TIG:一款威胁情报收集小工具

枫少@KillBoy
枫少@KillBoy
管理员
219
文章
0
粉丝
资源分享386,515字数 556阅读1分51秒阅读模式
AI智能摘要
你是否还在为攻击IP情报收集效率低下而头疼?这款蓝队必备的TIG工具,集成了微步、Fofa、IP反查、ICP备案、Whois查询、存活检测等六大核心功能,一键自动化获取IP关联域名、端口、地理位置、备案信息等关键情报。经过4个版本迭代,现已支持API联动与代理配置,大幅提升溯源效率。开源免费,配置简单,安全人员实战利器。想知道如何快速上手并集成到你的工作流?点开即见答案。
— AI 生成的文章内容摘要

0x00 介绍

TIG(Threat Intelligence Gathering)威胁情报收集,旨在提高蓝队拿到攻击 IP 后对其进行威胁情报信息收集的效率。

在经历了4个版本的迭代之后,目前已集成微步、IP 域名反查、Fofa 信息收集、ICP 备案查询、IP 存活检测、Whois 信息查询六个模块,现已支持以下信息的查询:

✅ 微步标签
✅ IP 域名反查
✅ IP 存活检测
✅ ICP 备案查询
✅ 开放端口查询
✅ Whois 信息查询
✅ IP 地址位置查询
……

项目地址:https://github.com/wgpsec/tig

0x01 安装

该工具需要 python3 环境支持

git clone https://github.com/wgpsec/tig.git cd tig pip3 install -r requirements.txt python3 tig.py

0x02 使用

工具命令如下:

-h --help  查看帮助信息 -c CONFIG   指定配置文件,默认 ./config.ini -f FILE     IP 文本,一行一个 -i IP       目标 IP -p PROXY    指定代理,比如:http://127.0.0.1:1080 或者 socks5://127.0.0.1:1080

在开始使用工具之前,需要对配置文件进行配置,默认配置文件如下:

[Threat Intelligence]  # 微步威胁情报查询,查看 api 地址:https://x.threatbook.cn/nodev4/vb4/myAPI(每天 50 次的免费额度) ThreatBook_enable = true ThreatBook_api = ''  [IP Passive Information]  # IP 反查,调用 http://api.hackertarget.com/reverseiplookup/ 和 http://api.webscan.cc/ 的 api 接口 IP_reverse_enable = true  # ICP 备案信息查询,调用 https://api.vvhan.com/api/icp 的 api,如果目标 IP 没有反查到域名,该项即使开启也不会有输出 ICP_beian_enable = true  # Whois 信息查询,调用 https://api.devopsclub.cn/api/whoisquery 的 api Whois_enable = true  # Fofa ip 信息查询,查看 api 地址:https://fofa.so/user/users/detail(付费,普通会员每次100条,高级会员每次10000条) Fofa_enable = true Fofa_email = '' Fofa_api = ''  [IP Active Information]  # 利用 ping 命令对 IP 进行存活检测 IP_survive_enable = true

在配置文件里添加自己的微步 API 和 Fofa API 才可使用相关模块,添加 API 后,就可以正常使用相关模块了。

例如这里获取某个 IP 的信息,直接使用 -i 命令即可。

TIG:一款威胁情报收集小工具

0x03 最后

后续此工具将集成更多模块,如有好的建议或遇到 Bug 欢迎在下方或者在我的公众号 TeamsSix 里留言。

https://www.freebuf.com/sectool/266373.html

 
枫少@KillBoy
评论  38  访客  38
    • 夜色孤寂
      夜色孤寂 0

      这工具挺实用的。

      • BinaryOverlord
        BinaryOverlord 0

        挺省事的,直接上手。

        • 彩虹黑洞吞噬者
          彩虹黑洞吞噬者 0

          配置文件里把微步API和Fofa的key都填好,别忘了把proxy也写进去 🤔

          • 社恐小蝉
            社恐小蝉 0

            我前几天在公司内部渗透测试时用了TIG,批量IP查询省了好多时间,只是whois信息有时更新不及时,需要手动核对。

            • 长乐公主
              长乐公主 0

              M1上跑会卡吗?需要额外依赖吗。

              • 火焰纹章
                火焰纹章 0

                API钥匙放哪儿配置啊?

                  • 梁辉
                    梁辉 0

                    @ 火焰纹章 配置文件里填ThreatBook_api和Fofa_api那俩字段就行。

                  • 海铃
                    海铃 0

                    我之前也用TIG抓过IP,真的省事。

                      • TwilightSeer
                        TwilightSeer 0

                        @ 海铃 IP反查调了两个接口,其实可以再加个viewdns试试。

                          • 翻跟头的石榴
                            翻跟头的石榴 0

                            @ TwilightSeer 加delay呗,我每查一条睡个1秒,稳定不少。

                        • 糖果树
                          糖果树 0

                          看到有人把Fofa的配额搞满了,感觉好笑。

                          • 战栗
                            战栗 0

                            文档里没说pip要加国内源,装了一下午。

                            • Thorne荆棘
                              Thorne荆棘 1

                              补充一下,IP存活检测用ping实现,省去额外工具。

                              • 旧日情怀馆
                                旧日情怀馆 0

                                这个工具在Mac M1上跑会卡吗,python依赖兼容吗?

                                • 旧情书
                                  旧情书 0

                                  前几天我用TIG批量查询了几百条IP,结果发现有些whois信息根本是老的备案,导致误判,还好手动核对了一遍。整体还是值得推荐,只是数据更新慢点。🤔

                                    • 幽光魅影
                                      幽光魅影 0

                                      @ 旧情书 数据源确实有延迟,上次查个刚换绑的域名,还显示旧备案。

                                    • 虚无链接
                                      虚无链接 0

                                      感觉还行。

                                      • 冰柠七
                                        冰柠七 0

                                        这工具挺省事的,就是微步配额太少了。

                                          • 影之低语者
                                            影之低语者 0

                                            @ 冰柠七 微步每天50次确实不够用,跑个批量直接没了,得自己搞API轮换。

                                              • 仓鼠嘟嘟
                                                仓鼠嘟嘟 0

                                                @ 影之低语者 M1上跑原生Python3还好,要是用conda容易出问题,建议用brew装。

                                            • 嚼牙巴
                                              嚼牙巴 0

                                              我拿它扫过一波IP,结果一堆存活IP是代理池的,哭笑不得。

                                              • 小揪揪
                                                小揪揪 1

                                                谁试过用代理池跑?感觉会不会被封API啊?

                                                  • 数据狂潮
                                                    数据狂潮 0

                                                    @ 小揪揪 用代理池风险大,微步那边检测严,搞不好号就废了。

                                                  • 樱花絮语
                                                    樱花絮语 1

                                                    Fofa那模块得充钱才好用,免费的查不了几次。

                                                    • 笛仙高
                                                      笛仙高 0

                                                      这个配置在M1上跑有点慢,不过没报错,凑合用吧。

                                                      • 尘外音
                                                        尘外音 0

                                                        文档写得是真简略,连依赖版本都没提。

                                                          • MysticSleeper
                                                            MysticSleeper 0

                                                            @ 尘外音 Python3.8+基本都能跑,主要是requests和urllib3别太老就行。

                                                          • LunarSentry
                                                            LunarSentry 0

                                                            想问下批量查询的时候怎么避免被限流?

                                                            • 不想起名字啊
                                                              不想起名字啊 0

                                                              IP反查调了两个接口,挺稳的,比单靠一个强。

                                                                • 甜橙小可爱
                                                                  甜橙小可爱 0

                                                                  @ 不想起名字啊 config.ini里填ThreatBook_api和Fofa_api那两行,记得去掉引号。

                                                                • 话多到爆炸
                                                                  话多到爆炸 1

                                                                  偷偷问下,API配额够用不?

                                                                    • 孤傲独行
                                                                      孤傲独行 1

                                                                      @ 话多到爆炸 每天50次,小规模够用。

                                                                    • 地煞七星
                                                                      地煞七星 1

                                                                      能跑起来就行,功能挺全的

                                                                      • 林间漫步
                                                                        林间漫步 1

                                                                        查备案那个模块挺实用的

                                                                          • 锦瑟年
                                                                            锦瑟年 1

                                                                            @ 林间漫步 我也常用这个查备案

                                                                          • 迷雾之森
                                                                            迷雾之森 1

                                                                            端口查询能直接显示服务版本吗?

                                                                            • 刺猬厨师
                                                                              刺猬厨师 1

                                                                              免费额度有点少啊,一天才50次

                                                                            匿名

                                                                            发表评论

                                                                            匿名网友

                                                                            拖动滑块以完成验证