首页 渗透工具 正文
  • 本文约4383字,阅读需22分钟
  • 474
  • 0

OneLong红队人员快速的信息收集

OneLong

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担。

0x01、介绍

作者:Monster3

定位:为了简化前期信息收集的繁重任务,协助红队人员快速的信息收集,测绘目标资产,寻找薄弱点,暂时实现了收集企业信息,子域名收集,子域名爆破,资产邮箱,指纹探测,漏洞扫描,后台识别,后续会跟新对IP相关的搜集。

0x02、使用

使用方式比较简单,现在主要针对不同需求实现了两种信息收集的方式,一种是根据企业关键字去进行信息搜集,这里需要填写aqc和qcc的API,第二种方式是需要填写公司域名,去进行搜集

注意:在调用API的时候有些需要科学上网,最好在进行使用的时候加上-proxy=http://127.0.0.1:7897 进行科学上网。

1、根据企业关键字去进行信息搜集,最后填写正确完整的关键字,这部分主要参考了ENScan_GO,相关搜索企业细节以及方法和它是一样,注意的是使用这种方式必须填写aqc和qcc的Cookie

2、根据企业域名去进行信息搜集

3、批量域名信息搜集

4、如果目标企业存在安全设备,并且IP资源不多的话,可以只进行被动扫描,不进行子域名以及端口爆破,不进行漏洞扫描

0x03、参数讲解

默认就是上面的三种方式进行使用 -d -f -n

有一些相关企业的参数需要结合 -n 使用有 -deep -invest -is-branch 这些参数必须先使用***-n***

-low :使用这个参数就相当于同时使用 -nport -npoc -nbao 只进行被动API进行扫描

-o:设置输出Excel的文件夹,最后输出的excel回保存到这个参数重

-p:进行端口爆破的时候指定的端口,代码中内置了三种***“--top-ports 1000”*** “--top-ports 100” “--top-ports 10” 默认爆破top 1000

  -d string
        域名
  -deep int
        递归搜索n层公司 (default 5)
  -delay int
        填写最大延迟时间(秒)将会在1-n间随机延迟
  -f string
        批量扫描
  -invest float
        投资比例  (default 70)
  -is-branch
        深度查询分支机构信息(数量巨大),默认不查询
  -low
        只进行被动扫描,不进行子域名以及端口爆破,不进行漏洞扫描
  -n string
        企业关键词 eg 百度
  -nbao
        不进行爆破子域名
  -npoc
        不进行漏洞扫描
  -nport
        不进行爆破端口
  -o string
        结果输出的文件夹位置(可选)
  -p string
        端口爆破默认为Top1000,还可修改为100或者10 (default "--top-ports 1000")
  -proxy string
        设置代理例如:-proxy=http://127.0.0.1:7897
  -timeout int
        每个请求默认1(分钟)超时 (default 1)

login

0x04、相关配置文件解读

子域名相关配置文件

  • OneLong -n 企业名称 在使用这种方式的时候必须添加Aiqicha或者是TYC的token,否则不能正常使用,因为这个流程是需要这两个api去查询相应的备案号,然后才能进行后续的资产收集
  • OneLong -d target.com 在使用这种方式因为工具里面带了一些不需要key的api,所以可以直接跑。

想要搜集的信息更加全面,可以添加相应的API,添加的API不含直接收费的,都是一些免费的和一些有免费次数的

binaryedge , fullhunt , qaxhunter , bevigil , CensysToken/CensysSecret , zomeye , whoisxmlapi , virustotal , shodan , chaos , leakix , netlax , quake , googleid , googleapi , fofakey/fofaEmail , githubtoken ,

securitytrails:这个需要企业邮箱注册,可以去网上找一个免费注册一些比如网易 ,

racent:抓包获取数据包里面的token

Aiqicha:Cookie信息请勿直接 document.cookie,可能因为http-only 选项无法复制全导致登陆失败

login

阿拉丁:点击任意请求,拿到请求里的TOKEN

login

TYC tycid:配置COOKIE后配置tycid,这里的cookie也是个Aiqicha一样那样直接从数据包中获取

Qimai:登陆账号然后把数据包里面的PHPSESSID提取出来就可以,这个也是点击任意链接都可以

login

MassDns模块

注意:Releases中的文件夹名称不能更换

工具中的爆破主要是引用了MassDns爆破工具,作者称无需特殊配置,MassDNS 就能够使用公开可用的解析器每秒解析超过 350,000 个名称。是一个高效的爆破工具,

  • resolvers: Releases中有一个Script/MassDns/resolvers.txt文件夹名称添加进去,如果更换了resolvers.txt,必须放在当前文件夹只需要把名称换了即可
  • wordlist:爆破的目录文件,项目中的爆破文件都在这个目录下Script\Dict,
  • massdnsPath:将Script/MassDns下的MassDns应用程序名称添加进来,如果是Linux的则需要把MassDns.exe改为相应的名称

Email模块

最好设置 githubtoken 这里的Email也会调用这个Cookie里面的token,github搜索效果比较好

emailhunter , intelxEmail , tombaKey/tombaSecret

Port模块

masscanpath: Masscan工具放的位置如果是在环境变量中则默认就行,比如kali之类的 rate: Masscan速率,速率如果太大很有可能直接带宽占满 nmappath: Nmap工具放的位置如果是在环境变量中则默认就行

Afrog

这个主要还是参考官方网站配置即可

ceye

  • 访问ceye.io网站并注册一个帐户。
  • 登录并进入个人设置页面。
  • 复制 domainapi-key并在文件中正确配置它们。

Dnslogcn

Alphalog

Xray

相关目录介绍

目前是有四种目录, AfrogAddPoc:这个目录主要是里面如果添加一些Afrog工具的一些自动POC,可以放到这个文件夹,工具会自动识别

Dict:这个里面现在是放了两个文件一个是Login.txt 这个主要就是在进行查找后台路径的时候,对路径的一些匹配,另一个是一个子域名目录文件,在进行MassDns爆破的时候加载的字典。

Ehole:这和里面主要放的是在进行url访问,进行一些高危漏洞以及CMS进行指纹识别的规则。

MassDns:这个里面主要就是放MassDns进行爆破的应用程序和所需要的resolvers文件。

login


Utils:
  output: ""            # 导出文件位置
cookies:
  aiqicha: ''           # 爱企查   Cookie
  tianyancha: ''        # 天眼查   Cookie
  tycid: ''             # 天眼查   CApi ID(capi.tianyancha.com)
  aldzs: ''             # 阿拉丁   TOKEN(see README)
  qimai: ''             # 七麦数据  Cookie
  binaryedge: ''        # binaryedge  Cookie 免费查询250次
  fullhunt: ''          # Fullhunt Cookie 威胁平台 每月免费100次
  hunter: ''            # Hunter Cookie 威胁平台 每日免费500个数据
  bevigil: ''           # Bevigil Cookie 威胁平台 每月免费50次
  CensysToken: ''       # Censys Token 威胁平台 每月免费250次
  CensysSecret: ''      # Censys Secret 威胁平台 每月免费250次
  zoomeye: ''           # ZooEye Cookie 每月1000条
  whoisxmlapi: ''       # whoisxmlapi Cookie 免费500次
  virustotal: ''        # virustotal Cookie 每分钟4次 每天500次
  shodan: ''            # shodan Cookie 
  chaos: ''             # chaos Key
  leakix: ''            # leakix Key
  netlas: ''            # Netlas key
  quake: ''             # Quake key
  securitytrails: ''    # securitytrails 需要企业邮箱,每个月50次
  googleid: ''          # google id 免费的API只能查询前100条结果,每天免费提供 100 次搜索查询
  googleapi: ''         # google Api 免费的API只能查询前100条结果,每天免费提供 100 次搜索查询
  fofaKey: ''           # Fofa key
  fofaEmail: ''         # Fofa Email
  githubtoken: ''       # Github Token 
  racent: ''            # racent Token
massdns:
  resolvers: 'resolvers.txt'            # resolvers 文件名称
  wordlist: 'names.txt'         # 子域名爆破文件名称
  massdnsPath: 'massdns.exe'        # Massdns工具名称
email:
  emailhunter: ''       # Email hunter Token
  intelxEmail: ''       # Email Intelx Token
  tombaKey: ''          # Email tombaKey
  tombaSecret: ''       # Email tombaSecret
port:
  masscan:
    masscanpath: 'masscan'          # Masscan放的位置如果是在环境变量中则默认就行
    rate: 5000                                      # Masscan速率,速率如果太大很有可能直接带宽占满
  nmappath: 'nmap'
#Afrog配置
reverse:
  alphalog:
    domain: ""
    api_url: ""
  ceye:
    api-key: ""
    domain: ""
  dnslogcn:
    domain: dnslog.cn
  xray:
    x_token: ""
    domain: ""
    api_url: http://x.x.x.x:8777

0x05、效果图

login

login

login

0x06、参考

ENScan_GO

nemo_go

Oneforall

Shuize

gau

subfinder

Ehole

温馨提示:本文最后更新于2024年5月17日 14:15,若内容或图片失效,请在下方留言或联系博主。
评论
博主关闭了评论