一、域名信息采集 1、获取到的域名的whois信息是什么,Whois是什么
Whois 是一种转让合同,用于查找域名的注册所有者等信息。 它可以帮助您检查域名是否已被注册,以及获取已注册域名的详细信息,例如域名注册商和域名所有者。
早期的 Whois 查询通常使用命令行套接字。 如今,一些 Web 套接字简化了在线查询工具,允许您一次查询多个数据库。 无论使用何种形式,该工具始终依赖 Whois 合约向服务器发送查询请求。 命令行套接字工具仍然被系统管理员广泛使用。
Whois一般使用TCP 43端口。每个域名/IP的Whois信息由相应的管理机构保存。
使用 Whois 查找,您可以获得域名注册人的电子邮件地址等信息。 对于中型和大型网站,域名注册人通常是网站管理员。您还可以使用搜索引擎搜索Whois查询的信息,以获取有关域名注册人的更多个人信息
Whois 查询网站
以下是常用的Whois查询网站
这里我们以站长之家的whois查询为例,输入要查询的网站域名。 这里我以博客园的域名为例(cnblogs.com)
通过whois查询域名的联系人和邮箱地址,获取更多信息
2.记录信息的作用查询记录信息
备案信息对于打击网络不良信息传播、避免非法网站经营活动非常重要。 如果网站没有注册,很可能会被调查并被封禁。 备案信息可以提供网站所有者、运营者、主办者等相关信息,有助于网站的规范管理和监督。
据悉,备案信息也是企业办理营业执照、税务登记证、进行网上交易的必备条件之一。因此,对于任何组织或个人想要在互联网上进行合法的经营活动,备案是一个重要的步骤
备案信息查询网站
以下是常用的备案信息查询网站:
如右图为博客园域名备案信息
3、子域名集合子域名的概念
常见的子域资产类型包括办公系统、邮件系统、论坛、商城、其他管理系统、网站管理后台等。
此类资产一般可以在目标网站的官方网站上找到。检测和分析子域中的各种资产类型是提高安全性和降低风险的重要一步,特别是对于黑客或安全研究人员而言
子域名查询网站
如右图爆破博客园域名的子域名
使用fofa搜索博客园子域名:domain="cnblogs.com"
导入并下载搜索到的资产,通过分析得到目标域名的大致ip段
DNS 探测网站
DNS检测是指一种网络安全检测技术,其主要目的是通过查询DNS服务器来获取目标主机的DNS记录信息,并分析这些信息以获取目标主机的详细信息,如IP地址、主机名等、域名、子域名、MX记录等。通过对DNS记录的分析,可以明确目标主机的一些潜在安全风险,例如未授权的子域名、未授权的主机等。
以下是常用的DNS检测网站:
如右图,对博客园域名进行DNS检测
4、主机碰撞挖出隐藏域名,这些都是隐藏域名
隐藏域名是指通过限制IP的直接访问,通过域名访问网站主营业务的技术手段。 这些方法在访问目标资产的IP时一般会返回401、403、404、500等错误响应,而域名请求仍然可以正常访问业务系统。 这是现代互联网公司常用的方法,可以有效提高网站的安全性和稳定性。
大多数域名需要绑定到主机才能正常请求访问。因此,通过将收集到的资产域名和IP地址结合起来,以IP段+域名的形式进行绑定碰撞,就可以发现隐藏资产名字
实战演示
首先通过微步在线查询目标网站当前和历史分析ip。 这里收集到的cnblogs.com当前的分析ip是101.37.113.127和121.40.43.188
并且有17个历史分析IP
然后使用fofa或者其他子域名爆破工具收集博客园网站的子域名
打开Hosts_scan工具,将收集到的ip和域名填写到其目录下的ip.txt和host.txt中
Hosts_scan工具的文件夹中,有IP_hosts_scan.py(单线程)和IP_hosts_scan_multithreading.py(多线程),这里执行IP_hosts_scan_multithreading.py
python3 IP_hosts_scan_multithreading.py
工具扫描完成后,可以在hosts_ok.txt中查看扫描结果
2、围绕CDN获取真实ipCDN的理念
CDN是ContentDeliveryNetwork的缩写,即内容分发网络。 CDN通过将节点分布在全球,解决了跨运营商、跨地区访问的问题,从而大大增加了访问的延迟。 CDN的边缘节点可以处理大部分请求,从而分流流量,有效减轻网站服务器的负载。
当网站使用CDN技术时,我们需要绕过CDN来获取网站的真实IP地址。 CDN还对网络安全起到保护作用,可以对网站进行缓存、加速、负载均衡、保护等操作。同时,CDN还可以提高网站的可用性和稳定性,改善用户体验
判断网站是否有CDN
通过对目标服务器进行多地域Ping测试判断CDN是否存在
多区域Ping:使用不同区域对目标服务器进行Ping测试
以下是常用的多区域 ping 网站:
例如,这里是博客园网站的多站点 ping 测试。 如果测试结果中有多个响应IP,则说明该网站使用了CDN技术。
绕过CDN的方法1.空间搜索cert证书
这里我们以博客园网站为例,首先查看博客园网站源码,获取标题值:“博客园-开发者在线家庭花园”
然后使用微软浏览器查看网站的证书序列号(16补码),然后将这个序列号转换成10补码
什么是网站证书序列号:网站证书序列号(CertificateSerialNumber)是数字证书中唯一标识证书的序列号。 在SSL/TLS加密合约中,证书序列号是证书中的重要元素,由证书颁发机构(CA)在颁发证书时生成并与证书内容一起签名。 证书序列号一般为小于等于0的整数,且必须唯一。 在HTTPS通信中,当客户端向服务器发起连接请求时,服务器会将自己的数字证书发送给客户端,客户端会验证证书的有效性并检查证书的序列号是否与客户端一致。预先保存的序列号,保证通信的安全。证书序列号还可以用于证书吊销、证书更新等操作
03E3AC5347CD4A3862C2855A71A6F94F(十六进制) => 5169830546853086247231079365397117263(十进制)
打开fofa网站,输入country="CN"&&title="博客园-开发者在线嘉源"&&cert="5169830546853086247231079365397117263",查询返回3个独立ip,然后匹配html源码,过滤出网站真实ip
2、查询历史DNS解析记录
在查询到的历史分析记录中,最早的历史分析ip很可能记录的是真实ip。 建议使用这种方法,可以快速找到真实IP,但并不是所有网站都能找到。以下是常用的DNS解析网站
我个人认为微博是最有效的网站查询方式。 在这里您可以查询博客园网站的DNS历史分析记录。
3.空间搜索ico图标
您可以通过浏览器F12或目录文件扫描工具查找并下载目标网站的ico图标。 一般图标文件名为favicon.ico
将ico文件推送到fofa网站查询真实ip
4.SSL证书查询真实IP
证书颁发机构 (CA) 必须将其颁发的每个 SSL/TLS 证书发布到公共日志。 SSL/TLS证书一般包含域名、子域名、邮箱地址等敏感信息,因此成为攻击者攻击和入侵的入口点之一
首先找到目标网站的SSL证书()上:B8FDB19E5538CABC0F33F73347A7C50CB0FEAC60851504B4CD0B94F570A504E8
然后点击SSL证书的hash跳转到censys网站,将搜索功能切换到Hosts搜索真实IP,这里查到的真实IP是47.243.238.59
5. 邮件获取真实IP
当网站向您的电子邮件地址发送短信时,通常会在短信的大脑中附加发送服务器的IP地址信息。 通过点击短信客户端中的“显示原始邮件”等选项,您可以查看邮件的完整后台信息,包括发件人、收件人、主题、发送时间等,以及发送服务器的IP地址。发送邮件服务器的IP地址可能是网站的真实IP地址,也可能是中转服务器的IP地址
6、网站敏感文件泄露
例如,如果phpinfo文件泄露,可以通过检查$_SERVER['SERVER_ADDR']来获取真实ip
7.F5LTM解码
当服务器使用F5LTM进行负载均衡时,也可以通过解码set-cookie关键字得到真实ip
例如:Set-Cookie:BIGipServerpool_8.29_8030=487098378.24095.0000,先设置第一个小
该段的十补数为487098378,然后转换为十六补数1d08880a网站攻击源码,然后从后往前读,
以此取四位数字,即0a.88.08.1d,最后转换成十的补数10.136.8.29,即
是最后一个真实ip。
8.获取APP及小程序IP
Burpsuite配置代理服务器:192.168.132.1:8080
下载mumu模拟器后,打开浏览器访问代理服务器网站攻击源码,然后从右上角的CACertificate下载CA证书
打开文件管理器的$MuMu共享文件夹,双击cacert.der并将证书命名为burpsuite,然后会要求设置pin码
进入WLAN设置,长按已连接的wifi更改网络,并将其HTTP代理设置为burpsuite代理服务器(192.168.132.1:8080)
配置完成后,开始使用Burpsuite抓包,比如抓Bilibili的分包ip,其中数据包的域名为data.bilibili.com
对上述域名进行了ping测试,发现该域名已被用作CDN,后续还得继续寻找真实ip
也可以抓包小程序来获取域名ip,步骤同上,右图是抓包我们学校的点餐小程序的数据包
9. 网站配置不当
有些网站为了方便用户访问,会解析到与test.com相同的站点,仅配置CDN,访问test.com即可绕过CDN。
同样,如果站点同时支持http和https访问,而CDN只配置了https合约,那么此时访问http就可以轻松绕过CDN
10.扫描全网获取真实ip
先省略
三、端口扫描常见端口服务器banner服务渗透攻击类型
21、22、69
FTP/TFTP文件传输合约
22
SSH远程连接服务
23
Telnet远程连接
暴力破解、嗅探攻击
25
SMTP 电子邮件服务
电子邮件伪造
53
DNS域名系统
DNS 绑架、DNS 缓存中毒、DNS 误导、通过防火墙的 DNS 隧道
67,68
动态主机配置协议
绑架、欺骗
110
POP3
蛮力攻击
139
桑巴舞
暴力破解、未经授权的访问、远程代码执行
143
IMAP
蛮力
161
简单网络管理协议
蛮力
第389章
LDAP
注入攻击、未授权访问
512、513、514
LinuxR
用户登录
第873章
同步
越权存取
1080
插座
互联网渗透率
第1352章
莲花
弱密码、信息泄露
第1433章
SQL数据库
系统用户登录、注入
1521
甲骨文
TNS注入攻击
2049
网络文件系统
配置不当引发的攻击
2181
动物园管理员
越权存取
3306
MySQL
暴力破解、拒绝服务攻击
3389
远程开发计划
远程暴力破解、Shift侧门
4848
玻璃鱼
控制台弱口令绕过
5000
赛贝斯/DB2
暴力破解、注入攻击
5432
PostgreSQL
缓冲区溢出、注入攻击、弱口令暴力破解
5900
虚拟网络控制器
弱密码暴力破解
6379
雷迪斯
弱密码暴力破解
7001
网络逻辑
Java反序列化、控制台弱口令、控制台部署WebShell
8069
扎比克斯
远程命令执行
8080-8090
网络
常见的 Web 攻击和漏洞
9090
WebSphere 控制台
控制台弱口令、Java反序列化
nmap扫描工具
Nmap是一款高效的端口扫描工具,功能丰富,操作简单,可以扫描目标主机上的开放端口,检测操作系统、服务版本等信息,识别各类防火墙、IDS等安全设备。 Nmap支持多种扫描技术,包括TCP、UDP、SYN、ICMP等,支持多种操作系统,包括Windows、Linux、macOS等,输出结果清晰明了,还可以帮助安全人员快速定位目标漏洞并修复
命令参数
共同操作
1、扫描C段主机存活数
Nmap -sn 192.168.1.0/24
2.跳过ping扫描主机(避免主机关闭ping检查)
Nmap -Pn 192.168.0.1
3、列出C段主机,不留痕迹
Nmap -sL 192.168.0.0/24
4、检测目标主机IPC段指定的端口
Nmap -pS80,443 192.168.0.0/24 //SYN扫描Nmap -pU80,443 192.168.0.0/24 //UDP扫描
5、扫描目标主机服务版本号及开放端口
nmap -sU -sT -p0-65535 192.168.122.1
6. 扫描多个IP或IP段,并将IP保存到ip.txt文件中
nmap -iL ip.txt
搭配脚本 nmap常用脚本说明
漏洞
测量目标主机上的已知漏洞
