案例分析 Charter Communication 电信公司

有了先前的知识，我们在这一小节进行一个案例分析，对 Charter Communication 电信公司进行 OSINT 侦查。这一节虽然是案例分析，但并不是把这章节之前的内容生搬硬套就行，而是需要灵活新增侦查手段，创造性地搜集信息。

既然是 OSINT，那么意味着我们与目标的交互需要是被动的，包括但不局限于使用搜索引擎搜索有关目标公司的信息、查看社交媒体、whois查whois 查询等。为了降低一点难度，我们可以与目标进行正常的交互，例如浏览网站。但是以下是不能进行的：nmap扫描、漏洞扫描、对公司员工进行社会工程学攻击、利用漏洞等。

我们目前只有目标企业的名称，即 Charter Communication Inc.Inc.。首先，我们要确定 Charter 公司在公网的网段，这个我们可以通过查询 Charter 公司的 ASN 编号。Charter 这样的大型企业，可能拥有多个 ASN (自治域) 编号，并且每个 ASN 编号都有大量的公共网段。至于ASN，是一个全球唯一标识符，它定义了一组一个或多个 IP 前缀，这些前缀由一个或多个网络运营商运行，这些网络运营商维护一个明确定义的路由策略。这些 IP 前缀组称为自治系统。ASN 允许自治系统与其他自治系统交换路由信息，世界各地的网络运营商都需要自治系统编号来控制其网络内的路由以及与其他网络运营商交换路由信息。

我们可以通过一些在线工具根据企业域名或者企业名称来查询 ASN 编号，例如 https://bgp.he.net/search?search%5Bsearch%5D=charter+communication&commit=Search。

但是，单个来源获取到的 ASN 编号肯定是不全甚至不准确的，我们需要从多个来源搜集相对完整的 ASN 编号。此外，有的 ASN 编号也可能不再活跃，即没有网段与之关联。这里，我提供几个有效的 ASN号码：AS12271，AS11427，AS20115，AS33363。

然后，我们根据 ASN 编号得到尽可能完成的网段。比如，我们可以通过在线网站查询 AS12271 的网段 https://asnlookup.com/asn/AS12271/。同样的，我们需要集中多个来源的数据以尽可能减少遗漏，同时，可能一些网站因为更新不及时等原因，会有一些不再属于该 ASN 编号的网段，我们需要注意。在合法的红队行动或者渗透测试中，如果我们确定了错误的范围，那么在后续的过程中可能无意众对非范围内的目标进行攻击，即未授权的行动。所以，相比添加错了的目标，宁愿遗漏一些。当然，最好也不要遗漏。 

除了过时的数据，我们还需要注意区别出客户资产！！！考虑到 Charter 是一家很大的电信企业，在有些服务上也充当着运营商或者服务提供商的身份，因此有些资产可能是客户的，并非 Charter 自身的。如何准确区分这些资产，是难以三言两语总结的。我们简单看 2 个例子作为对比。下图是 shodan 搜索的一个结果，我们看到该结果的主机名是 mail.wonsbackgroundchecks.com。com。

查询一下 wonsbackgroundchecks.com 的 whois 信息，我们没有发现有关 charter.com 的字样，那么有可能是 charter.com 客户的资产。

其网站主页揭露了该公司是从事背景调查的，与电信关系不大，因此，作为子公司或母公司的概率也很小。

查看一下 Charter 的子母公司，也确实没有发现其踪迹。我们发现 Spectrum 是 Charter 收购的一家公司。

那么下图所示的结果，因为其主机名在 spectrum 域之下，很有可能是属于 Charter 的资产了。

查询 spectrum.com 的 whois 信息，也能确认这一点。总之，对于资产的确认，我们务必要十分小心，不然很容易进行未授权操作。

得到了 ASN 以及对应的网段后，尽管我们不可能搜集完整 (甚至企业自己都理不清全部资产)，接下来可以搜集顶级域名 TLD 了。顶级域名例如 charter.com，spectrum.com。我们可以优先从字母公司入手，另外一个很快捷的方法是逆向 whois 查询，即我们根据 whois 信息中的某个信息进行逆向查询，有哪些域名包含了特定的关键字。我们可以尝试的逆向查询内容可以是邮箱 (charter.com)、域名服务器 (ns1.charter.com)。便捷的在线网站有 https://viewdns.info/reversewhois/?q=charter.com，https://hackertarget.com/find-shared-dns-servers 等。

我们也是得到了海量的输出，因为 Charter 也是服务供应商，这是可以预期的，我们需要手动筛选。并且在上图中我们可以看到，即便是 charter.com 主站，也有一些变种，例如 charter-business.com 。当我们层层筛选后，可以将 TLD 列表输入给各种子域名枚举工具，这类工具我们之前已经介绍过一些了，这里我再介绍一款 ReconFTW (https://github.com/six2dez/reconftw)。这款工具十分强大，但具体强大之处请自行参考文档以及探索，这里不占用篇幅了。