指的是域名注册时留下的信息·
管理员名字
、电话
、邮箱
可以通过
社工
、查询
有误其他域名,扩大攻击范围
-
通过在线工具查询
-
IP138查询网
-
域名信息查询 - 腾讯云
-
新网域名信息查询
-
IP Whois查询 - 站长工具
-
SearchDns—Netcraft
-
-
通过命令行查询
-
whois命令
root@kali:/home/mpy# whois xuegod.cn Domain Name: xuegod.cn ROID: 20140908s10001s72166376-cn Domain Status: ok
-
- 通过工具
- theHarvester
- infoga
网站备案信息是根据国家法律法规规定,由网站所有者向国家有关部门申请的备案,是国家信息产业部对网站的一种管理途径,是为了防止在网上从事非法网站经营活动,当然主要是针对国内网站。
在备案查询中我们主要关注的是:
单位信息例如名称
、备案编号
、网站负责人
、法人
、电子邮箱
、联系电话
等。
-
通过在线工具查询
-
备案查询
-
ICP/IP地址/域名信息备案管理系统
-
备案巴巴
-
天眼查
-
ICP备案查询网
-
国外备案查询
-
查一些基础信息,看运气
-
通过在线工具查询
-
国家企业信用信息公示系统
-
信用中国-个人信用查询搜索-企业信息查询搜索-统一社会信用代码查询
-
-
在线工具查询
- IP138查询网
- Dns-Bufferover
- 在线子域名查询—phpinfo
- 子域名扫描
- 二级子域名扫描
- DnsDumpster
- SearchDns—Netcraft
-
证书透明度公开日志枚举
证书透明度是证书授权机构(CA)的一个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中
一个SSL/TLS证书通常包含
域名
、子域名
和邮件地址
,这些也经常成为攻击者非常希望获得的有用信息查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志
- crt
- censys
- myssl
-
软件
-
theHarvester
-
Layer
-
subDomainsBrute
-
Dns域名解析通过字典拼接到域名上去访问DN服务器,如果服务器有响应,则该域名存在
-
ping
root@kali:/home/mpy# ping baidu.com PING baidu.com (220.181.38.148) 56(84) bytes of data. 64 bytes from 220.181.38.148 (220.181.38.148): icmp_seq=1 ttl=128 time=68.5 ms
-
nslookup
nslookup baidu.com
root@kali:/home/mpy# nslookup baidu.com Server: 192.168.30.2 Address: 192.168.30.2#53 Non-authoritative answer: Name: baidu.com Address: 39.156.69.79 Name: baidu.com Address: 220.181.38.148
-
dig
dig @服务器地址 需要查询的地址 any
any:显示所有类型的域名记录(默认只显示A记录)
root@kali:/home/mpy# dig baidu.com root@kali:/home/mpy# dig @8.8.8.8 baidu.com root@kali:/home/mpy# dig @8.8.8.8 baidu.com any root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer …… baidu.com. 7191 IN SOA dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200 baidu.com. 21591 IN NS ns4.baidu.com. ……
+noall +answer会显示的很整洁
root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer baidu.com. 7070 IN SOA dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200 baidu.com. 21470 IN NS ns4.baidu.com. baidu.com. 21470 IN NS ns7.baidu.com. baidu.com. 21470 IN NS ns3.baidu.com. baidu.com. 21470 IN NS dns.baidu.com. baidu.com. 21470 IN NS ns2.baidu.com. baidu.com. 470 IN A 39.156.69.79 baidu.com. 470 IN A 220.181.38.148 baidu.com. 7070 IN MX 20 mx50.baidu.com. baidu.com. 7070 IN MX 10 mx.maillb.baidu.com. baidu.com. 7070 IN MX 15 mx.n.shifen.com.
-x使用IP反查域名
root@kali:/home/mpy# dig -x 8.8.8.8 ; <<>> DiG 9.16.6-Debian <<>> -x 8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22187 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;8.8.8.8.in-addr.arpa. IN PTR ;; ANSWER SECTION: 8.8.8.8.in-addr.arpa. 5 IN PTR dns.google.
-
dnsdict6
root@kali:/home/mpy# dnsdict6 -m baidu.com
-4 查询ipv4地址 -D 显示自带的字典 -t 线程数 最高32,默认是8 -d 显示NS MX域名信息 -S SRV服务名称猜解 -[smlxu] 选择字典大小 -s(mall=100),-m(edium=1419)(DEFAULT) -l(arge=2601),-x(treme=5886) or -u(ber=16724)
-
A记录(Address)正在解析
- A记录是将一个主机名(全称FQDN)和一个IP地址关联起来,大多数客户端程序默认的查询类型
- 例如:就是域名解析IP(mpy.com -> 12.12.12.11)
-
PTR记录(Pointer) 反向解析
-
PTR记录将一个IP地址对应到主机名(全称域名FQDN),这些记录保存在in-addr.arpa域中
-
例如:IP解析域名(12.12.12.11 -> mpy.com)
-
-
CNAME记录(Canonical Name)别名记录
- 别名记录,也成规范名字(Canonical Name),这种记录允许您将多台映射到同一台计算机上
- 例如:n.mpy.com -> 8.8.8.7,m.mpy.com -> 8.8.8.7
-
MX记录(Mail eXchange)邮件记录
- MX记录是邮件记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器
- 当有多个MX记录(即有多个邮件服务器)时,则需要设置数值来确定其优先级,通过设置优先级数字来指明首选服务器,数字越小表示优先级越高
- 例如:mail.mpy.com
-
NS记录(Name Server)域名服务器记录
- NS(Name Server)记录是域名服务器记录,也称为授权服务器,用来指定该域名由哪个DNS服务器进行解析
- 例如:dns.mpy.com
- 目的通过版本信息来查找相关版本漏洞的利用方式
dig txt chaos VERSION.BIND @需要查询的域名 查询bind版本信息
root@kali:/home/mpy# dig txt chaos VERSION.BIND @nc3.dnsv4.com
DNS域传送漏洞原理
DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据,并用得到的数据更新自身数据库
若DNS服务器配置不当,可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。同时,黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,绕过基于网络的访问控制。
-
DNS域传送漏洞检测
-
nslookup
nslookup #进入交互式shell
server dns.xx.yy.zz #设定查询将要使用的DNS服务器
ls xx.yy.zz #列出某个域中的所有域名
exit #退出
> nslookup Server: lkwifi.cn Address: 192.168.68.1 *** lkwifi.cn can't find nslookup: Non-existent domain > server ss2.bjfu.edu.cn Default Server: ss2.bjfu.edu.cn Address: 202.204.112.67 > ls bjfu.edu.cn [ss2.bjfu.edu.cn] *** Can't list domain bjfu.edu.cn: Query refused The DNS server refused to transfer the zone bjfu.edu.cn to your computer. If this is incorrect, check the zone transfer security settings for bjfu.edu.cn on the DNS server at IP address 202.204.112.67. > exit
> nslookup > server dns1.xxx.edu.cn > ls xxx.edu.cn
-
nmap
- 利用nmap漏洞检测脚本"dns-zone-transfer"进行检测
nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn
--script dns-zone-transfer
表示加载nmap漏洞检测脚本dns-zone-transfer.nse,扩展名.nse可省略--script-args dns-zone-transfer.domain=xxx.edu.cn
向脚本传递参数,设置列出某个域中的所有域名-p 53 设置扫描53端口
-Pn 设置通过Ping发现主机是否存活
-
dig
dig -h
dig @dns.xxx.edu.cn axfr xxx.edu.cn
axfr
是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录。
-
指网站CMS指纹识别、计算机操作系统及web容器的指纹识别等
- 通过在线工具
- Tide安全团队
- WhatWeb
- Finger-P
-
软件WAF
-
D盾
-
云锁
-
UPUPW
-
宝塔
-
国防G01
-
护卫神
-
安全狗
-
智创防火墙
-
360主机卫士 / 360webscan
-
西数WTS-WAF
-
Naxsi
-
腾讯云
-
腾讯宙斯盾
-
百度云
-
华为云
-
网宿云
-
创宇盾
-
-
硬件WAF
GOV站点(政府站点)、国网、运营商
公众号、微博、应用程序、App等
- 通过在线工具
- 天眼查
- 七麦数据
- 苹果app
阿里云
腾讯云
百度云
网宿科技(ChinanNet Center)
蓝汛
金山云
UCloud
网易云
世纪互联
七牛云
京东云等
国外常见CDN
Akamai(阿卡迈)
Limelight Networks(简称LLNW)
AWS Cloud(亚马逊)
Google(谷歌)
Comcast(康卡斯特)
发现CDN
全国PING
- Ping检测-站长工具
- 17CE
- ipip (支持国内、国外)
一般的邮件系统都在内部,没有经过CDN的解析,通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能,查看邮件、寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP。
注意:必须是目标自己的邮件服务器,第三方或公共邮件服务器是没有用的
国外请求很多时候国内的CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP。
国际Ping- ipip
- ASM
- 世界各地DNS服务器地址大全
很多网站主站的访问量会比较大,所以主站都是挂CDN的,但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP, 可能会出现分站和主站不是同一个IP但在同一个C段下面的情况,从而能判断出目标的真实IP段。
C段查询- 在线查询
https://phpinfo.me/bing.php
- 工具
- K8_C段旁注工具6.0
- nmap
- IISPutScanner
- 小米范WEB查找器
小米范WEB查找器
:http://pan.baidu.com/s/1pLjaQKF
-
网络资产搜索引擎
- Fofa、Shodan、ZoomEye
利用这些网络空间资产搜索引擎来搜索暴露在外的端口信息
网站漏洞利用语法搜索C段信息
通过网站的信息泄露如phpinfo泄露,github信息泄露,命令执行等漏洞获取真实ip。
一些测试文件phpinfo、test等
SSRF漏洞服务器主动向外发起连接,找到真实IP地址
查询域名解析记录一般网站从部署开始到使用cdn都有一个过程,周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站ip,查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录。
在线网站查询
- dnsdb
- NETCRAFT
- viewdns
- threatbook
- securitytrails
如果目标网站有自己的App,可以尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目标的真实IP。
网络空间引擎搜索shodan、FOFA、zoomeye
敏感信息 目录后台- 通过工具
- 7kbscan-WebPathBrute
- dirbuster
- dirmap
- 御剑
-
网站备份文件常用名
backup
db
data
web
wwwroot
database
www
code
test
admin
user
sql
-
网站备份文件常用后缀名
.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar
.gz
.tgz
.tar
-
常见扫描工具有
- Test404网站备份文件扫描器 v2.0
- 扫描工具
- snitch
可能有些内部资料存放在公网网盘,被在线网盘抓取,可以利用这个来对目标系统进行信息收集
-
直接输入厂商名字进行搜索
-
在线搜索工具
- 凌风云搜索
- 小白盘搜索
- 大力盘搜索
- 小不点搜索【微盘】
wayback会记录网站版本更迭,可以获取到之前版本的网站,可能会找到一些后来删除的敏感资产信息,或者一些漏洞
- https://web.archive.org/
/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store MacOS自动生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml
Robots.txt
将常见源码泄露加入字典配合FUZZ、御剑等扫描器进行扫描收集
- .git源码泄露:https://github.com/lijiejie/GitHack
- .DS_Store泄露:https://github.com/lijiejie/ds_store_exp
- .bzr、CVS、.svn、.hg源码泄露:https://github.com/kost/dvcs-ripper
JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。
- 安装
pip3 install requests bs4
git clone https://github.com/Threezh1/JSFinder.git
- 使用
python3 JSFinder.py -u http://www.mi.com
python3 JSFinder.py -u http://www.mi.com -d
LinkFinder
该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息,可最大化地提高URL发现效率
- 安装
git clone https://github.com/GerbenJavado/LinkFinder.git
cd LinkFinder
python2 setup.py install
- 使用
在线JavaScript文件中查找端点的最基本用法,并将结果输出到results.html:
python linkfinder.py -i https://example.com/1.js -o results.html
CLI输出(不使用jsbeautifier,这使得它非常快):
pyhon linkfinder.py -i https://example.com/1.js -o cli
分析整个域及其JS文件:
python linkfinder.py -i https://example.com -d
Burp输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):
python linkfinder.py -i burpfile -b
枚举JavaScript文件的整个文件夹,同时查找以/ api /开头的终结点,并最终将结果保存到results.html:
python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html
端口扫描
扫描工具
Nmap
Masscan
masnmapscan
ZMap
御剑高速TCP端口扫描工具
御剑高速端口扫描工具
IISPutScanner
IISPutScanner增强版-DotNetScan v1.1 Beta
Nmap
- 扫描多个IP
扫描整个子网 nmap 192.168.6.1/24
nmap 192.168.1.1/16
nmap 192.168.1-30.1-254
nmap 192.168.1-254.6
扫描多个主机 namp 192.168.6.2 192.168.6.6
扫描一个小范围 nmap 192.168.6.2-10
扫描txt内的ip列表 nmap -iL text.txt
扫描除某个目标外 nmap 192.168.6.1/24 -exclude 192.168.6.25
- 绕过Firewalld【防火墙】扫描主机端口
通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制
nmap -sP 192.33.6.128
nmap -sT 192.33.6.128
nmap -sS 192.33.6.128
nmap -sU 192.33.6.128
nmap -sF 192.33.6.128
nmap -sX 192.33.6.128
nmap -sN 192.33.6.128
- 初步扫描端口信息
nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt
- 扫描端口并且标记可以爆破的服务
nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute
- 判断常见的漏洞并扫描端口
nmap 127.0.0.1 --script=auth,vuln
- 精确判断漏洞并扫描端口
nmap 127.0.0.1 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version
浏览器插件
shodan
tcpiputils
dnslytics
fofa-view
wapplayzer
网络空间搜索引擎
fofa
shodan
zoomeye
漏洞公共库
国内
- 国家信息安全漏洞库
- 国家信息安全漏洞共享平台
- SeeBug
- 信息安全漏洞门户 VULHUB
- 数字观星
- NSFOCUS绿盟科技
- BugScan--漏洞插件社区
- 漏洞列表 | 教育行业漏洞报告平台(Beta)
- 工控系统行业漏洞库平台
- exp库-打造中文最大exploit库
- 乌云漏洞库
- Exploit-db
- Sploitus | Exploit & Hacktool Search Engine
- packetstorm
- SecurityFocus
- cxsecurity
- rapid7 Vulnerability & Exploit Database
- Most recent entries - CVE-Search
- CVE security vulnerability database. Security vulnerabilities, exploits
- CVE mitre - Search CVE List
- 美国官方工控数据库 ICS-CERT Landing | CISA
- 路由器漏洞搜索 Routerpwn - One click exploits, generators, tools, news, vulnerabilities, poc
- social-engineer-toolkit