options
> run
> search contac    //联系人
 

具体命令使用

终端recon-ng
进入框架 
add         //添加记录到数据库
back        //回到根框架
delete      //从数据库中删除记录
exit        //退出框架
help       //帮助菜单
keys      //设置针对网站的API的key密钥
load      //加载指定的模块
pdb        //调用Python的debug调试
query     //查询数据库 跟查询语句
record      //记录命令到文件  可以-r调用
reload      //重新加载所有模块
resource      //从文件执行命令
search          //搜索可用的模块
set              //设置模块选项
shell          //执行shell命令
show         //显示当前框架各种信息
snapshots     //快照
spool         //输出到一个文件
unset         //设置附件模块选择
use             //使用指定加载模块
workspaces     //工作区管理

-w  设置不同的工作区
-r   直接读取保存的命令
--no check  不检查升级直接使用

-- no analytics  不检查报告模块

例：recom-ng -w sina.com

keys add -- shodan_api -- 粘贴apikey
keys list  //列出api
keys delete shodan_api  //删掉api

show options
设置代理
set proxy  127.0.0.1：8087

user-agent  特征字符串 可伪装别的浏览器特有useragent
可以通过抓包发现

set user-agent "xxxxxxxxxx"

show-schema 一个框架
显示recon-ng里的数据 表 
有哪些字段

snapshot-创建快照

RECON-NG

全特性的web侦查框架，和msf web渗透框架命令格式一致

能将搜到的信息模块化，存储，查询

Exif图片信息中存储了许多信息，如GPS信息

exiftool w.jpg 分析某张图的数据，右键图片点击属性也可以考到相关信息

传到网上的有些图片的GPS信息会被过滤掉

Foca

其他途径

• 社交网络

• 工商注册

• 新闻组 / 论坛

• 招聘网站

• http://www.archive.org/web/web.php    //网页历史快照

个人专属的密码字典

• 按个人信息生成其专属的密码字典

• CUPP——Common User Password Profiler

 ·git clone https://github.com/Mebus/cupp.git

 ·python cupp.py -i

世界第四大搜索引擎——俄罗斯

https://www.yandex.com/

用户信息

• 邮件

• theharvester -d sina.com -l 300 -b google

• 文件

• metagoofil -d microsoft.com -t pdf -l 200 -o test -f 1.html

proxychains theharvester   //使用proxychains进行代理

注：搜索引擎有各自的保护机制 当搜索量过于大的时候回终端你的搜索请求

tmux ——复用终端窗口的工具

SHODAN 不爬页面 只爬互联网上的设备

爬Banner信息 ：http ftp ssh telnet

• 常见filter：

• net （192.168.20.1）

• city • country（CN、US）

• port（80、21、22、23）

• os

• Hostname（主机或域名）

DNS注册信息

·whois

·whois -h whois.apnic.net 192.0.43.10

DNS信息收集——DIG

渗透测试中可以尝试多用几个DNS服务器来进行域名查询                                          //不同地区查询DNS服务器的结果可能不同

dig +noall +answer mail.163.com any 8.8.8.8 | awk'{print $5}'

·反向查询

dig -x ip             //反向查询记录 PTR记录

dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com  //查DNS服务器的BIND版本从而进行漏洞利用

·DNS追踪：dig +trace example.com

  ·抓包⽐较递归查询、迭代查询过程的区别

FQDN（完全限定域名）： 如www.sina.com

域名记录：A,C name,NS ,MX,ptr

A（主机记录）, C name（别名记录） .NS（域名服务器记录）MX（邮件交换记录 指向域的smtp地址）等记录是将主机名解析成另外一个主机名或者IP地址

ptr:反向域名解析 通过IP地址反向解析域名

DNS信息收集——NSLOOKUP

set type =a   //查A记录

被动信息收集

·公开渠道可获得的信息

·与目标系统不产生直接交互

·尽量避免留下一切痕迹

·信息收集内容

1、IP地址

2、域名信息

3、邮件地址

4、文档图片数据

5、公司地址

6、公司组织架构

7、联系电话

8、传真人员姓名/职务

9、目标系统使用的技术构架

10，公开的商业信息

信息用途

1、用信息描述目标

2、发现

3、社会工程学攻击

4、物理缺口

第六章  被动信息收集

一、被动信息收集

ip地址段

域名信息

邮件地址

文档图片数据

公司地址

公司组织架构

联系电话/传真号码

人物姓名/职务

目标系统使用的技术架构

公开的商业信息

二、信息用途

用信息描述目标

发现

社会工程学攻击

物理缺口

三、信息收集——DNS  

DNS信息收集——NSLOOKUP

nslookup www.sina.com

• server

• type=a、mx、ns、any

• nslookup -type=ns example.com 156.154.70.22