域名信息
Whois查询
指的是域名注册时留下的信息·管理员名字、电话、邮箱
可以通过社工、查询有误其他域名,扩大攻击范围
- 通过在线工具查询
- 通过命令行查询
- whois命令
- root@kali:/home/mpy# whois xuegod.cn
- Domain Name: xuegod.cn
- ROID: 20140908s10001s72166376-cn
- Domain Status: ok
复制代码
邮箱收集
备案信息查询
网站备案信息是根据国家法律法规规定,由网站所有者向国家有关部门申请的备案,是国家信息产业部对网站的一种管理途径,是为了防止在网上从事非法网站经营活动,当然主要是针对国内网站。
在备案查询中我们主要关注的是:单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等。
信用信息查询
查一些基础信息,看运气
子域名信息
子域名
- 在线工具查询
- 证书透明度公开日志枚举
证书透明度是证书授权机构(CA)的一个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中
一个SSL/TLS证书通常包含域名、子域名和邮件地址,这些也经常成为攻击者非常希望获得的有用信息
查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志
- 软件
- theHarvester
- Layer
- subDomainsBrute
DNS记录
通过字典拼接到域名上去访问DN服务器,如果服务器有响应,则该域名存在
Dns域名解析
<ol>ping- root@kali:/home/mpy# ping baidu.com
- PING baidu.com (220.181.38.148) 56(84) bytes of data.
- 64 bytes from 220.181.38.148 (220.181.38.148): icmp_seq=1 ttl=128 time=68.5 ms
复制代码 nslookup
nslookup baidu.com
- root@kali:/home/mpy# nslookup baidu.com
- Server: 192.168.30.2
- Address: 192.168.30.2#53
- Non-authoritative answer:
- Name: baidu.com
- Address: 39.156.69.79
- Name: baidu.com
- Address: 220.181.38.148
复制代码 dig
dig @服务器地址 需要查询的地址 any
any:显示所有类型的域名记录(默认只显示A记录)
- root@kali:/home/mpy# dig baidu.com
- root@kali:/home/mpy# dig @8.8.8.8 baidu.com
- root@kali:/home/mpy# dig @8.8.8.8 baidu.com any
- root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
- ……
- baidu.com. 7191 IN SOA dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
- baidu.com. 21591 IN NS ns4.baidu.com.
- ……
复制代码+noall +answer会显示的很整洁
- root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
- baidu.com. 7070 IN SOA dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
- baidu.com. 21470 IN NS ns4.baidu.com.
- baidu.com. 21470 IN NS ns7.baidu.com.
- baidu.com. 21470 IN NS ns3.baidu.com.
- baidu.com. 21470 IN NS dns.baidu.com.
- baidu.com. 21470 IN NS ns2.baidu.com.
- baidu.com. 470 IN A 39.156.69.79
- baidu.com. 470 IN A 220.181.38.148
- baidu.com. 7070 IN MX 20 mx50.baidu.com.
- baidu.com. 7070 IN MX 10 mx.maillb.baidu.com.
- baidu.com. 7070 IN MX 15 mx.n.shifen.com.
复制代码-x使用IP反查域名
- root@kali:/home/mpy# dig -x 8.8.8.8
- ; <<>> DiG 9.16.6-Debian <<>> -x 8.8.8.8
- ;; global options: +cmd
- ;; Got answer:
- ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22187
- ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
- ;; QUESTION SECTION:
- ;8.8.8.8.in-addr.arpa. IN PTR
- ;; ANSWER SECTION:
- 8.8.8.8.in-addr.arpa. 5 IN PTR dns.google.
复制代码 DNS域传送漏洞原理
DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据,并用得到的数据更新自身数据库
若DNS服务器配置不当,可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。同时,黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,绕过基于网络的访问控制。
- DNS域传送漏洞检测
- nslookup
nslookup #进入交互式shell
server dns.xx.yy.zz #设定查询将要使用的DNS服务器
ls xx.yy.zz #列出某个域中的所有域名
exit #退出
- root@kali:/home/mpy# dnsdict6 -m baidu.com
复制代码- -4 查询ipv4地址
- -D 显示自带的字典
- -t 线程数 最高32,默认是8
- -d 显示NS MX域名信息
- -S SRV服务名称猜解
- -[smlxu] 选择字典大小
- -s(mall=100),-m(edium=1419)(DEFAULT)
- -l(arge=2601),-x(treme=5886) or -u(ber=16724)
复制代码 - nmap
- 利用nmap漏洞检测脚本"dns-zone-transfer"进行检测
nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn
--script dns-zone-transfer表示加载nmap漏洞检测脚本dns-zone-transfer.nse,扩展名.nse可省略
--script-args dns-zone-transfer.domain=xxx.edu.cn向脚本传递参数,设置列出某个域中的所有域名
-p 53 设置扫描53端口
-Pn 设置通过Ping发现主机是否存活
- dig
dig -h
dig @dns.xxx.edu.cn axfr xxx.edu.cn
axfr是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录。
指纹识别
指网站CMS指纹识别、计算机操作系统及web容器的指纹识别等
WAF识别
WAF分类
- 软件WAF
- D盾

- 云锁

- UPUPW

- 宝塔

- 国防G01

- 护卫神

- 安全狗

- 智创防火墙

- 360主机卫士 / 360webscan

- 西数WTS-WAF

- Naxsi

- 腾讯云

- 腾讯宙斯盾

- 百度云

- 华为云

- 网宿云

- 创宇盾

- 硬件WAF
GOV站点(政府站点)、国网、运营商
应用信息
公众号、微博、应用程序、App等
真实IP
国内外CDN
国内常见CDN
- root@kali:/home/mpy# dig txt chaos VERSION.BIND @nc3.dnsv4.com
复制代码 国外常见CDN
- > nslookup
- Server: lkwifi.cn
- Address: 192.168.68.1
- *** lkwifi.cn can't find nslookup: Non-existent domain
- > server ss2.bjfu.edu.cn
- Default Server: ss2.bjfu.edu.cn
- Address: 202.204.112.67
- > ls bjfu.edu.cn
- [ss2.bjfu.edu.cn]
- *** Can't list domain bjfu.edu.cn: Query refused
- The DNS server refused to transfer the zone bjfu.edu.cn to your computer. If this
- is incorrect, check the zone transfer security settings for bjfu.edu.cn on the DNS
- server at IP address 202.204.112.67.
- > exit
复制代码 发现CDN
全国PING
绕过CDN
内部邮箱源
一般的邮件系统都在内部,没有经过CDN的解析,通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能,查看邮件、寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP。
注意:必须是目标自己的邮件服务器,第三方或公共邮件服务器是没有用的
国外请求
很多时候国内的CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP。
国际Ping
国外DNS解析
分站域名&C段查询
很多网站主站的访问量会比较大,所以主站都是挂CDN的,但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP, 可能会出现分站和主站不是同一个IP但在同一个C段下面的情况,从而能判断出目标的真实IP段。
C段查询
- > nslookup
- > server dns1.xxx.edu.cn
- > ls xxx.edu.cn
复制代码
- 工具
- K8_C段旁注工具6.0
- nmap
- IISPutScanner
- 小米范WEB查找器
小米范WEB查找器:http://pan.baidu.com/s/1pLjaQKF

利用这些网络空间资产搜索引擎来搜索暴露在外的端口信息
利用语法搜索C段信息
网站漏洞
通过网站的信息泄露如phpinfo泄露,github信息泄露,命令执行等漏洞获取真实ip。
一些测试文件
phpinfo、test等
SSRF漏洞
服务器主动向外发起连接,找到真实IP地址
查询域名解析记录
一般网站从部署开始到使用cdn都有一个过程,周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站ip,查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录。
在线网站查询
目标网站APP应用
如果目标网站有自己的App,可以尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目标的真实IP。
网络空间引擎搜索
shodan、FOFA、zoomeye
敏感信息
目录后台
- 通过工具
- 7kbscan-WebPathBrute
- dirbuster
- dirmap
- 御剑
备份文件
- 网站备份文件常用名
backup
db
data
web
wwwroot
database
www
code
test
admin
user
sql
- 网站备份文件常用后缀名
.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar
.gz
.tgz
.tar
- 常见扫描工具有
公开文件
公网网盘
可能有些内部资料存放在公网网盘,被在线网盘抓取,可以利用这个来对目标系统进行信息收集
历史网站
wayback会记录网站版本更迭,可以获取到之前版本的网站,可能会找到一些后来删除的敏感资产信息,或者一些漏洞
源码泄露
- 阿里云
- 腾讯云
- 百度云
- 网宿科技(ChinanNet Center)
- 蓝汛
- 金山云
- UCloud
- 网易云
- 世纪互联
- 七牛云
- 京东云等
复制代码 将常见源码泄露加入字典配合FUZZ、御剑等扫描器进行扫描收集
JS获取敏感接口
JSFinder
JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。
- Akamai(阿卡迈)
- Limelight Networks(简称LLNW)
- AWS Cloud(亚马逊)
- Google(谷歌)
- Comcast(康卡斯特)
复制代码- https://phpinfo.me/bing.php
复制代码 LinkFinder
该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息,可最大化地提高URL发现效率
- /.bzr/
- /CVS/Entries
- /CVS/Root
- /.DS_Store MacOS自动生成
- /.hg/
- /.svn/ (/.svn/entries)
- /.git/
- /WEB-INF/src/
- /WEB-INF/lib/
- /WEB-INF/classes/
- /WEB-INF/database.properties
- /WEB-INF/web.xml
- Robots.txt
复制代码 在线JavaScript文件中查找端点的最基本用法,并将结果输出到results.html:- pip3 install requests bs4
- git clone https://github.com/Threezh1/JSFinder.git
复制代码 CLI输出(不使用jsbeautifier,这使得它非常快):- python3 JSFinder.py -u http://www.mi.com
- python3 JSFinder.py -u http://www.mi.com -d
复制代码 分析整个域及其JS文件:- git clone https://github.com/GerbenJavado/LinkFinder.git
- cd LinkFinder
- python2 setup.py install
复制代码 Burp输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):- python linkfinder.py -i https://example.com/1.js -o results.html
复制代码 枚举JavaScript文件的整个文件夹,同时查找以/ api /开头的终结点,并最终将结果保存到results.html:- pyhon linkfinder.py -i https://example.com/1.js -o cli
复制代码 端口扫描
扫描工具
- python linkfinder.py -i https://example.com -d
复制代码 Nmap
- python linkfinder.py -i burpfile -b
复制代码 通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制- python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html
复制代码- Nmap
- Masscan
- masnmapscan
- ZMap
- 御剑高速TCP端口扫描工具
- 御剑高速端口扫描工具
- IISPutScanner
- IISPutScanner增强版-DotNetScan v1.1 Beta
复制代码- 扫描整个子网 nmap 192.168.6.1/24
- nmap 192.168.1.1/16
- nmap 192.168.1-30.1-254
- nmap 192.168.1-254.6
- 扫描多个主机 namp 192.168.6.2 192.168.6.6
- 扫描一个小范围 nmap 192.168.6.2-10
- 扫描txt内的ip列表 nmap -iL text.txt
- 扫描除某个目标外 nmap 192.168.6.1/24 -exclude 192.168.6.25
复制代码- nmap -sP 192.33.6.128
- nmap -sT 192.33.6.128
- nmap -sS 192.33.6.128
- nmap -sU 192.33.6.128
- nmap -sF 192.33.6.128
- nmap -sX 192.33.6.128
- nmap -sN 192.33.6.128
复制代码- nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt
复制代码 浏览器插件
- nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute
复制代码 网络空间搜索引擎
- nmap 127.0.0.1 --script=auth,vuln
复制代码 漏洞公共库
国内
国外
社工库
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |