第二天作业

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

文章目录

• 任务一DNS解析详细步骤
• 任务二绕过cdn信息收集常用手段
• 任务三子域名信息收集常用手段
• 1搜索引擎查询
• 2dns历史记录
• 3爬虫技术
• 4whois反查关联域名
• 5官网架构图
• 6在线子域名查询网站
• 7官方备案网站查询
• 任务四nmap全端口扫描
• 任务五dirmap目录探测工具实践
• 一、具体实现
• 1一直目标主机在线
• 2避免触发安全机制
• 3加速扫描过程
• 4渗透测试中的隐蔽性要求
• 二、每次扫描结果不一样
• 任务六fscan使用
• 任务七安装插件

---

---

任务一DNS解析详细步骤

第一步：本地DNS服务器

客户端通过浏览器访问某网站，随后发起查询该域名的IP地址的DNS解析请求。该请求发送到了本地DNS服务器上。本地DNS服务器会首先检查浏览器缓存和host配置文件，，如果缓存中有该网站IP的记录，则直接返回对应的dns地址。如果没有，本地DNS服务器还要向DNS根服务器进行查询。

第二步：本地DNS服务器发送请求到根域名服务器

本地DNS服务器向根服务器发送DNS解析请求，请求网站域名对应的IP地址。

第三步：根域名服务器查询

根服务器经过查询，如果没有查询到该域名及IP地址的对应关系，就会告诉本地DNS服务器可以到顶级DNS服务器上继续查询，并返回顶级DNS服务器的地址。

第四步：本地DNS向顶级域名服务器发送请求

本地DNS服务器向顶级DNS服务器发送DNS请求，请求网站域名对应的IP地址。

第五步：顶级DNS服务器查询

顶级DNS服务器收到请求后，不会直接返回域名和IP地址的对应关系，而是告诉本地DNS服务器，返回NameServer服务器的地址，该域名可以在对应的域名服务器上进行解析获取IP地址。

第六步：本地DNS服务器向NameServer服务器发起请求

本地DNS服务器向该域名对应所属NameServer服务器发送DNS解析请求，请求域名对应的的IP地址。

第七步：NameServer服务器查询

NameServer服务器服务器收到请求后，在自己的缓存表中查找该域名和IP地址的对应关系，并将正确的DNS解析结果，也就是IP地址，返回给本地DNS服务器。

第八步：本地DNS服务器和客户端开始交互

本地DNS服务器将获取到与域名对应的IP地址返回给客户端，并且将域名和IP地址的对应关系保存在缓存中，以备下次别的用户查询时使用。
 

任务二绕过cdn信息收集常用手段

1>搜索引擎查询：如Google、baidu、Bing等传统搜索引擎，site:baidu.com inurl:baidu.com，搜target.com|公司名字。

2>DNS历史解析记录：查询域名的历史解析记录，可能会找到网站使用CDN前的解析记录，从而获取真实ip           

3>查子域名：很多时候，一些重要且访问量很大的站点会做CDN，而一些子域名站点并没有加入CDN，但是这些子域名站点跟主站在同一个C段内甚至和主站是同一个IP，这时候，就可以通过查找子域名来查找网站的真实IP。

4>网站邮件头信息：通过网站给自己发送邮件，从而让目标主动暴露他们的真实的IP，邮件头部的源码中会包含此邮件服务器的真实 IP 地址，从而获取到网站的真实IP。

常见邮件触发点有：RSS 订阅、邮箱注册激活处、邮箱找回密码处、产品更新的邮件推送、某业务执行后发送的邮件通知、员工邮箱、邮件管理平台等入口处的忘记密码

5>利用SSL证书寻找真实IP：证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。

6>全国各地或者国外主机解析域名：有一些公司或者目标没有在偏远地区购买cdn加速服务，所以当在偏远地区ping时，很可能就是访问的目标真实IP；大部分 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，所以使用使用国外ping查询，很可能获取到真实IP。

7>扫描全网(这个感觉有点扯，而且不太现实)：通过Zmap、masscan等工具对整个互联网发起扫描，针对扫描结果进行关键字查找，获取网站真实IP。

8>配置不当导致绕过：在配置CDN的时候，需要指定域名、端口等信息，有时候小小的配置细节就容易导致CDN防护被绕过。

eg:1.为了方便用户访问，常常将www.test.com 和 test.com 解析到同一个站点，而CDN只配置了www.test.com，通过访问test.com，就可以绕过 CDN 了。

2.站点同时支持http和https访问，若CDN只配置 https协议，那么这时访问http就可以轻易绕过。

任务三子域名信息收集常用手段

1.网络空间威胁情报等

360：https://quake.360.cn/quake/#/index

鹰图：http://hunter.qianxin.com/

钟馗之眼：https://www.zoomeye.org

Shodan：https://www.shodan.io

Fofa：https://fofa.so

微步在线情报社区：https://x.threatbook.cn/

奇安信威胁情报中心：https://ti.qianxin.com/

360威胁情报中心：https://ti.360.cn/#/homepage

2.子域名挖掘工具

Layer子域名挖掘机：https://github.com/euphrat1ca/LayerDomainFinder

oneforall：https://github.com/shmilylty/OneForAll

3.在线子域名搜索网站

http://tool.chinaz.com/subdomain/

http://searchdns.netcraft.com/

https://www.virustotal.com/

http://tools.bugscaner.com/subdomain/

https://www.dnsgrep.cn/subdomain

任务四nmap全端口扫描

任务五dirmap目录探测工具实践

一、具体实现

在dirmap-master目录下打开cmd，输入命令python ./dirmap.py -i 127.0.0.1:89 -lcf扫描

1已知目标主机在线

当已经通过其他方式（如物理连接、前期网络监控、DNS解析等）确认目标主机处于在线状态时，使用Nmap进行扫描时可以选择跳过主机存活检测。这样可以节省扫描时间，直接进行端口扫描、服务版本侦测、操作系统侦测等后续操作。

2避免触发安全机制

在某些情况下，频繁的主机存活检测（如ICMPEcho请求）可能会触发目标主机的安全机制，如防火墙规则、入侵检测系统等。这些安全机制可能会记录扫描行为，甚至对扫描源进行反击。跳过主机存活检测可以减少对目标主机的潜在干扰，降低被发现的风险。

3加速扫描过程

对于大规模的网络扫描任务，主机存活检测可能会成为影响扫描速度的关键因素。通过跳过主机存活检测，可以显著加快扫描速度，提高扫描效率。这对于需要快速评估目标网络状态或进行大规模资产发现的任务尤为重要。

4渗透测试中的隐蔽性要求

在进行渗透测试时，保持隐蔽性是非常重要的。跳过主机存活检测可以减少对目标网络的直接交互，降低被目标系统或安全团队检测到的风险。这有助于渗透测试人员更加隐蔽地收集目标系统的信息，为后续的渗透测试工作打下基础。

二、每次扫描结果不一样

动态内容：网站的内容和服务可能随着时间动态变化，比如新页面或目录的添加、旧页面的删除或移动等。这些变化会直接影响Dirmap扫描时能够发现的条数。

负载与响应：网站在不同时间段的负载情况也会影响扫描结果。如果网站在扫描时负载较高，响应速度可能变慢，甚至某些页面或目录无法及时响应，导致扫描条数减少。

任务六fscan使用

在fscan目录下打开cmd，输入fscan-h127.0.0.1/24-np

输入“fscan-h192.168.111.1”扫描主机