Amass进阶玩法:除了`enum`,`intel`和`db`子命令在红队评估中怎么用?
Amass高阶实战:红队评估中的情报收集与资产关联分析
在渗透测试和红队评估中,前期信息收集的质量往往决定了整个行动的成败。大多数安全研究人员对Amass的enum子命令耳熟能详,却忽略了intel和db这两个同样强大的功能模块。本文将深入探讨如何通过这三个子命令的协同使用,构建一套完整的攻击面发现工作流。
1. 情报收集:intel子命令的战术价值
amass intel的核心价值在于通过开源情报(OSINT)发现与目标组织关联的隐藏资产。与直接枚举子域名的enum不同,intel更注重发现新的根域名,从而扩大攻击面。
1.1 基于WHOIS的反向关联分析
通过反向WHOIS查询可以找到同一注册者拥有的所有域名:
amass intel -whois -org "目标公司" -d example.com -ip -o intel_results.txt-org参数支持模糊匹配公司名称-ip选项会自动解析发现域名的IP地址- 输出结果可直接作为
enum的输入源
典型输出包含:
example.com (注册邮箱:admin@example.com) linkeddomain.com (相同注册邮箱) subsidiary.org (相同注册者名称)1.2 通过ASN和CIDR发现关联资产
当目标拥有自有IP段时,ASN查询能发现更多关联资产:
amass intel -asn 12345 -active -p 80,443,8080关键参数组合:
| 参数 | 作用 | 示例值 |
|---|---|---|
-active | 主动探测存活主机 | 无 |
-p | 指定扫描端口 | 80,443,8080 |
-cidr | 指定IP段 | 192.168.1.0/24 |
实战技巧:结合IP范围与端口扫描,可以快速定位暴露在公网的测试环境、临时系统等易被忽略的资产。
2. 深度枚举:enum与intel的协同作战
获得初始资产列表后,需要通过enum进行深度枚举。这里介绍几个提升效率的关键技巧。
2.1 多阶段枚举策略
推荐采用分阶段枚举策略:
- 被动收集阶段:
amass enum -passive -d example.com -o passive.txt - 主动验证阶段:
amass enum -active -brute -min-for-recursive 3 -d example.com -p 80,443 - 暴力破解阶段:
amass enum -brute -w custom_wordlist.txt -d example.com
2.2 智能解析配置
DNS解析配置直接影响枚举效果:
amass enum -tr 8.8.8.8 -r 1.1.1.1 -dns-qps 100 -d example.com-tr指定可信解析器(如企业内DNS)-r设置备用解析器-dns-qps控制查询频率避免触发限制
注意:过高的QPS可能导致结果不完整,建议根据网络环境调整
3. 资产管理:db子命令的高级用法
Amass内置的图数据库功能允许对多次扫描结果进行关联分析,这是大多数教程未涉及的强大特性。
3.1 建立资产数据库
初始化数据库并导入扫描结果:
amass db -dir ./amass_db -add passive.txt active.txt数据库结构包含:
- 域名节点
- IP地址节点
- DNS记录边
- WHOIS关联边
3.2 资产变化对比分析
通过数据库对比发现新增资产:
amass db -dir ./amass_db -diff 2023-01-01 2023-06-01典型输出包括:
新增子域名: - devops.example.com - ci-cd.internal.example.com IP变更记录: - 192.168.1.100 (原指向web1.example.com,现指向lb.example.com)3.3 可视化关联分析
生成可视化报告展示资产关联:
amass db -dir ./amass_db -vis -o network_graph.html生成的HTML报告包含:
- 域名与IP的关联图
- WHOIS信息关联图
- 端口服务分布热力图
4. 红队实战:完整攻击面发现工作流
结合三个子命令构建自动化工作流:
4.1 自动化扫描脚本示例
#!/bin/bash ORG="目标公司" OUT_DIR="./scan_results" DB_DIR="./amass_db" # 阶段1:情报收集 amass intel -whois -org "$ORG" -o "$OUT_DIR/intel.txt" # 阶段2:深度枚举 while read domain; do amass enum -active -brute -d "$domain" -o "$OUT_DIR/enum_$domain.txt" done < "$OUT_DIR/intel.txt" # 阶段3:数据库更新 amass db -dir "$DB_DIR" -add "$OUT_DIR"/*.txt # 阶段4:变化分析 amass db -dir "$DB_DIR" -diff $(date -d "1 week ago" +%F) $(date +%F)4.2 关键发现技巧
- 定时任务设置:每周自动运行扫描并与历史数据对比
- 敏感资产识别:通过关键词过滤发现管理后台、API入口等
grep -E '(admin|api|dev|test)' enum_results.txt - 资产关联分析:通过数据库查询关联IP的所有域名
amass db -dir ./amass_db -ip 192.168.1.100
4.3 规避防护策略
- 速率限制规避:
amass enum -dns-qps 50 -rqps 10 -d example.com - 分布式扫描:通过不同出口IP分段执行扫描
- 结果去噪:排除CDN和云服务IP范围
amass enum -exclude-cdn -d example.com
在最近一次针对金融行业的红队评估中,通过这套方法发现了客户未知的5个关联域名和12个暴露在公网的测试系统,其中3个系统存在已知漏洞可直接利用。资产数据库的对比功能帮助团队在两周内识别出客户新部署的VPN设备,成为突破内网的关键入口点。