收集域名信息 whois查询 1、域名whois查询-站长之家
1 http:// whois.chinaz.com/
2、IP138网站
3、域名信息查询-腾讯云
1 https:// whois.cloud.tencent.com/
4、ICANN LOOKUP
1 https: //lookup.icann.org /
备案信息查询 1、SEO综合查询
1 https:// www.aizhan.com/cha/
2、ICP备案查询-站长工具
IP反查站点 1、Dnslytics
利用Dnslytics反查IP可以得到如下信息
1 2 3 4 5 6 7 8 9 10 IP informationlookup Open TCP/UDP portslookup Update information
利用Dnslytics反查域名可以得到如下信息
1 2 3 4 5 6 7 8 9 Domain and Ranking Information Hosting Information { A / AAAA Record NS Record MX Record SPF Record } Web Information Whois Information
相关应用信息 1、天眼查
1 https:// www.tianyancha.com/
2、七麦数据
查找真实IP 在一些大的网站都会使用CDN(内容分发网络),它可以使内容传输的更快、更加稳定。,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。一般CDN隐藏了目标服务器的真实的IP,也提高了安全性。
如何判断是否使用CDN 1、ping目标主域
通过ping目标主域,观察域名解析情况来判断是否使用CDN。
发现使用了CDN。
2、Nslookup
不同DNS解析结果若不一样,很有可能存在CDN服务。
3、ping检测平台
Ping检测-站长工具
绕过CDN常见方法 1、ping主域
有的网站只让www域名使用CDN,可以去掉www在ping下。
2、DNS历史查找
CDN可能是在网站上线一段时间后才上线的,可以通过查找域名解析记录的方式去查找真实IP。以下介绍几个平台
1 2 https:// sitereport.netcraft.com/// viewdns.info/
1 https:// tools.ipip.net/cdn.php
3、查询子域名方法
一般都是主站加入CDN,子域名站点很多没有加入,可以通过子域名来获取,下边有收集子域名详细介绍,在这里举例一个。
1 https:// x.threatbook.cn/
4、网站邮件头信息
比如说,邮箱注册,邮箱找回密码、RSS邮件订阅等功能场景,通过网站给自己发送邮件,从而让目标主动暴露他们的真实的IP,查看邮件头信息,获取到网站的真实IP。
注意:必须是目标自己的邮件服务器,第三方或公共邮件服务器是没有用的。
5、网络空间搜索引擎法
通过关键字或网站域名,就可以找出被收录的IP,很多时候获取到的就是网站的真实IP。
1 2 3 钟馗之眼:https:// www.zoomeye.org// www.shodan.io// fofa.so
6、网站漏洞查找
通过网站的信息泄露如phpinfo泄露,github信息泄露,命令执行等漏洞获取真实ip。
收集子域名 在线平台 1、IP138
2、站长工具
1 http:// tool.chinaz.com/subdomain/ ?domain=
3、hackertarget
1 https:// hackertarget.com/find-dns-host-records/
4、phpinfo
1 https:// phpinfo.me/domain/
5、dnsdumpster
1 https:// dnsdumpster.com/
6、zcjun
7、Censys
1 https:// censys.io/certificates?q=
IP反查绑定域名网站 1、chinaz
1 http:// s.tool.chinaz.com/same?s=
2、爱站
3、webscan.cc
资产搜索引擎 个人常用的有Google、FOFA,也可以使用Shodan、zoomeye钟馗之眼.
1、Google语法
常用语法
1 2 3 4 5 6 7 site :指定搜索域名 例如:site:baidu.comurl 中是否存在某些关键字 例如:inurl:.php?id=intext :网站管理filetype :txtintitle :后台管理link :baidu.com 指定与百度做了外链的站点info :baidu.com
2、FOFA语法
可以在首页点击查询语法来查看
工具枚举 在这里常用的sublist3r、OneForAll、subDomainsBrute.
1、sublist3r
1 下载地址:https://gi thub.com/aboul3la/ Sublist3r
2、OneForAll
1 下载地址:https://gi thub.com/shmilylty/ OneForAll
运行完成后会生成一个csv文件
3、subDomainsBrute
1 下载地址:https://gi thub.com/lijiejie/ subDomainsBrute
利用DNS收集 常见的DNS记录有以下几类:
1 2 3 4 5 6 7 A 记录 IP地址记录,记录一个域名对应的IP地址AAAA 记录 IPv6地址记录,记录一个域名对应的IPv6地址CNAME 记录 别名记录,记录一个主机的别名MX 记录 电子邮件交换记录,记录一个邮件域名对应的IP地址NS 记录 域名服务器记录 ,记录该域名由哪台域名服务器解析PTR 记录 反向记录,也即从IP地址到域名的一条记录TXT 记录 记录域名的相关文本信息
MX记录:建立电子邮箱服务,将指向邮件服务器地址,需要设置MX记录。建立邮箱时,一般会根据邮箱服务商提供的MX记录填写此记录。
NS记录:域名解析服务器记录,如果要将子域名指定某个域名服务器来解析,需要设置NS记录。
SOA记录:SOA叫做起始授权机构记录,NS用于标识多台域名解析服务器,SOA记录用于在众多NS记录中那一台是主服务器。
TXT记录:可任意填写,可为空。一般做一些验证记录时会使用此项,如:做SPF(反垃圾邮件)记录。
DNS域传送漏洞
1、原理:DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。
若DNS服务器配置不当,可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。同时,黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,绕过基于网络的访问控制。
2、DNS域传送漏洞检测
基本过程
nslookup #进入交互式shell
server dns.xx.yy.zz #设定查询将要使用的DNS服务器
ls xx.yy.zz #列出某个域中的所有域名
exit #退出
漏洞检测-不存在漏洞
站点信息收集 判断对方是win还是Linux 1、TTL值
可以通过ping来查看,不过不一定非常准可以被修改,默认Linux是64,win是128
Linux:
Windows:
2、Nmap
使用命令:
nmap -O IP
端口收集 nmap
1 2 nmap -sV -p 1 -65535 IP # ping目标有回复时nmap -sV -p 1 -65535 -Pn IP # ping目标没有回复时
CMS指纹识别 CMS(内容管理系统)用于网站内容管理,通过识别CMS类型可以查看相应的漏洞拿下站点。
如今,网上一些在线的网站查询CMS指纹识别,如下所示:
1 2 3 4 5 6 BugScaner: http:// whatweb.bugscaner.com/look/ // finger.tidesec.net/// www.yunsee.cn/info.html// whatweb.net/// www.yunsee.cn/finger.html// whatweb.net/
目录扫描 1、御剑扫描
2、dirbuster
首先在Target URL输入框中输入要扫描的网址并将扫描过程中的请求方法设置为“Auto Switch(HEAD and GET)”。
自行设置线程(太大了容易造成系统死机哦)
选择扫描类型,如果使用个人字典扫描,则选择“List based bruteforce”选项。
单击“Browse”加载字典。
单机“URL Fuzz”,选择URL模糊测试(不选择该选项则使用标准模式)
在URL to fuzz里输入“/{dir}”。这里的{dir}是一个变量,用来代表字典中的每一行,运行时{dir}会被字典中的目录替换掉。
点击“start”开始扫描
也可以使用kali自带的
3、dirscan
1 下载地址:https://gi thub.com/j3ers3/ Dirscan
4、dirsearch
1 下载地址:https://gi thub.com/maurosoria/ dirsearch
Google Hacking 他基本语法上边有介绍,介绍下典型用法:
查找指定后台地址
1 2 3 site:xx.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system site:xx.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backend site:xx.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录
查看指定网站的文件上传漏洞
1 2 3 site:xx.com inurl:file com inurl:load com inurl:upload
注入页面
1 site:xx.com inurl:php ?id=
目录遍历漏洞
1 site:xx.com intitle:index .of
SQL错误
1 site:xx.com intext:"sql syntax near" | intext :"syntax error has occurred" | intext :"incorrect syntax near" | intext :"unexpected end of SQL command" | intext :"Warning: mysql_connect()" | intext :”Warning: mysql_query()" | intext:”Warning: pg_connect()"
phpinfo()
1 site:xx.com ex t:php intitle:phpinfo "published by the PHP Group"
配置文件泄露
1 site:xx.com ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini
数据库文件泄露
1 site:xx.com ext:.sql | .dbf | .mdb | .db
日志文件泄露
备份和历史文件泄露
1 site:xx.com ext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar .gz | .tgz | .tar
公开文件泄露
1 site:xx.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv
邮箱信息
1 site:xx.com intext:@xx.comsite :xx.com 邮件site:xx.com email
社工信息
1 site:xx.com intitle:账号 | 密码 | 工号 | 学号
通过用户的一些信息(Mail、Name、ID、Tel)查询用户注册过哪些应用
Github信息泄漏 很多网站及系统都会使用pop3和smtp发送来邮件,不少开发者由于安全意识不足会把相关的配置文件信息也放到Github上,所以如果这时候我们动用一下Google搜索语法,就能把这些敏感信息给找出来了。
1 2 3 4 5 site:Github.com smtp.com smtp @qq.com .com smtp @126 .com .com smtp @163 .com .com smtp @sina.com .cn
数据库信息泄露:
1 2 site:Github.com sa passwordcom root password
