域名資訊

Whois查詢

指的是域名注冊時留下的資訊·管理員名字、電話、郵箱

可以通過社工、查詢有誤其他域名，擴大攻擊范圍

1. 通過在線工具查詢

   • IP138查詢網

   • 域名資訊查詢 - 騰訊云

   • 新網域名資訊查詢

   • IP Whois查詢 - 站長工具

   • SearchDns—Netcraft

2. 通過命令列查詢

   • whois命令

     root@kali:/home/mpy# whois xuegod.cn
     Domain Name: xuegod.cn
     ROID: 20140908s10001s72166376-cn
     Domain Status: ok
     

郵箱收集

• 通過工具
  • theHarvester
  • infoga

備案資訊查詢

網站備案資訊是根據國家法律法規規定，由網站所有者向國家有關部門申請的備案，是國家資訊產業部對網站的一種管理途徑，是為了防止在網上從事非法網站經營活動，當然主要是針對國內網站，

在備案查詢中我們主要關注的是：單位資訊例如名稱、備案編號、網站負責人、法人、電子郵箱、聯系電話等，

• 通過在線工具查詢

  • 備案查詢

  • ICP/IP地址/域名資訊備案管理系統

  • 備案巴巴

  • 天眼查

  • ICP備案查詢網

  • 國外備案查詢

信用資訊查詢

查一些基礎資訊，看運氣

• 通過在線工具查詢

  • 國家企業信用資訊公示系統

  • 信用中國-個人信用查詢搜索-企業資訊查詢搜索-統一社會信用代碼查詢

子域名資訊

子域名

1. 在線工具查詢

   • IP138查詢網
   • Dns-Bufferover
   • 在線子域名查詢—phpinfo
   • 子域名掃描
   • 二級子域名掃描
   • DnsDumpster
   • SearchDns—Netcraft

2. 證書透明度公開日志列舉

   證書透明度是證書授權機構（CA）的一個專案，證書授權機構會將每個SSL/TLS證書發布到公共日志中

   一個SSL/TLS證書通常包含域名、子域名和郵件地址，這些也經常成為攻擊者非常希望獲得的有用資訊

   查找某個域名所屬證書的最簡單的方法就是使用搜索引擎搜索一些公開的CT日志

   • crt
   • censys
   • myssl

3. 軟體

   • theHarvester

   • Layer

   • subDomainsBrute

DNS記錄

通過字典拼接到域名上去訪問DN服務器，如果服務器有回應，則該域名存在

Dns域名決議

1. ping

   root@kali:/home/mpy# ping baidu.com
   PING baidu.com (220.181.38.148) 56(84) bytes of data.
   64 bytes from 220.181.38.148 (220.181.38.148): icmp_seq=1 ttl=128 time=68.5 ms
   

2. nslookup

   nslookup baidu.com

   root@kali:/home/mpy# nslookup baidu.com
   Server:         192.168.30.2
   Address:        192.168.30.2#53
   
   Non-authoritative answer:
   Name:   baidu.com
   Address: 39.156.69.79
   Name:   baidu.com
   Address: 220.181.38.148
   

3. dig

   dig @服務器地址 需要查詢的地址 any

   any：顯示所有型別的域名記錄（默認只顯示A記錄）

   root@kali:/home/mpy# dig baidu.com
   root@kali:/home/mpy# dig @8.8.8.8 baidu.com
   root@kali:/home/mpy# dig @8.8.8.8 baidu.com any
   root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
       ……
   baidu.com.              7191    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
   baidu.com.              21591   IN      NS      ns4.baidu.com.
       ……
   

   +noall +answer會顯示的很整潔

   root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
   baidu.com.              7070    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
   baidu.com.              21470   IN      NS      ns4.baidu.com.
   baidu.com.              21470   IN      NS      ns7.baidu.com.
   baidu.com.              21470   IN      NS      ns3.baidu.com.
   baidu.com.              21470   IN      NS      dns.baidu.com.
   baidu.com.              21470   IN      NS      ns2.baidu.com.
   baidu.com.              470     IN      A       39.156.69.79
   baidu.com.              470     IN      A       220.181.38.148
   baidu.com.              7070    IN      MX      20 mx50.baidu.com.
   baidu.com.              7070    IN      MX      10 mx.maillb.baidu.com.
   baidu.com.              7070    IN      MX      15 mx.n.shifen.com.
   

   -x使用IP反查域名

   root@kali:/home/mpy# dig -x 8.8.8.8
   ; <<>> DiG 9.16.6-Debian <<>> -x 8.8.8.8
   ;; global options: +cmd
   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22187
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
   
   ;; QUESTION SECTION:
   ;8.8.8.8.in-addr.arpa.          IN      PTR
   
   ;; ANSWER SECTION:
   8.8.8.8.in-addr.arpa.   5       IN      PTR     dns.google.
   

4. dnsdict6

   root@kali:/home/mpy# dnsdict6 -m baidu.com
   

   -4 查詢ipv4地址
   -D 顯示自帶的字典
   -t 執行緒數 最高32，默認是8
   -d 顯示NS MX域名資訊
   -S SRV服務名稱猜解
   -[smlxu] 選擇字典大小
   -s(mall=100),-m(edium=1419)(DEFAULT)
   -l(arge=2601),-x(treme=5886) or -u(ber=16724)
   

歷史記錄查詢

• A記錄（Address）正在決議

  • A記錄是將一個主機名（全稱FQDN）和一個IP地址關聯起來，大多數客戶端程式默認的查詢型別
  • 例如：就是域名決議IP（mpy.com -> 12.12.12.11）

• PTR記錄（Pointer） 反向決議

  • PTR記錄將一個IP地址對應到主機名（全稱域名FQDN），這些記錄保存在in-addr.arpa域中

  • 例如：IP決議域名（12.12.12.11 -> mpy.com）

• CNAME記錄（Canonical Name）別名記錄

  • 別名記錄，也成規范名字（Canonical Name），這種記錄允許您將多臺映射到同一臺計算機上
  • 例如：n.mpy.com -> 8.8.8.7，m.mpy.com -> 8.8.8.7

• MX記錄（Mail eXchange）郵件記錄

  • MX記錄是郵件記錄，它指向一個郵件服務器，用于電子郵件系統發郵件時根據收信人的地址后綴來定位郵件服務器
  • 當有多個MX記錄（即有多個郵件服務器）時，則需要設定數值來確定其優先級，通過設定優先級數字來指明首選服務器，數字越小表示優先級越高
  • 例如：mail.mpy.com

• NS記錄（Name Server）域名服務器記錄

  • NS（Name Server）記錄是域名服務器記錄，也稱為授權服務器，用來指定該域名由哪個DNS服務器進行決議
  • 例如：dns.mpy.com

DNS bind版本查詢

• 目的通過版本資訊來查找相關版本漏洞的利用方式

dig txt chaos VERSION.BIND @需要查詢的域名 查詢bind版本資訊

root@kali:/home/mpy# dig txt chaos VERSION.BIND @nc3.dnsv4.com

DNS域傳送漏洞原理

DNS服務器分為：主服務器、備份服務器和快取服務器，在主備服務器之間同步資料庫，需要使用“DNS域傳送”，域傳送是指備份服務器從主服務器拷貝資料，并用得到的資料更新自身資料庫

若DNS服務器配置不當，可能導致攻擊者獲取某個域的所有記錄，造成整個網路的拓撲結構泄露給潛在的攻擊者，包括一些安全性較低的內部主機，如測驗服務器，同時，黑客可以快速的判定出某個特定zone的所有主機，收集域資訊，選擇攻擊目標，找出未使用的IP地址，繞過基于網路的訪問控制，

• DNS域傳送漏洞檢測

  1. nslookup

     nslookup #進入互動式shell

     server dns.xx.yy.zz #設定查詢將要使用的DNS服務器

     ls xx.yy.zz #列出某個域中的所有域名

     exit #退出

     > nslookup
     Server:  lkwifi.cn
     Address:  192.168.68.1
     
     *** lkwifi.cn can't find nslookup: Non-existent domain
     > server ss2.bjfu.edu.cn
     Default Server:  ss2.bjfu.edu.cn
     Address:  202.204.112.67
     
     > ls bjfu.edu.cn
     [ss2.bjfu.edu.cn]
     *** Can't list domain bjfu.edu.cn: Query refused
     The DNS server refused to transfer the zone bjfu.edu.cn to your computer. If this
     is incorrect, check the zone transfer security settings for bjfu.edu.cn on the DNS
     server at IP address 202.204.112.67.
     > exit
     

     > nslookup
     > server dns1.xxx.edu.cn
     > ls xxx.edu.cn
     

  2. nmap

     • 利用nmap漏洞檢測腳本"dns-zone-transfer"進行檢測

     nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn

     --script dns-zone-transfer表示加載nmap漏洞檢測腳本dns-zone-transfer.nse，擴展名.nse可省略

     --script-args dns-zone-transfer.domain=xxx.edu.cn向腳本傳遞引數，設定列出某個域中的所有域名

     -p 53 設定掃描53埠

     -Pn 設定通過Ping發現主機是否存活

  3. dig

     dig -h

     dig @dns.xxx.edu.cn axfr xxx.edu.cn

     axfr是q-type型別的一種: axfr型別是Authoritative Transfer的縮寫，指請求傳送某個區域的全部記錄，

指紋識別

指網站CMS指紋識別、計算機作業系統及web容器的指紋識別等

• 通過在線工具
  • Tide安全團隊
  • WhatWeb
  • Finger-P

WAF識別

WAF分類

1. 軟體WAF

   1. D盾

      

   2. 云鎖

      

   3. UPUPW

      

   4. 寶塔

      

   5. 國防G01

      

   6. 護衛神

      

   7. 安全狗

      

   8. 智創防火墻

      

   9. 360主機衛士 / 360webscan

      

   10. 西數WTS-WAF

       

   11. Naxsi

       

   12. 騰訊云

       

   13. 騰訊宙斯盾

       

   14. 百度云

       

   15. 華為云

       

   16. 網宿云

       

   17. 創宇盾

       

2. 硬體WAF

   GOV站點（政府站點）、國網、運營商

應用資訊

公眾號、微博、應用程式、App等

• 通過在線工具
  • 天眼查
  • 七麥資料
  • 蘋果app

真實IP

國內外CDN

國內常見CDN

阿里云
騰訊云
百度云
網宿科技(ChinanNet Center)
藍汛
金山云
UCloud
網易云
世紀互聯
七牛云
京東云等

國外常見CDN

Akamai(阿卡邁)
Limelight Networks(簡稱LLNW)
AWS Cloud(亞馬遜)
Google(谷歌)
Comcast(康卡斯特)

發現CDN

全國PING

• Ping檢測-站長工具
• 17CE
• ipip (支持國內、國外)

繞過CDN

內部郵箱源

一般的郵件系統都在內部，沒有經過CDN的決議，通過利用目標網站的郵箱注冊、找回密碼或者RSS訂閱等功能，查看郵件、尋找郵件頭中的郵件服務器域名IP，ping這個郵件服務器的域名,就可以獲得目標的真實IP，

注意：必須是目標自己的郵件服務器，第三方或公共郵件服務器是沒有用的

國外請求

很多時候國內的CDN對國外得覆寫面并不是很廣，故此可以利用此特點進行探測，通過國外代理訪問就能查看真實IP了，或者通過國外的DNS決議，可能就能得到真實的IP，

國際Ping

• ipip
• ASM

國外DNS決議

• 世界各地DNS服務器地址大全

分站域名&C段查詢

很多網站主站的訪問量會比較大，所以主站都是掛CDN的，但是分站可能沒有掛CDN,可以通過ping二級域名獲取分站IP， 可能會出現分站和主站不是同一個IP但在同一個C段下面的情況，從而能判斷出目標的真實IP段，

C段查詢

• 在線查詢

https://phpinfo.me/bing.php

• 工具
  • K8_C段旁注工具6.0
  • nmap
  • IISPutScanner
  • 小米范WEB查找器

小米范WEB查找器：http://pan.baidu.com/s/1pLjaQKF

• 網路資產搜索引擎

  • Fofa、Shodan、ZoomEye

利用這些網路空間資產搜索引擎來搜索暴露在外的埠資訊

利用語法搜索C段資訊

網站漏洞

通過網站的資訊泄露如phpinfo泄露，github資訊泄露，命令執行等漏洞獲取真實ip，

一些測驗檔案

phpinfo、test等

SSRF漏洞

服務器主動向外發起連接，找到真實IP地址

查詢域名決議記錄

一般網站從部署開始到使用cdn都有一個程序，周期如果較長的話 則可以通過這類歷史決議記錄查詢等方式獲取源站ip，查看IP與域名系結的歷史記錄，可能會存在使用CDN前的記錄，

在線網站查詢

• dnsdb
• NETCRAFT
• viewdns
• threatbook
• securitytrails

目標網站APP應用

如果目標網站有自己的App，可以嘗試利用Fiddler或Burp Suite抓取App的請求，從里面找到目標的真實IP，

網路空間引擎搜索

shodan、FOFA、zoomeye

敏感資訊

目錄后臺

• 通過工具
  • 7kbscan-WebPathBrute
  • dirbuster
  • dirmap
  • 御劍

備份檔案

• 網站備份檔案常用名

  backup

  db

  data

  web

  wwwroot

  database

  www

  code

  test

  admin

  user

  sql

• 網站備份檔案常用后綴名

  .bak

  .html

  _index.html

  .swp

  .rar

  .txt

  .zip

  .7z

  .sql

  .tar

  .gz

  .tgz

  .tar

• 常見掃描工具有

  • Test404網站備份檔案掃描器 v2.0

公開檔案

• 掃描工具
  • snitch

公網網盤

可能有些內部資料存放在公網網盤，被在線網盤抓取，可以利用這個來對目標系統進行資訊收集

• 直接輸入廠商名字進行搜索

• 在線搜索工具

  • 凌風云搜索
  • 小白盤搜索
  • 大力盤搜索
  • 小不點搜索【微盤】

歷史網站

wayback會記錄網站版本更迭，可以獲取到之前版本的網站，可能會找到一些后來洗掉的敏感資產資訊，或者一些漏洞

• https://web.archive.org/

原始碼泄露

/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store  MacOS自動生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml

Robots.txt

將常見原始碼泄露加入字典配合FUZZ、御劍等掃描器進行掃描收集

• .git原始碼泄露：https://github.com/lijiejie/GitHack
• .DS_Store泄露：https://github.com/lijiejie/ds_store_exp
• .bzr、CVS、.svn、.hg原始碼泄露：https://github.com/kost/dvcs-ripper

JS獲取敏感介面

JSFinder

JSFinder是一款用作快速在網站的js檔案中提取URL，子域名的工具，

• 安裝

pip3 install requests bs4
git clone https://github.com/Threezh1/JSFinder.git

• 使用

python3 JSFinder.py -u http://www.mi.com
python3 JSFinder.py -u http://www.mi.com -d

LinkFinder

該工具通過網站中的JS檔案來發現服務端、敏感資訊、隱藏控制面板的URL鏈接等有用資訊，可最大化地提高URL發現效率

• 安裝

git clone https://github.com/GerbenJavado/LinkFinder.git
cd LinkFinder
python2 setup.py install

• 使用

在線JavaScript檔案中查找端點的最基本用法，并將結果輸出到results.html：

python linkfinder.py -i https://example.com/1.js -o results.html

CLI輸出（不使用jsbeautifier，這使得它非常快）：

pyhon linkfinder.py -i https://example.com/1.js -o cli

分析整個域及其JS檔案：

python linkfinder.py -i https://example.com -d

Burp輸入（在目標中選擇要保存的檔案，右鍵單擊，Save selected items將該檔案作為輸入）：

python linkfinder.py -i burpfile -b

列舉JavaScript檔案的整個檔案夾，同時查找以/ api /開頭的終結點，并最終將結果保存到results.html：

python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html

埠掃描

掃描工具

Nmap  

Masscan

masnmapscan

ZMap  

御劍高速TCP埠掃描工具

御劍高速埠掃描工具

IISPutScanner

IISPutScanner增強版-DotNetScan v1.1 Beta

Nmap

• 掃描多個IP

掃描整個子網 nmap 192.168.6.1/24
           nmap 192.168.1.1/16
           nmap 192.168.1-30.1-254
           nmap 192.168.1-254.6
掃描多個主機 namp 192.168.6.2 192.168.6.6
掃描一個小范圍 nmap 192.168.6.2-10
掃描txt內的ip串列  nmap -iL text.txt
掃描除某個目標外   nmap 192.168.6.1/24 -exclude 192.168.6.25

• 繞過Firewalld【防火墻】掃描主機埠

通過不同的協議(TCP半連接、TCP全連接、ICMP、UDP等)的掃描繞過Firewalld的限制

nmap -sP 192.33.6.128
nmap -sT 192.33.6.128
nmap -sS 192.33.6.128
nmap -sU 192.33.6.128
nmap -sF 192.33.6.128
nmap -sX 192.33.6.128
nmap -sN 192.33.6.128

• 初步掃描埠資訊

nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt

• 掃描埠并且標記可以爆破的服務

nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

• 判斷常見的漏洞并掃描埠

nmap 127.0.0.1 --script=auth,vuln

• 精確判斷漏洞并掃描埠

nmap 127.0.0.1 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version

瀏覽器插件

shodan

tcpiputils

dnslytics

fofa-view

wapplayzer

網路空間搜索引擎

fofa

shodan

zoomeye

漏洞公共庫

國內

• 國家資訊安全漏洞庫
• 國家資訊安全漏洞共享平臺
• SeeBug
• 資訊安全漏洞門戶 VULHUB
• 數字觀星
• NSFOCUS綠盟科技
• BugScan--漏洞插件社區
• 漏洞串列 | 教育行業漏洞報告平臺（Beta）
• 工控系統行業漏洞庫平臺
• exp庫-打造中文最大exploit庫
• 烏云漏洞庫

國外

• Exploit-db
• Sploitus | Exploit & Hacktool Search Engine
• packetstorm
• SecurityFocus
• cxsecurity
• rapid7 Vulnerability & Exploit Database
• Most recent entries - CVE-Search
• CVE security vulnerability database. Security vulnerabilities, exploits
• CVE mitre - Search CVE List
• 美國官方工控資料庫 ICS-CERT Landing | CISA
• 路由器漏洞搜索 Routerpwn - One click exploits, generators, tools, news, vulnerabilities, poc

社工庫

• social-engineer-toolkit

標籤：其他

上一篇：ArrayDeque（JDK雙端佇列）原始碼深度剖析

下一篇：BUCK 電路PSIM仿真模型搭建之一 (PI模塊穩定性分析)