参考书籍:Web安全攻防-渗透测试实战指南 徐焱(yan\)李文轩 等
配套资源网址:https://www.ms08067.com/
1.子域名检测工具,Layer子域名挖掘机、Sublist3r和subDomainsBrute
1.2收集敏感信息
google常用语法(关键字)
- site (指定域名)
- inurl (URL中存在关键字的网页)
- intext (网页正文中的关键字)
- filetype (指定文件类型)
- intitle (网页标题中的关键字)
- link (link:baidu.com 即表示返回所有和baidu.com做了链接的URL)
- info (查找指定站点的一些基本信息)
- cache (搜索Google里关于某些内容的缓存)
例子:site:edu.cn intext:后台管理
1.3收集子域名信息
1.子域名检测工具,Layer子域名挖掘机、Sublist3r和subDomainsBrute
执行命令:python subDomainsbrute.py xxxx.com
2.收索引擎枚举
site:baidu.com
3.第三方聚合应用枚举
DNSdumpster、在线DNS侦查
4.证书透明度(CT)公开日志枚举
推荐网站 https://crt.sh 和 https://censys.io
此外子域名爆破网站https://phpinfo.me/domain/,IP反查绑定域名网站https://dns.aizhan.com/
1.4收集常用端口信息
常见扫描工具:Nmap,无状态端口扫描工具Masscan,ZMap和御剑高速TCP端口扫描工具
端口类型--->端口号+攻击方向
- 文件共享服务端口
- 远程连接服务端口
- web应用服务端口
- 数据库服务端口
- 邮件服务端口
- 网络常见协议端口
- 特殊服务端口
1.5指纹识别
特征码 ----->CMS
一些在线网站:
- BugScanner(现在需要收费) http://whatweb.bugscanner.com/
- 云悉指纹http://www.yunsee.cn/finger.html
- WhatWebhttps://whatweb.net/
1.6查找真实IP
1.目标服务器存在CDN
CDN即内容分发网络,就是一组在不同运营商之间的对接节点上的高速缓存服务器。
2.判断目标是否使用了CDN
通常通过ping目标主域
还可以利用在线网站17CE https://www.17ce.com/
3.绕过CDN寻找真实IP
- 内部邮箱源。查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个域名,就可以获取真实IP
- 扫描网站测试文件。如phpinfo、test等
- 分站域名。分站可能没有挂CDN,可以通过ping二级域名获取分站iP,可能出现分和主不是同一个IP,但在同一个C段
- 国外访问。可能通过国外在线代理网站App Synthetic Monitor(https://asm.ca.com/en/ping.php)访问
- 查询域名解析记录。也许目标以前没有用过CDN,可以通过网站NETCRAFT(https://www.netcraft.com/)观察历史记录
4.验证获取的IP
如果是web,最简单则是用IP访问,看响应页面是否与域名访问相同;在目标段比较打的情况下,借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP,然后逐个尝试IP访问,观察响应结果
1.7收集敏感目录文件
例子DirBuster
在线工具:WebScan(https://www.webscan.cc/)
1.8社会工程学
还可利用“社工库”查询想要得到的信息,它是利用社会工程学进行攻击时积累的各方数据的结构化数据库