Question

红队通常需要开展攻击。您不仅需要时刻准备好攻击基础架构，还需要不断地寻找漏洞。您可以使用各种工具扫描网络环境、查找服务和云配置错误等，完成操作。通过这些操作，您可以收集有关被攻击者基础网络的大量信息，并找到直接的攻击途径。

2.1.1 常规 Nmap 扫描结果比较

对于所有的客户，我们要做的第一件事就是设置不同的监控脚本。这些通常只是快速执行的 bash 脚本，脚本的功能是每天通过电子邮件向我们发送客户网络的变化。当然，在扫描之前，请确保您具有执行扫描的合法授权。

对于通常不是很大的客户端网络，我们设置简单的定时任务来执行外部端口差异化的比较。例如，我们可以在 Linux 系统中创建一个快速 bash 脚本，完成这项烦琐的工作（记得替换 IP 地址范围）。

• #!/bin/bash。
• mkdir/opt/nmap_diff。
• d=$(date +%Y-%m-%d)。
• y=$(date -d yesterday +%Y-%m-%d)。
• /usr/bin/nmap -T4 -oX/opt/nmap_diff/scan_$d.xml 10.100.100.0/24 > /dev/null 2>&1。
• if [ -e/opt/nmap_diff/scan_$y.xml ]; then。
• /usr/bin/ndiff/opt/nmap_diff/scan_$y.xml/opt/nmap_diff/scan_$d.xml >/opt/nmap_ diff/diff.txt。
• fi。

这是一个非常简单的脚本，功能是每天运行 Nmap 工具，扫描默认端口，然后使用 ndiff 工具比较结果，如图 2.1 所示。获得脚本输出的结果后，通知我们的团队每天发现的新端口。

在本书上一版中，我们讨论了 Masscan 工具的优点以及它的扫描速度。Masscan 的开发人员表示，如果拥有足够的网络带宽，您可以在 6 min 内完成整个互联网扫描。Masscan 工具存在的一个问题是，大范围扫描时可靠性无法保证。Masscan 工具对于我们前期的侦察很有帮助，但通常不用于端口差异的比较。

实验

本书中的实验是完全可选的。一些章节中已经介绍了用于执行测试的附加实验或者是您可以拓展的领域。由于这完全是为了学习和发现自己的兴趣点，强烈建议您花些时间更好地使用我们的工具，并在社区中分享工具的使用方法。

图 2.1

搭建更详细的网络差异扫描器。

• 相对于 Nmap 工具默认的端口列表，设置更详细的端口列表（如 Nmap 默认没有包括 Redis 6379/6380 等端口）。
• 增加 Nmap 获取旗标的功能。
• 保持端口的历史记录。
• 搭建电子邮件警报/通知系统。
• 检查差异 Slack 警报：http://bit.ly/2H1o5AW。

2.1.2 网站截图

除定期扫描开放端口/服务外，红队还需要监控不同的网站应用程序。我们可以使用两个工具监控网站应用程序的变化。

第一个常用的网页截图工具是 HTTPScreenshot。HTTPScreenshot 的功能非常强大，它使用 Masscan 工具快速扫描大型网络，并使用 PhantomJS 工具记录检测到的任何网站的屏幕截图，如图 2.2 所示。这是快速获取大型内部或外部网络架构的好方法。

请记住，本书中提到的所有工具都运行在定制的 Kali 虚拟机中。

• cd /opt/httpscreenshot/。
• 编辑 networks.txt 文件，修改网络扫描参数。
  • gedit networks.txt
• ./masshttp.sh。
• firefox clusters.html。

图 2.2

我推荐的另一个网页截图工具是 Eyewitness。Eyewitness 是很好的工具，它能够识别 Nmap 工具输出的 XML 文件，输出的结果包括截屏网页、RDP 服务器和 VNC 服务器等信息，如图 2.3 所示。

实验

• cd /opt/EyeWitness。
• nmap [IP Range]/24 --open -p 80,443 -oX scan.xml。
• python ./EyeWitness.py -x scan.xml -web。

图 2.3

2.1.3 云扫描

随着越来越多的公司开始使用各种云基础架构，网络中出现了许多新的攻击方式。这通常是由于配置错误以及不了解他们的云基础架构到底面临什么困境造成的。无论是亚马逊 EC2、Azure、谷歌云还是其他一些云服务商，都存在此类问题，这个问题已成为全球性的问题。

对于红队来说，面临的难题是如何在不同的云环境中进行搜索。由于许多用户使用动态 IP，因此他们的服务器 IP 地址不仅快速变化，而且也没有在云服务商的固定地址范围列表中。例如，如果您使用 AWS 云服务（AWS 云服务在全球范围内拥有巨大的 IP 地址范围），那么根据选择的区域，您的服务器可能被设置在/13 掩码地址范围内。对于局外人来说，查找和监控这些服务器并不容易。

首先，确定不同云服务商拥有的 IP 范围，如 Amazon、Azure 和 Google Cloud。

你可以看出这些地址范围很大，手动扫描非常困难。在本章中，我们将介绍如何获取有关这些云系统的信息。

2.1.4 网络/服务搜索引擎

如何找到云服务器？互联网上有大量免费的资源，我们可以基于这些资源对目标进行侦察。我们可以使用 Google 以及第三方扫描服务等方式。利用这些资源，我们无须主动探测，便能够深入地了解公司，查找服务器、开放服务、旗标和其他详细的信息。目标公司永远不会知道您查询过这类信息。作为红队，下面我们来了解如何利用这些资源。

1．Shodan

Shodan 是一项非常棒的服务，它定期扫描互联网，抓取旗标、端口和网络等多种信息。Shodan 甚至还搜索漏洞信息，例如“心脏滴血”漏洞。Shodan 的一个危险的用途就是查找未设置口令的网络摄像头，查看摄像头的内容。从红队的角度来看，我们希望找到有关被攻击者的信息。

一些基本的搜索查询如下。

• title：搜索 HTML 标记中的内容。
• html：搜索返回页面的完整 HTML 内容。
• product：搜索 Banner 中标识的软件或产品的名称。
• net：搜索给定的网络地址段（如 204.51.94.79/18）。

我们可以在 Shodan 上搜索 cyberspacekittens。

• 在 HTML 标记中搜索。
  • title:cyberspacekittens
• 在页面上下文中搜索。
  • html:cyberspacekittens.com

我注意到 Shodan 的扫描速度有点慢。它需要一个多月的时间才能扫描完我的服务器信息并放入 Shodan 数据库。

2．Censys.io

Censys 会持续监控互联网上每个可访问的服务器和设备，因此您可以实时搜索和分析它们。您将能够了解自身网络的攻击面，发现新威胁并评估其全面的影响。Censys 极具特色的功能之一是它能从 SSL 证书中获取信息。通常，红队的主要困难之一是找到被攻击者的服务器在云服务器上的位置。幸运的是，我们可以使用 Censys.io 来查找这些信息，因为 Censys 已经解析了这些数据。

Censys.io 扫描存在的一个问题是扫描可能需要几天或几周的时间。在这种情况下，需要一天的时间来扫描标题信息。此外，在我的网站上创建 SSL 证书后，信息显示在 Censys.io 网站上需要 4 天的时间。在数据准确性方面，Censys.io 非常可靠。

下面，我们扫描目标 cyberspacekittens.com，查找有关信息。通过解析服务器的 SSL 证书，我们能够确定目标服务器是在 AWS 上托管的，如图 2.4 所示。

图 2.4

还有一个 Censys 脚本工具，可以通过脚本化过程查询子域名。

2.1.5 人工解析 SSL 证书

我们发现大多数公司几乎不会意识到自己在互联网上暴露了什么内容。特别是随着云服务应用的增加，许多公司并没有正确采取访问权限控制措施。这些公司认为自己的服务器已经受到保护，但是我们发现很多服务是对外开放的。这些服务包括 Redis 数据库、Jenkin 服务器、Tomcat 管理和 NoSQL 数据库等。其中许多服务导致远程代码执行或个人身份信息失窃。

查找这些云服务器时，一种方法是在互联网上以自动方式人工获取 SSL 证书。我们根据云服务商提供的 IP 地址范围列表，定期扫描所有这些地址范围并下载 SSL 证书。通过查看 SSL 证书，我们可以了解关于一个组织的大量信息。针对网络安全猫公司 IP 地址的范围开展扫描，我们可以看到证书中的主机名，.int 是内部服务器，.dev 是研发主机，vpn 是 VPN 服务器等，如图 2.5 所示。很多时候，您可以获得内部主机名，这些主机可能没有公共 IP 或内网允许访问的白名单 IP 地址。

图 2.5

为了实现通过扫描获取证书中的主机名，为本书开发了 sslScrape 工具。该工具利用 Masscan 快速扫描大型网络。它能够识别端口 443 上的服务，并提取证书中的主机名，如图 2.6 所示。

图 2.6

开始运行 sslScrape。

• cd /opt/sslScrape。
• python ./sslScrape.py [IP 地址掩码范围]。

本书提供了示例和工具框架。但是，这些代码是否需要进一步开发取决于您。我强烈建议您将此代码作为基础，将所有主机名保存到数据库，开发网站前端交互界面，连接可能具有证书的其他端口，例如 8443 等，甚至可能会挖掘一些漏洞，例如.git/.svn 类型漏洞。

2.1.6 子域名发现

在识别 IP 范围方面，我们通常可以从公共资源中查找公司的信息，例如美洲互联网号码注册管理机构（ARIN）。我们可以查询 IP 地址空间的注册人员，搜索公司拥有的网络，按组织查找自治系统编号等。如果我们在北美以外的地区寻找，那么可以通过 AFRINIC（非洲）、APNIC（亚洲）、LACNIC（拉丁美洲）和 RIPE NCC（欧洲）查询。这些机构都是可供公开查询的，在它们的服务器上可以进行检索。

您可以通过许多可用的公共资源，查询任何主机名或正式域名，获取该域的所有者。您在这些地方查询不到子域名的信息。子域名信息存储在目标的 DNS 服务器上，而不是在某些集中的公共注册系统上。您必须知道如何搜索才能找到有效的子域名。

为什么找到目标服务器子域名如此重要？有以下几个原因。

• 某些子域可以指示服务器的类型（如 dev、vpn、mail、internal 和 test），如 mail.cyberspacekittens.com。
• 某些服务器不响应 IP 查询。它们共享基础架构，仅对正规的域名进行响应。这在云基础架构上很常见。因此，即使一整天都在扫描，但是如果找不到子域名，您都不会真正了解那个 IP 地址上运行的应用程序。
• 子域可以提供有关目标托管其服务器的位置信息。这是通过查找公司的所有子域，执行反向查找以及查找 IP 托管位置来完成的。一家公司可能同时使用多个云服务商和数据中心。

在本书上一版中我们已经做了一些介绍，下面让我们回顾一下当前使用和新出现的工具，从而能够更好地开展子域名发现。欢迎加入并扫描 cyberspacekittens.com 域名。

1．发现脚本

发现脚本工具是我很喜欢的一个侦察/发现工具，在本书上一版中已经讨论过。我喜欢使用它的原因是它集成了 Kali Linux 中的多个侦察工具，并且定期维护。被动域名侦察将使用以下工具：ARIN、dnsrecon、goofile、goog-mail、goohost、theHarvester、Metasploit、URLCrazy、Whois、多个网站和 recon-ng 等。

• git clone https://github.com/leebaird/discover/opt/discover/。
• cd /opt/discover/。
• ./update.sh。
• ./discover.sh。
• Domain。
• Passive。
• [Company Name]。
• [Domain Name]。
• firefox/root/data/[Domain]/index.htm。

Discover 脚本的最大优点是它能够搜集所需的信息，并根据这些信息继续搜索。例如，脚本搜索公共 PGP 存储库，在识别出电子邮件后，通过邮件地址在“Have I Been Pwned”网站继续搜索（使用 Recon-NG 脚本）。这样我们就可以第一时间知道这些邮件口令是否已经被公开泄露（您也要查询一下自己的邮件口令是否已经泄露）。

2．Knock

接下来，我们希望了解公司使用的所有服务器和域名。虽然子域名不是集中存储，但是我们可以使用工具（如 Knock）暴力破解不同类型的子域名，从而可以识别哪些服务器或主机可能遭受攻击。

Knockpy 是一个 Python 工具，通过字典枚举目标域名的子域名。

Knock 是一个很棒的子域名扫描工具，通过字典枚举子域名，并判断是否可以解析。因此，如果您想了解 cyberspacekittens.com 子域名，那么利用 Knock 工具获取下面网址的字典，并查看是否存在[subdomain] .cyberspacekittens.com 子域名。这里需要注意的是，Knock 的扫描效果取决于您的字典。因此，拥有更好的字典将大大增加发现子域名的可能性。

我最喜欢的子域名字典是由 jhaddix 生成的。您需要持续搜集子域名来生成字典。您可以在本书虚拟机镜像中找到其他字典，位置是/opt/SecLists。

实验

找到 cyberspacekittens.com 的所有子域名。

• cd /opt/knock/knockpy。
• python ./knockpy.py cyberspacekittens.com。
• 使用了 Knock 的基本字典。尝试下载并使用更大的字典。尝试使用 http://bit.ly/ 2qwxrxB 列表，添加-u 选项（python ./knockpy.py cyberspacekittens.com -u all.txt）。

您是否从 Discover 脚本中发现了各种类型域名的差异？哪些类型的域名将是您“攻击”的首选目标或者可用于鱼叉式网络钓鱼攻击？到实际的网络环境中进行尝试吧。您可以参加一个漏洞悬赏项目，开始搜索有趣的子域名。

3．Sublist3r

前面已经说过，Knock 存在的问题是子域名搜索效果与字典直接相关。有些公司设置了非常独特的子域名，这些子域名无法在常用的字典中找到。我们还可以利用搜索引擎。随着网站的信息被抓取，通过分析带有链接的文件，我们就可以获取很多网站的公共资源，这意味着我们可以使用搜索引擎完成这些烦琐的工作。

这就是我们使用 Sublist3r 之类的工具的原因。请注意，使用 Sublist3r 这样的工具对应不同的“google dork”搜索查询，这种操作方式看起来像机器人操作。这可能会使您暂时被列入黑名单，并需要在每次请求时填写验证码，从而影响扫描结果。下面运行 Sublister。

• cd /opt/Sublist3r。
• python sublist3r.py -d cyberspacekittens.com -o cyberspacekittens.com。

您是否注意到暴力破解子域名可能不会有任何结果？在漏洞悬赏项目中进行实验，查看暴力破解和使用搜索引擎之间的巨大差异。

4．SubBrute

最后介绍的一个子域名搜索工具是 SubBrute。SubBrute 是一个社区项目，其目标是创建最快、最准确的子域名枚举工具。SubBrute 工具的神奇之处在于它使用开放式解析器作为代理，从而规避 DNS 查询速率限制。

工具设计采用了一个匿名层，因为 SubBrute 不会将流量直接发送到目标名称服务器。

SubBrute 不仅速度极快，而且还具有 DNS 爬虫特性，能够抓取 DNS 记录。下面运行 SubBrute。

• cd /opt/subbrute。
• ./subbrute.py cyberspacekittens.com。

我们还可以拓展 SubBrute 功能，将其与 MassDNS 结合使用，从而实现非常高效的 DNS 解析。

2.1.7 GitHub

GitHub 是一个不可思议的数据宝库。我们进行了大量的渗透测试和红队评估，从而获得了密码、API 密钥、旧的源代码和内部主机名/IP 地址等。这些信息可用于直接控制目标或者为下一次攻击提供帮助。我们看到的是，许多开发人员要么将代码推送到错误的仓库（将其发送到公共存储库而不是公司的私有存储库），要么不小心推送了敏感材料（如密码），然后尝试将其删除。GitHub 的一个特点是它可以在每次修改或删除代码时进行跟踪。这意味着即使仅一次将敏感代码推送到存储库并且删除了敏感文件，仍可以在代码更改记录中找到敏感代码。只要存储库是公共的，您就可以查看所有这些更改。

我们可以使用 GitHub 搜索，甚至只使用简单的 Google Dork 搜索识别特定的主机名/组织名称。

• site：github.com +“cyberspacekittens”。

与其搜索以下示例中的 cyberspacekittens，不如尝试使用不同的搜索引擎搜索漏洞悬赏项目。

如前所述，当您在 GitHub 中编辑或删除文件时，所有的操作都被记录下来。幸运的是，在红队中，很多人都忘记了这个功能。因此，我们经常看到有人将敏感信息放入 GitHub，删除它，并没有意识到它仍然存在！让我们看看是否能找到一些这样的信息。

Truffle Hog

Truffle Hog 工具能够扫描不同的提交历史记录，查找高熵值的密钥，并打印这些内容。它非常适合用来查找密码、口令和密钥等。我们来看一看能否在 cyberspacekittens 的 GitHub 存储库中找到一些“秘密”。

实验

• cd /opt/trufflehog/truffleHog。
• python truffleHog.py https://github.com/cyberspacekittens/dnscat2。

正如我们在图 2.7 所示的提交历史记录中看到的那样，AWS 密钥和 SSH 密钥已从 server/controller/ csk.config 中删除。

图 2.7

更好的工具是 git-all-secrets（但设置起来有点复杂）。git-all-secrets 适合用于查找大型组织。您可以指定一个组织，在本地复制代码，然后使用 Truffle-hog 和 repo-supervisor 工具进行扫描。您首先需要创建一个 GitHub 访问令牌，操作过程是创建 GitHub 并在设置中选择 Generate New Token。

运行 git-all-secrets。

• cd /opt/git-all-secrets。
• docker run -it abhartiya/tools_gitallsecrets：v3 - repoURL = https://github.com/ cyberspacekittens/dnscat2 -token = [API Key] -output = results.txt。
• 复制代码库并开始扫描。你甚至可以设置-org，获取 GitHub 中的所有组织的代码。
• 在容器运行完毕后，输入以下命令检索容器 ID。
  • docker ps -a
• 在获得容器 ID 后，从容器中将结果文件复制到主机，输入以下命令。
  • docker cp <container-id>：/data/results.txt

2.1.8 云

前面提到过，许多公司云服务的配置不正确，导致出现安全漏洞。常见问题如下。

• Amazon S3 容器丢失。
• Amazon S3 容器权限。
• 能够列出文件并将文件写入公共 AWS 容器。
  • aws s3 ls s3://[bucketname]
  • aws s3 mv test.txt s3://[bucketname]
• 缺少日志。

在开始测试不同 AWS 容器上的错误配置之前，我们需要先识别它们。下面我们尝试使用几种不同的工具，发现目标 AWS 基础架构的内容。

1．S3 容器枚举

有许多工具可以枚举 AWS 的 S3 容器。这些工具通常采用关键字或列表，应用多个排列，然后尝试识别不同的容器。例如，我们可以使用一个名为 Slurp 的工具来查找有关目标 CyberSpaceKittens 的信息，如图 2.8 所示。

• cd /opt/slurp。
• ./slurp domain -t cyberspacekittens.com。
• ./slurp keyword -t cyberspacekittens。

图 2.8

2．Bucket Finder

另一个工具 Bucket Finder 不仅会尝试查找不同的容器，而且会从这些容器中下载所有内容进行分析，如图 2.9 所示。

• wget https://digi.ninja/files/bucket_finder_1.1.tar.bz2 -O bucket_finder_1.1.tar.bz2。
• cd /opt/bucket_finder。
• ./bucket_finder.rb --region us my_words -download。

图 2.9

现在我们查明了 Cyber Space Kittens 的基础架构，并确定了其中一个 S3 容器。在获取 S3 容器内容（有的能看到，有的看不到）时，您的第一步是做什么？您可以先在浏览器中输入网址，查看一些信息，如图 2.10 所示。

图 2.10

在开始之前，我们需要创建一个 AWS 账户，获取访问密钥 ID。您可以从亚马逊网站免费获取您的账户。创建账户后，登录 AWS，获取您的安全凭证和访问密钥。一旦您获得 AWS Access ID 和密钥，就可以查询申请的 S3 容器了。

查询 S3 容器并下载所有内容。

• 安装 awscli。
  • sudo apt install awscli
• 配置凭据。
  • aws configure
• 查看 CyberSpaceKittens 的 S3 容器的权限。
  • aws s3api get-bucket-acl --bucket cyberspacekittens
• 从 S3 容器中读取文件。
  • aws s3 ls s3://cyberspacekittens
• 下载 S3 容器中的所有内容。
  • aws s3 sync s3://cyberspacekittens

在查询 S3 容器之后，接下来要测试的是该容器的写入权限。如果我们具有写访问权限，则可以完全控制容器中的应用程序。我们经常看到，当存储在 S3 容器中的文件在所有页面上使用时（如果我们可以修改这些文件），我们可以将恶意代码复制到 Web 应用程序服务器。

写入 S3，如图 2.11 所示。

• echo "test" > test.txt。
• aws s3 mv test.txt s3://cyberspacekittens。
• aws s3 ls s3://cyberspacekittens。

注意，写权限已从 Everyone 组中删除。这只是为了演示。

图 2.11

3．修改 AWS 容器中的访问控制权限

在分析 AWS 安全性时，我们需要检查对象和容器的权限控制。对象是单个文件，容器是逻辑存储单元。如果配置不正确，这两个权限可能会被用户任意修改。

首先，我们查看每个对象，检查是否正确配置了这些权限。

• aws s3api get-object-acl --bucket cyberspacekittens --key ignore.txt。

我们看到该文件只能由名为“secure”的用户写入，并未对所有人开放。如果我们具有写访问权限，则可以使用 s3api 中的 put-object 函数来修改该文件。

接下来，我们来查看是否可以修改容器。这可以通过以下方式实现，如图 2.12 所示。

• aws s3api get-bucket-acl --bucket cyberspacekittens。

图 2.12

同样，在这两种情况下，READ 是全局许可的，但只有名为“secure”的账户才具有完全控制或任意写的权限。如果我们访问容器，那么可以使用--grant-full-control 来完全控制容器和对象。

4．子域名劫持

子域名劫持是常见的漏洞，近期我们发现很多公司有这个漏洞。如果一家公司使用第三方 CMS/内容/云服务商，将子域名指向这些服务商的平台，会发生什么情况？如果该公司忘记配置第三方服务或者忘记注销服务，攻击者可以从第三方服务商接管该子域名。

例如，您注册名为 testlab.s3.amazonaws.com 的 S3 Amazon 容器。然后，您的公司的子域名 testlab.company.com 指向 testlab.s3.amazonaws.com。一年后，您不再使用 S3 容器，并取消了 testlab.s3.amazonaws.com 注册，但忘记了 testlab.company.com 的别名记录的重定向配置。现在有人可以访问 AWS 并重新申请 testlab.s3.amazon.com，并在被攻击者的域上拥有有效的 S3 容器。

tko-subs 工具可以检测子域名劫持漏洞。我们可以使用这个工具，检查任何指向 CMS 服务商（Heroku、GitHub、Shopify、Amazon S3、Amazon CloudFront 等）的子域名是否可以被劫持。

运行 tko-subs。

• cd /opt/tko-subs/。
• ./tkosubs -domains = list.txt -data = providers-data.csv output = output.csv。

如果找到一个未注册的别名记录，那么可以使用 tko-subs 来接管 GitHub 页面和 Heroku 应用程序。否则，我们需要手动完成。以下两个工具也具有域名劫持功能。

• HostileSubBruteforcer。
• autoSubTakeover。

2.1.9 电子邮件

社会工程攻击的很大一部分工作是搜索电子邮件地址和员工姓名。在前面的章节中，我们提到了 Discover Script，这个工具非常适合搜集电子邮件和员工姓名等数据。我通常首先使用 Discover 脚本，然后再使用其他工具挖掘数据。每个工具的工作方式略有不同，尽可能多地使用这些工具是非常有帮助的。

获得一些电子邮件后，最好了解目标的电子邮件命名格式。目标是采用姓.名 @ cyberspacekitten.com 还是初始.姓 @ cyberspacekittens.com 的命名方式？一旦找出邮件的命名格式，我们就可以使用像 LinkedIn 这样的工具，找到更多的员工姓名，并尝试识别他们的电子邮件地址。

1．SimplyEmail

我们都知道，鱼叉式网络钓鱼仍然是非常有效的攻击方式。如果我们未发现公司网络的任何漏洞，那么只能“攻击”公司的员工。要构建一个有效的电子邮件地址列表，我们可以使用 SimplyEmail 工具。这个工具能够输出公司的电子邮件地址格式和有效用户列表。

实验

查找 cnn.com 的所有电子邮件账户。

• cd /opt/SimplyEmail。
• ./SimplyEmail.py -all -v -e cyberspacekittens.com。
• firefox cyberspacekittens.com <date_time>/Email_List.html。

这可能需要运行很长时间，因为 SimplyEmail 工具会检索 Bing、Yahoo、Google、Ask Search、PGP Repos 和文件等，如图 2.13 所示。这也可能使您的网络看起来像搜索引擎的机器人，由于 SimplyEmail 工具会发起非常多的搜索请求，因此可能需要验证码。

图 2.13

对您的公司进行这种检测。您是否看到了熟悉的电子邮件地址？这些邮件地址将是后续行动中的攻击目标。

2．过去的泄露事件

获取电子邮件地址的一种方法是持续监控和关注之前的泄露事件。我不想直接提供泄露文件的链接，但我会提供这些事件的名称。

• 2017 年密码泄露 14 亿次。
• 2013 年的 Adobe 泄露事件。
• Pastebin Dumps。
• Exploit.In Dumps。
• Pastebin Google Dork。