Danger-zone :一款可將域、IP和email地址關聯並可視化輸出的工具
Danger-zone是一款可將域、IP 和email地址之間的資料關聯,並可視化輸出儲存到Elasticsearch和JSON檔案中。
背景故事 : ofollow,noindex" target="_blank">https://medium.com/@woj_ciech/osint-tool-for-visualizing-relationships-between-domains-ips-and-email-addresses-94377aa1f20a
特性
根據給定的電子郵件關聯域,並檢查這些域查詢其他關聯電子郵件和IP。
檢查域的IP和電子郵件,並查詢其關聯域。
從IP中提取域,並檢查域查詢其他關聯IP和電子郵件。
模組
Email:
Trumail – 驗證email地址 ( https://trumail.io/ )
Whoxy – whois反查服務 ( https://whoxy.com/ ) 需要金鑰
haveIbeenPwned – 檢測賬號是否洩露及洩露站點 ( https://haveibeenpwned.com/ )
Username check – 檢查社交網站上基於email地址的使用者名稱 ( https://username-availability.herokuapp.com/ )
Google – Google查詢
IP:
Geolocation – 地理定位IP ( https://extreme-ip-lookup.com/ )
Threatcrowd – 有關IP資訊 ( https://github.com/AlienVault-OTX/ApiV2 )
VirusTotal – 有關IP資訊 ( https://www.virustotal.com/ ) 需要金鑰
Domain:
TLD – 獲取頂級域贊助商 ( https://raw.githubusercontent.com/mikewesthad/tld-data/master/data/tlds.json )
Threatcrowd – 有關域的資訊 ( https://github.com/AlienVault-OTX/ApiV2 )
Whoxy – Whois服務 ( https://whoxy.com/ )
Whois history – 有關域的歷史資訊 ( https://whoxy.com/ )
Wayback Machine – 網站存檔備份網站( http://archive.org/ )
VirusTotal – 有關域的資訊 ( https://www.virustotal.com/ )
設定&配置
git clone pip install -r requirements.txt
pip install Google-search-api
有關Elasticsearch設定請參考: https://www.elastic.co/guide/en/elasticsearch/reference/current/_installation.html
有關Kibana設定請參考: https://www.elastic.co/guide/en/kibana/6.4/install.html
編輯settings.json檔案,並新增金鑰和ElasticSearch資訊:
{
"keys":{
"whoxy": "xxx",
"virustotal": "xxx"
},
"elastic":{
"host":"127.0.0.1",
"port":9200
}
}
使用
python danger-zone.py -h usage: dangerzone.py [-h] [--email EMAIL] [--address ADDRESS] [--domain DOMAIN] [--elasticsearch] Correlate data between domains, ips and email addresses and present it as a graph. optional arguments: -h, --help顯示幫助資訊並退出 --email EMAILEmail 地址 --address ADDRESSIP 地址 --domain DOMAIN域名 --elasticsearchElasticsearch 輸出
域檢查示例
python danger-zone.py --domain example.net --elastic Successfully connected to ElasticSearch ----------------VirusTotal module--------------------------- [*] Domain was resolved to following IPs: xxx.xxx.xxx.xxx on 2017-02-20 00:00:00 [*] Saving output to Elasticsearch -------------------WhoIs history module--------------------- [*} Found 1 result(s) [*] Domain example.net was registered on 2017-02-15 in GoDaddy.com, LLC [*] Contact: [REDACTED] [*] Name servers: ns47.domaincontrol.com ns48.domaincontrol.com --- [*] Saving output to Elasticsearch .net is sponsored by VeriSign Global Registry Services [...] --------------------Threatcrowd module------------------------ Reputation of 0downcarleasedeals.com: no opinion [*] Domain was resolved to following IPs: xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx [*] Saving output to Elasticsearch ----------------VirusTotal module--------------------------- API limitation, putting into sleep for 70 sec [*] Domain was resolved to following IPs: xxx.xxx.xxx.xxx on 2017-09-28 00:00:00 xxx.xxx.xxx.xxx on 2018-08-22 13:57:06 xxx.xxx.xxx.xxx on 2018-09-21 00:28:27 [*] Saving output to Elasticsearch -------------------WhoIs history module--------------------- [*} Found 1 result(s) [*] Domain example2.com was registered on 2017-01-24 in GoDaddy.com, LLC [*] Contact: [REDACTED] [*] Name servers: ns47.domaincontrol.com ns48.domaincontrol.com --- [*] Saving output to Elasticsearch [*] Saving graph to graph/20180920-185210-example.net.png Press Enter to quit...
輸出
以下是生成的域和IP關聯圖(以fximperium[.]net為中心):
Console
生成到控制檯的報告資訊會比儲存檔案的更詳細。
其他資訊包括Google搜尋結果,使用者名稱檢查和HaveIBeenPwned模組。
重要的資訊會在控制檯中高亮顯示,可以幫你更好的記憶和關聯它們。
Kibana
使用各個包含特定資訊的模組名稱建立索引。
JSON
建立結構如下:
限制
我原本想新增更多的免費服務,但我發現大多數服務都需要收費。使用Danger-zone需要建立兩個帳戶,一個VirusTotal這是完全免費的,允許你每分鐘發出4次請求。
Whoxy服務開始時也為我們提供了免費服務,但這已經足夠我們使用的了。有個限制就是隻能檢查2-3 level,因為連線量過大圖形將無法讀取,但完整資訊將被儲存到JSON檔案和ElasticSearch中。
*參考來源: github , FB小編 secist 編譯,轉載請註明來自FreeBuf.COM