【工具分享】写了一个威胁情报收集的小工具


0x00 介绍

tig Threat Intelligence Gathering 威胁情报收集,旨在提高蓝队拿到攻击 IP 后对其进行威胁情报信息收集的效率,目前已集成微步、IP 域名反查、Fofa 信息收集、ICP 备案查询、IP 存活检测五个模块,现已支持以下信息的查询:

  • ✅ 微步标签
  • ✅ IP 域名反查
  • ✅ ICP 备案查询
  • ✅ IP 存活检测
  • ✅ 开放端口查询
  • ……

后续将集成更多模块,如有好的建议或遇到 Bug 欢迎与我反馈,我的微信号:teamssix_com

工具地址:https://github.com/wgpsec/tig,或点击查看原文链接进行打开

如果感觉工具还行,欢迎各位师傅赏个 star

0x01 安装

需要 python3 环境支持

pip3 install -r requirements.txt
python3 tig.py

0x02 使用

工具命令如下:

-h, --help  查看帮助信息
-c CONFIG   指定配置文件,默认 ./config.ini
-f FILE     IP 文本,一行一个
-i IP       目标 IP
-p PROXY    指定代理,比如:http://127.0.0.1:1080 或者 socks5://127.0.0.1:1080

在开始使用工具之前,需要对配置文件进行配置,默认配置文件如下:

[Threat Intelligence]

# 微步威胁情报查询,查看 api 地址:https://x.threatbook.cn/nodev4/vb4/myAPI(每天 50 次的免费额度)
ThreatBook_enable = true
ThreatBook_api = ''

[IP Passive Information]

# IP 反查,调用 http://api.hackertarget.com/reverseiplookup/ 的 api,每个 IP 限制每天 100 次免费查询
IP_reverse_enable = true

# ICP 备案信息查询,调用 https://api.vvhan.com/api/icp 的 api,如果目标 IP 没有反查到域名,该项即使开启也不会有输出
ICP_beian_enable = true

# Fofa ip 信息查询,查看 api 地址:https://fofa.so/user/users/detail(付费,普通会员每次100条,高级会员每次10000条)
Fofa_enable = true
Fofa_email = ''
Fofa_api = ''

[IP Active Information]

# 利用 ping 命令对 IP 进行存活检测
IP_survive_enable = true

在配置文件里添加自己的微步 API 和 Fofa API 才可使用相关模块,添加 API 后,就可以正常使用相关模块了。

例如这里获取某个 IP 的信息,直接使用 -i 命令即可,如果想使用代理可以使用 -p 命令。

0x03 最后

如果在工具使用的过程中发现存在 bug 等问题,欢迎与我反馈,我的微信号:teamssix_com,同时也欢迎关注我的个人微信公众号:TeamsSix


文章作者: Teams Six
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Teams Six !
评论
 上一篇
【内网学习笔记】域内主机端口探测的一些方法总结 【内网学习笔记】域内主机端口探测的一些方法总结
注:本文中的工具均来源自互联网,后门自查。 在进入目标域后,对域内存活主机进行端口探测是经常要做的一步,在此记录一些常见的方法。 1、Telnet如果想探测某台主机的某个端口是否开放,直接使用 telnet 命令是最方便的。 C:\Us
下一篇 
【内网学习笔记】5、BloodHound 的使用 【内网学习笔记】5、BloodHound 的使用
1、介绍BloodHound 使用可视化图形显示域环境中的关系,攻击者可以使用 BloodHound 识别高度复杂的攻击路径,防御者可以使用 BloodHound 来识别和防御那些相同的攻击路径。蓝队和红队都可以使用 BloodHound
  目录