# OSINT信息搜集 ## **OSINT信息搜集** 其实在前两篇,我们已经在做一些 OSINT 的信息搜集了,因此笔者刻意放缓了一些节奏,将重点和更有趣的部分在这里讲述。开源情报 (OSINT) 收集是红队、社会工程学攻击和物理渗透的早期关键行动。 OSINT 包括任何公开可用的内容,并且可以在不引起蓝队过度关注的情况下访问。许多人认为使用搜索引擎就足以找到他们所需要的数据,但实际上大多数互联网都没有被搜索引擎索引。 OSINT 的其他常用来源的示例包括: **公司网站** **产品信息** **组织信息** **联系信息** **社交媒体** **员工关系** **员工信息** **招聘信息** **公司基础设施的信息** **职位空缺** **公共数据库** **dehashed.com:历史泄露数据的数据库** **Wayback Machine:来自公司网站的历史信息** **ICANN:IP地址、域名注册等信息** **Google Dorks:使用先进的 Google 搜索引擎技术来提取信息** **Shodan:Shodan 是一个互联网连接设备的搜索引擎** 接下来,我们以几个具体的例子来展示 OSINT 信息能给我们带来哪些有用的情报,以下这些还不是一个穷尽的可能,我们用作抛砖引玉。 我们从官网注意到,该公司的IT部门主管是CISO,即首席安全官。虽然这不代表该公司的安全程度就真的滴水不漏,但有一定程度的安全控制措施、流程、策略被部署是可以预见的. [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/WdUimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/WdUimage.png) [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/mkrAtOiMSnztXwMt-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/mkrAtOiMSnztXwMt-image.png) 查看公司的 Contact Info, 即联系信息, 我们找到了一些地址, 电话, 邮箱等. 在网站上列举联系方式并不是一个错误配置, 几乎所有公司都会在门户房展上展示, 但同时也给我们提供了一定的信息, 以及社会工程学攻击的入口点. [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/aLGCmlborRvtHRqP-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/aLGCmlborRvtHRqP-image.png) 查看公司的 Career 板块, IT部门有个开放岗位 Atlassian Administrator,说明该公司有在使用 Atlassian 的产品,例如 JIRA、Confluence,并且从职责描述中也得到了证实。因此, 如果我们能找到面向公网开放的 Atlassian 应用, 可以用近期的 0 day漏洞尝试攻击, 例如 CVE-2022-26134 Confluence RCE: [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134). [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/J7gimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/J7gimage.png) 此外, 我们还能获得这些信息: [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/SwtxowtUPZNQ43Mw-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/SwtxowtUPZNQ43Mw-image.png) ``` Operating System: Windows 10, Linux, Mac OS X Active Directory: Microsoft Active Directory Production Software: Tomcat, Jenkins Email: Outlook Video Conferencing: Zoom, Polycom Office Suite: MS Office, OneDrive, Office 365 Issue and Project Tracking: Atlassian Jira Wiki: Atlanssian Confluence ``` 我们在泄漏库网站 [https://dehashed.com](https://dehashed.com) 上搜集 smartbear.com 的域名,得到了一些员工的详细个人信息甚至密码, 虽然大概率这些密码已经得到了修改, 但运气好的话, 也许会有少数并没有及时被修改, 甚至在后来得到了重用. [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/oyUimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/oyUimage.png) 我们通过一两个员工邮箱的案例, 我们得知该公司对于员工邮箱的命名格式为 **\[名\].\[姓\]@smartbear.com**, 或者是 **\[部门\]@smartbear.com**, 以及 **\[产品\]@smartbear.com**. 因此, 在得知员工列表后, 我们几乎可以列举出所有员工的工作邮箱. 此外, 我们可以在领英上查看特定员工的职位以及所在地区 (办公室), 从而推断出员工关系, 例如他的上级, 下属, 同事. 针对人事的攻击, 高价值目标能带来更多的价值, 例如部门领导, 总监, 执行官等, 以下是一些实例: [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/1r7eyg0BQ7Dlbl6c-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/1r7eyg0BQ7Dlbl6c-image.png) ``` Head of G&A Department: Bryce Chicoyne - bryce.chiocyne@smartbear.com Head of Product & Dev Department : Dan Faulkner - dan.faulkner@smartbear.com Head of Sales Department : Lou DiFruscio - lou.difruscio@smartbear.com Head of Marketing Department: Cynthia Gumbert - cynthia.gumbert@smartbear.com Head of HR Department: Veronica Curran - veronicac.urran@smartbear.com Head of IT Department: Christine Whichard - christine.whichard@smartbear.com Head of Legal Department: Lance Levy - lance.levy@smartbear.com Director, Product Security: Matthew Runkle - matthew.runkle@smartbear.com Director of Information Security: Adam FairhallView - adam.fairhallView@smartbear.com Senior Director Of Engineering: Patrick Day - patrick.dayv@smartbear.com ``` 工具 theHarvester 也可以用于寻找目标域名的有趣信息, 例如员工邮件地址, 网址, 存活IP和主机等. [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/tpAimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/tpAimage.png) [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/vuaimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/vuaimage.png) [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/oIcimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/oIcimage.png) 公开的 IP 或主机显着扩大了目标公司的攻击面, 如果部署在这些 IP/主机上的任何服务或应用程序被利用,攻击者就有可能在内部网络中获得一个立足点。以下, 是 Smartbear 公司的一些存活主机或 IP. ``` * 10.110.1.67,10.110.4.134,10.110.2.49,10.110.3.129 * 10.110.3.129,10.110.1.67,10.110.4.134,10.110.2.49 * 10.110.4.134,10.110.1.67,10.110.3.129,10.110.2.49 * 10.50.22.103,10.50.21.64 * 10.81.21.164,10.81.22.83 * 10.81.22.174,10.81.21.136 * 10.92.10.229,10.92.30.136 * 104.130.174.23 * 104.16.242.229,104.16.243.229 * 104.17.71.206,104.17.70.206,104.17.72.206,104.17.74.206,104.17.73.206 * 104.17.72.206,104.17.73.206,104.17.70.206,104.17.71.206,104.17.74.206 * 104.44.133.165 * 104.44.134.177 * ............ * 104.47.59.138,104.47.55.138 * 54.208.93.159,34.196.253.122 * 54.209.140.167,18.211.47.137,3.224.145.90,54.82.45.42 * 54.237.159.170,52.7.153.190 * 64.78.230.178 * 65.8.20.112,65.8.20.45,65.8.20.85,65.8.20.13 * 78.31.213.98 * 79.142.246.130 * 79.142.246.131 * 79.142.246.132 * 87.244.55.186 * 89.107.198.52 * 99.84.191.126,99.84.191.57,99.84.191.23,99.84.191.43 * 99.84.191.23,99.84.191.57,99.84.191.126,99.84.191.43 ``` 通过枚举这些存活的 IP, 我们找到了一批应用的登陆页面. 对于攻击者来说, 他们会尝试使用弱口令, 默认凭证, 甚至暴力破解攻击来获得访问. 并且, 如果这些登陆门户没有实施 SSO 的话, 攻击者可以克隆网站并钓鱼获得员工的凭证,. [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/oVBuaL7caxej5Nph-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/oVBuaL7caxej5Nph-image.png) [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/RC4nptbrLgt79LCo-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/RC4nptbrLgt79LCo-image.png) ``` https://my.smartbear.com/login.asp?returnUrl=/index.asp https://accounts.smartbear.com/accounts/login?next=/ https://app1.qacomplete.smartbear.com/Common/login.html?redirect=app%3DagSP https://app2.qacomplete.smartbear.com/Common/login.html?redirect=app%3DagSP https://login.slm.manage.smartbear.com/ https://se-sydney-vpn.smartbear.com/?src=connect https://vpn-de.smartbear.com https://vpn-dr.smartbear.com https://vpn-fl.smartbear.com https://vpn-ire.smartbear.com https://vpn-mem.smartbear.com https://vpn-mum.smartbear.com https://vpn-swe.smartbear.com https://vpn-uk.smartbear.com https://vpn.smartbear.com https://vpn-bos.smartbear.com ............ https://id.smartbear.com/login https://smartbear-cc.force.com/portal/SupPortalLogin https://staging.smartbear.com/ ``` 此外, 我们可以用 Google Dorking 技术找到了 SmartBear 的 2 个可以展开的文件夹. 虽然可以展开的文件夹不总是能带来安全风险的, 但绝对不是一个建议的配置. [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/cv9ZQbN9iLj6omOm-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/cv9ZQbN9iLj6omOm-image.png) ``` https://eclipse.smartbear.com/8.0/8_5_8502/ https://eclipse.smartbear.com/8.0/8_4_8406/ https://eclipse.smartbear.com/8.0/8_5_8502/ ``` 根据 [https://jira-app.ze.smartbear.com/](https://jira-app.ze.smartbear.com/) 站点, 我们得知 SmartBear 在 Azure 上部署服务, 即我们得知了 Azure 是 SmartBear 所采用的云设施之一. 我们还在 Shodan 上发现了 SmartBear 的一台开启了 RDP 的服务器, 从证书来看, 是 QA 部门的. 对公网开启 RDP 协议, 会导致攻击者进行密码攻击, 以及使用历史 RDP 的 CVE 漏洞, 例如 BlueKeep 进行攻击. [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/9QDoQX2QrJIohckw-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/9QDoQX2QrJIohckw-image.png) 在 Fofa 上, 我们还找到了 SmartBear 公司暴露在公网上的 **RabbitMQ** 服务: [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/YhDxqna3Wt5TStaM-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/YhDxqna3Wt5TStaM-image.png) 然后, 我们研究一下 SmartBear 的母公司, 子公司, 以及合作伙伴. 我们可以用这个网站 [https://www.crunchbase.com/organization/smart-bear-software](https://www.crunchbase.com/organization/smart-bear-software) 来查询目标的子母公司. [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/Ish6OcjnKSxWMEfo-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/Ish6OcjnKSxWMEfo-image.png) 经过汇总, 如下: ``` Subsidiaries Pactflow Bugsnug TM4J Swagger Bitbar Cucumber Zephyr Hiptest CrossbrowserTesting.com lucierna AlertSite SoapUI Francisco Partners Vista Equity Partners Insight Partners ``` 我们通过查询历史新闻, 证实了我们的发现: [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/9Hc5hic3PwveB17W-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/9Hc5hic3PwveB17W-image.png) 从官网 [https://smartbear.com/partners/find-a-partner/](https://smartbear.com/partners/find-a-partner/), 我们得知了 SmartBear 的合作伙伴: [![image.png](https://raven-medicine.com/uploads/images/gallery/2023-01/scaled-1680-/tBu2BdA9Pxa0yYwG-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-01/tBu2BdA9Pxa0yYwG-image.png) 另外, 开源工具 SpiderFoot 能够使用爬虫帮我们爬到海量的OSINT信息。 地址:[https://github.com/smicallef/spiderfoot](https://github.com/smicallef/spiderfoot) [![image.png](http://raven-medicine.com/uploads/images/gallery/2022-09/scaled-1680-/Lhtimage.png)](http://raven-medicine.com/uploads/images/gallery/2022-09/Lhtimage.png) 以上是个抛砖引玉,我们既要擅长手动搜集OSINT信息,也可以适当借助好用的工具协助我们提高效率。有了这些丰富的信息后,可以对目标有个更深的了解,更是为后续的社会工程学攻击做准备。