Goby社区第 20 篇技术分享文章

全文共：3602 字   预计阅读时间：9 分钟

本文章共奖励@Z0RR0 12000 社区积分

前言：近年来，实战攻防对抗演练的活动越来越多，而且演练效果也越来越逼近实战，那么我们作为防守方，该如何守好我们的第一道防线呢？第一道防线即互联网中资产的暴露面，这些都是攻击队最先接触到，并最先进行打击的“阵地”，那么，首先我们必须要弄清楚我们在互联网上的资产暴露面都有哪些，才能更好地布防。本文将从常规的信息收集，以及利用 Goby 的 IP 库功能快速便捷的整理资产等角度来讲述。

0×01 互联网资产梳理的N种方法

在实战对抗过程中，攻击队一般“开局”只有一个公司名或者一个主域名，基于这样的“开局”，攻击队需要迅速以点扩面，收集目标在互联网上的所有资产暴露面。常规方法和手段有以下几种：

1.1 域名资产梳理

当攻击队获取到目标公司名称的时候，就可以在工信部的域名备案管理系统上进行查询，该公司备案的域名/IP地址都有哪些。查询地址：https://beian.miit.gov.cn/

图1 ICP备案查询系统

1.2 子域名资产梳理

按照上述步骤获取到备案域名信息后，就可以对这些域名进行子域名查询或者子域名爆破操作。

1）子域名查询

目前子域名查询可以通过国内的一些威胁情报中心进行查询获得，国内的推荐某步社区，国外的推荐virustotal。推荐它的原因是完全免费，无次数限制，唯一的缺点是，本土化效果差些。

2）子域名爆破

子域名爆破已经有很多好用的工具，在这就不赘述了，这里主要说一下 Goby 的子域名爆破的插件也是很好用的哦，它内置了 3000 条子域名规则，反应速度超快；而且可扩展性极强，可以根据目标的特点，自定义导入子域名字典，提升成功率和准确率。操作界面如下：

图2 导入字典路径

图3 子域名爆破插件

导入自定义的子域名字典后，只需要在输入框键入目标域名，点击扩大镜按钮，便可在极短的时间内获取到准确的子域名信息。

1.3 IP 资产梳理

有了目标公司的所有子域名信息之后，下一步工作就是进行 DNS 查询，获取这些域名所对应的IP地址。

1）菜鸟方式

在命令行界面，使用 ping domain.com。获取对应的 IP 地址。

2）进阶方式

使用 nslookup 、Dig 等工具来查询。

3）懒人方式

如果专业的工具不会用，或者电脑上没有安装，那么我们可以踩在巨人的肩膀上摘取果实，比如使用一些在线工具，如站长工具，还有某些厂家的威胁情报中心。

1.4 分/子公司资产梳理

从前面几步收集到的资产信息，如果防守方防备力量充足，无法正面突破怎么办？那攻击队肯定就会采用迂回战术，从该目标公司的子公司和下级成员单位入手。一般下级单位的防护力量不足，容易出现缺口。

这个时候就要通过某企查去查询目标公司的全资或控股单位都有哪些，搜集到名单之后，再重复上面的步骤进行信息收集工作。

进行到这一步的时候，你一定会觉得攻击队的工作太难干了，光信息收集这一项，都得累死了，收集到的信息还要花时间整理，还不如当防守队天天炫红牛是吧。其实不然，敲黑板，重点来了，大家注意啦，Goby 的 IP 库功能就是为了解决这些繁琐的操作，实现了一键资产梳理的王炸功能！（讲了那么久，口渴了，有没有人给我炫一瓶红牛）。

0×02 基于Goby IP库的资产快速梳理

工欲善其事必先利其器，我们先耐着性子来了解一下这个超好用的功能，它是怎么帮助攻防队伍进行资产的快速梳理呢！

2.1 IP 库功能简介

首先，打开 IP 库的界面，点击 start 按钮，我们先要创建一个开始节点，以这个节点为起点，来进行互联网资产暴露面的梳理，达到以点扩面的效果。

图4 IP 库功能界面

从上图中可以看到，可以添加的节点类型有：域名、子域名、ICP 备案信息、IP 地址、icon 值、关键词、公司名称。

现在，让我们试着创建一个“域名”节点，探索一下这个神奇的功能吧。创建完成节点后，右击绿色图标中的 root 图标，可以看到如下图所示，Goby 可以以域名“XXX.com”为根节点，从以下几个方向扩展资产面：子域名、IP 地址、ICP 备案信息、cert 信息。

图5 右击域名截图

接下来，我们试试第二个选项，导入所有 ICP 备案信息，就会看到很神奇的一幕，Goby 会查询跟这个域名相关的备案信息，并且自动将该 ICP 备案信息与公司名称进行关联。如下图所示：

图6 关联关系（1）

然后右键点击 company 节点中的公司名称，可以看到下图 6 中的几个选项，我们可以依据这个 company 节点再继续扩充我们的资产信息，选择第一个选项“导入dommain/ip”，可以得到图 7 的结果，与该公司名关联查询到的域名信息结果都会在上面显示，我们可以人工选择准确的资产（点击域名前的小方框）进行添加。选择资产添加后，如图 8 所示，所有的资产关联关系都能从图中看到，图 8 中右下角的红框中可以看到，就这么一分钟时间，我们已经从一个域名，关联搜集到了 75 个主域名、90 个子域名以及 7 个 IP 地址信息。这个功能是不是超棒的！而且使用起来非常的方便，不需要记什么命令，只要伸出小手点点鼠标即可。

图6 关联关系（2）

图7 公司关联域名/IP 结果

图8 IP 库资产关联关系图

2.2 针对大型央企集团的互联网资产快速梳理

在了解 IP 库的强大功能之后，接下来我们就进入实战环节吧。当一个攻击队分到的目标为某大型央企集团，他该如何快速收集该集团公司所有暴露在互联网上的资产面呢？

1）全资及控股子公司信息搜集

在IP库中创建一个 company 节点，输入“某某集团公司”。

图9 创建 company 节点

然后在生成的图标中，右键根节点 root，选择导入所有 company 这个选项。

图10 导入所有公司

可以看到图 11 中的内容，Goby 会自动查询这个公司的全资及控股公司，并且还能看到股权比例，占股百分比是多少。

图11 全资及控股公司

图12 全资及控股公司关联关系图

从图 12 中，我们可以看到轻轻一点鼠标，就可以在一分钟之内搜集到该集团下的 29 家子公司的信息。

2）ICP 信息收集

有了这个集团公司的子公司名单之后，接下来我们就要搜集的是这些公司在工信部备案的信息，以此来搜集资产信息。还是老方法，右击 root 节点，选择导入全部 ICP 信息，如下图所示，29 家公司中，有七家进行了 ICP 备案，点击图标，即可看到这几个 ICP 备案的详细信息，如备案号等。

图13 ICP 信息搜集

3）域名资产收集

有了备案信息之后，我们右击 ICP 的 root 节点，选择导入 domain，就可以看到这 7 个备案信息中，包含了 12 个域名信息。

图14 域名信息导入

4）子域名/IP 资产收集

接下来我们还是使用“黄金右击”功能，右击 domain 节点（绿色图标）中的 root，点击导入 subdomain/ip，即可一秒导入所有关联的子域名和 IP 信息，从下图中可以看到，本次导入了 61 个子域名，42 个 IP 资产信息。

图15 子域名/IP 资产关联图

5）意外收获

至此，通过上述四次“黄金右击”操作之后，总共收获了 29 家子公司名单、12 个一级域名、61 个子域名、7 条 ICP 备案信息以及 42 个 IP 资产信息。

从图 15 中左下角的橘色小圆点中，我们看到，这次资产搜集还有意外的收获。这些橘色小圆点代表的是这些资产中使用了 CDN 加速服务，而且连使用哪个厂家都标注出来了。右击选择橘色小圆点，点击查看关系，就能看到是哪些资产使用了 CDN 加速。

图16 CDN关系图

如果有资产使用了云 waf，Goby 也同样能自动识别出来，并进行关系关联操作，能直观看到哪些资产用了哪个厂家的云 waf，这个功能是不是很哇塞！

6）资产信息归集整理

通过上述步骤收集到的资产信息，如果想保存下来，Goby 很贴心的提供了两种方式，一种是 EXCEL 表格的方式，方便我们做数据统计，以及导入新的扫描工具进行下一步操作；另一种是源数据的方式，下次再打开 Goby 的时候，以源数据的方式导入，还能看到这些资产的关联关系图形信息。

图17 资产信息表

轻点四下右键，在 5 分钟之内便完成了一个大型央企的互联网资产信息收集工作，相比之前手动收集资产的繁琐操作，Goby 实现了自动化之后，至少提高了几十倍资产梳理的效率！

好了，由于时间关系，这上篇到此结束啦，在下篇中，我将会给大家继续讲基于 Goby 的布防战术。

Goby欢迎表哥/表姐们加入我们的社区大家庭，一起交流技术、生活趣事、奇闻八卦，结交无数白帽好友。

也欢迎投稿到Goby（Goby 介绍/扫描/口令爆破/漏洞利用/插件开发/ PoC 编写/ IP 库使用场景/ webshell 等文章均可），审核通过后可加 5000-10000社区积分哦，我们在积分商城准备了好礼，快来加入微信群体验吧~~~

• 微信群：公众号发暗号“加群”，参与积分商城、抽奖等众多有趣的活动

文章来自Goby社区成员：Z0RR0，转载请注明出处。

下载Goby内测版，请关注微信公众号：GobySec

下载Goby正式版，请关注网址：https://gobies.org/