一、起于一次偶然的情报搜集
某次对目标企业的渗透测试中,我们接到的线索非常有限,只有一个企业官网域名和一封公开的技术支持邮箱。面对这种情况,传统的端口扫描和简单的Web漏洞检测很难取得突破。于是,我决定换一种思路:从公开情报入手,深挖目标的各种“隐藏资源”。
在这场“无声的战斗”中,洞网资源搜索成为关键突破点。通过一系列工具与技巧,我找到了目标企业的开发环境地址、未授权的文件分享服务,甚至还发现了一个意外暴露的Git仓库,最终成功拿到了一份内网VPN配置文件。本文将复盘这次攻击过程,系统性地介绍如何利用洞网资源搜索技术,挖掘目标的隐藏资产。
---
二、情报挖掘的秘密武器:工具组合拳
在情报搜集阶段,工具的选择至关重要。不同的工具各有侧重,组合使用更能发挥威力。以下是我常用的几款主力工具及其使用技巧。
1. amass:域名收集的引擎
amass 是开源情报收集领域的王牌工具,擅长从搜索引擎、证书透明度日志、DNS记录等渠道挖掘子域名。在本次案例中,我通过 amass 发现了多个与目标相关的辅助域名。
安装amass: <pre><code class="language-shell"># 在Linux系统下用以下命令安装 sudo apt update && sudo apt install amass</code></pre>
运行基本扫描: <pre><code class="language-shell"># 替换example.com为目标域名 amass enum -d example.com</code></pre>
结果分析: 运行结果中不仅包含直接的子域名,还可能发现一些隐藏的开发环境域,如 dev.example.com 和 staging.example.com。在这次测试中,我通过 amass 找到了 api.example.com,它正是后续成功利用的关键点。
---
2. theHarvester:快捷的信息聚合
theHarvester 是一个经典的情报收集工具,用于从各种公开来源(如Google、Bing、Shodan、Censys等)抓取与目标相关的信息,包括子域名、电子邮件、IP地址等。相比 amass,它的优势是查询速度快,且能够直接关联到具体的IP或邮箱。
安装theHarvester: <pre><code class="language-shell">pip3 install theHarvester</code></pre>
关键参数: <pre><code class="language-shell"># 搜索目标域名的相关信息 theHarvester -d example.com -l 500 -b google</code></pre>
实战技巧: 在实际操作中,我通过 theHarvester 找到了多个技术支持邮箱(如 [email protected] 和 [email protected]),这些邮箱后来成为社工钓鱼的有力突破点。
---
3. Git泄露扫描工具:truffleHog
代码仓库往往藏着海量敏感信息,而 truffleHog 是检测代码泄露的神器。它可以自动扫描Git仓库中的敏感信息,如API密钥、密码等。
安装truffleHog: <pre><code class="language-shell"># 使用pip安装(需要Python环境) pip install truffleHog</code></pre>
扫描远程Git仓库: <pre><code class="language-shell"># 替换URL为具体的Git仓库地址 truffleHog --regex --entropy=False https://github.com/example/repo.git</code></pre>
实战案例: 在本次测试中,我通过 truffleHog 发现了一个被意外公开的Git仓库,抓到了多个包含数据库连接信息的配置文件。
---
4. 深网与洞网的“神器”:ahmyth和OnionSearch
对于暗网资源搜索,ahmyth 和 OnionSearch 是非常得力的工具。它们可以从洞网中挖掘到泄露的数据库、账号密码等信息。
安装OnionSearch: <pre><code class="language-shell">git clone https://github.com/megadose/OnionSearch.git cd OnionSearch pip install -r requirements.txt</code></pre>
运行搜索: <pre><code class="language-shell"># 搜索关键词并生成报告 python3 onionsearch.py -s example.com</code></pre>
在这次攻击中,这两个工具从暗网论坛上找到了目标企业员工的部分社交账号密码组合。
---
三、隐秘角落的深网搜寻
当公开信息挖掘受限时,深挖目标在深网/暗网中的“足迹”成为破局之道。以下方法可以进一步扩展攻击面。
利用Shodan和Censys定位暴露服务
Shodan 和 Censys 是网络空间搜索引擎,常用于发现暴露在互联网上的服务或设备。在这次案例中,我通过 Shodan 找到了一个未授权访问的 Elasticsearch 实例。
Shodan示例: <pre><code class="language-shell"># 定位暴露的Elasticsearch服务 shodan search "Elasticsearch port:9200"</code></pre>
实战技巧: 结合目标的公司名、IP段等信息,可以快速锁定属于目标的暴露服务。
---
FOFA与ZoomEye的联合搜索
FOFA 和 ZoomEye 是国内两款功能强大的网络资产搜索工具,支持通过多种条件精确查询目标资产。
FOFA语法示例: <pre><code class="language-shell"># 搜索目标域名相关的HTTPS服务 domain="example.com" && protocol=="https"</code></pre>
ZoomEye语法示例: <pre><code class="language-shell"># 搜索FTP服务 app:"ftp" && ip:"192.168.1.0/24"</code></pre>
在这次攻击中,我通过 FOFA 找到了目标企业一个未授权公开的文件服务器,成功下载了大量敏感文档。
---
四、从洞网情报到渗透入口
情报搜集只是第一步,如何将这些信息转化为实际攻击能力才是关键。在本次案例中,以下两个发现最终带来了成功的突破。
API接口滥用
通过 amass 发现的 api.example.com,我尝试了几种常见的API攻击方法,最终发现该接口存在未授权的功能调用漏洞。以下是基本的测试代码:
<pre><code class="language-go">package main
import ( "fmt" "net/http" "io/ioutil" )
func main() { url := "http://api.example.com/v1/admin/logs" req, _ := http.NewRequest("GET", url, nil) req.Header.Set("Authorization", "Bearer invalid_token") // 利用错误配置绕过认证 client := &http.Client{} res, err := client.Do(req) if err != nil { fmt.Println("请求失败:", err) return } body, _ := ioutil.ReadAll(res.Body) fmt.Println(string(body)) }</code></pre>
通过该漏洞,我成功获取了后台管理的日志信息。
---
Git泄露引发的连锁反应
从 truffleHog 得到的Git泄露线索中,我提取到了目标的VPN配置文件及默认登录凭据,利用这些信息顺利进入了内网。
---
五、总结与反思
在渗透测试中,情报搜集是突破的核心环节,而洞网资源搜索则是打开情报大门的钥匙。从公开信息到深网资源,从工具使用到实际攻击,本文梳理了完整的攻击链条。希望这次案例的复盘能为安全从业者提供启发,也提醒企业重视情报泄露的风险,切实加强资产管理和隐私保护。
合法声明:本文仅供授权安全测试与合法研究使用,切勿用于非法用途。