8.27网络安全知识整理

1.DNS解析详细步骤

1、用户请求通过浏览器输入要访问网站的地址。浏览器会在自己的缓存中查找URL对应IP地址。如果之前访问过，保存了这个URL对应IP地址的缓存，那么就直接访问IP地址。

2、通过计算机本地的Host文件配置，可以设置URL和IP地址的映射关系。

3、请求Local DNS Server，通过本地运营商获取URL和IP的映射关系。

4、通过Root DNS Server进行解析，ROOT DNS Server会根据请求的URL 返回给Local DNS Server顶级域名服务器的地址。

5、返回顶级域名服务器的地址以后，访问对应的顶级域名服务器，并且返回Name Server服务器地址。

6、Name Server会把指定域名的A记录或者CNAME返回给Local DNS Server，并且设置一个TTL。Address记录是用来指定主机名对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置您域名的二级域名。CNAME：别名记录。这种记录允许您将多个名字映射到另外一个域名。通常用于同时提供WWW和MAIL服务的计算机。TTL：设置这个DNS解析在Local DNS Server上面的过期时间。超过了这个过期时间，URL和IP的映射就会被删除，需要获取还要请求Name Server。

7、如果此时获取的是A记录，那么就可以直接访问网站的IP了。但是通常来说大型的网站都会返回CNAME，然后将其传给GTM Server。离自己最近，性能最好，服务器状态最健康的。而且大多数的网站会做CDN缓存，此时就更需要使用GTM帮你找到网络节点中适合你的CDN缓存服务器。

8、找到CDN缓存服务器以后，可以直接从服务器上面获取一些静态资源。

9、对于没有缓存的动态资源需要从应用服务器获取，在应用服务器与互联网之间通常有一层负载均衡器负责反向代理。有它路由到应用服务器上。

2.绕过CDN查找主机真实IP的方法。

1、查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录

https://dnsdb.io/zh-cn/ DNS查询
微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 微步在线
http://toolbar.netcraft.com/site_report?url= 在线域名信息查询
http://viewdns.info/ DNS、IP等查询
全球 CDN 服务商查询_专业精准的IP库服务商_IPIP CDN查询IP

2、查询域名的子域名。（子域名信息收集常用手段）

子域名查找的方法和工具：

Dnsdb查询法。https://dnsdb.io/zh-cn/收集子域名和ip。

Google，bing，百度搜索引擎搜索

各种子域名扫描器

GitHub - lijiejie/subDomainsBrute: A fast sub domain brute tool for pentesters)

子域名挖掘机仅需输入域名即可基于字典挖掘它的子域名

3、网络空间引擎搜索

网络空间 钟馗之眼 ZoomEye - Cyberspace Search Engine

网络空间 零零信安 零零信安 | ASM | 攻击面 | 外部攻击面管理专家 | 比攻击者更快一步了解您自己的风险

网络空间 Shodan  Shodan Search Engine

网络空间 Censys  Attack Surface Management and Threat Hunting Solutions | Censys

网络空间 ONYPHE Cyber Defense Search Engine | ONYPHE

网络空间 FullHunt https://fullhunt.io/

网络空间 Soall Search Engine https://soall.org/

网络空间 Netlas Netlas App

网络空间 Leakix LeakIX

网络空间 DorkSearch DorkSearch - Speed up your Google Dorking

4、用 Nmap 扫描

5、网站漏洞查找

1）目标敏感文件泄露。
2）XSS盲打，命令执行反弹shell，SSRF等。
3）无论是用社工还是其他手段，拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP。

3.Nmap全端口扫描

1.扫描实战

打开phpstudyt的apache模式，nmap输入搭建的pikachu靶场ip，进行扫描。

扫描结果大致如上。

2.SYN半开扫描原理

TCP SYN扫描又称“半开扫描”。回顾TCP连接的三次握手，申请方首先发送的是一个SYN数据包，服务方在接到这个SYN数据包后，如果该端口处于侦听状态，则会回复一个SYN|ACK的数据包；如果该端口没有处于侦听状态，则会回复一个RST的数据包。而此时如果对方处于侦听状态，申请方还需要再向对方回复一个ACK数据包以示建立连接。此时对方就认为连接建立，并记入日志。

该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。如果没有收到回复，那么判断该端口被屏蔽（Filtered）。因为该方式仅发送SYN包对目标主机的特定端口，但不建立的完整的TCP连接，所以相对比较隐蔽，而且效率比较高，适用范围广。

3.跳过主机存活检测扫描使用常见例

-Pn，用于跳过主机发现阶段

-sn: Ping Scan 只进行主机发现，不进行端口扫描。

4.dirmap目录探测工具实践

1.实践扫描本地用phpstudy搭建的127.0.0.1网址

2.为什么dirmap每次扫描条数不一样？

网络条件不同：网络连接质量的变化可能导致某些请求通过结果不同。

超时设置：可能请求出现超时而未扫描出结果。

并发问题： 多线程扫描可能导致结果的不一致。

随机性： dirmap 在内部使用了一些随机化策略。

3.dirmap高级应用

编辑项目根目录下的dirmap.conf，进行配置

dirmap.conf配置详解

#递归扫描处理配置
[RecursiveScan]
#是否开启递归扫描:关闭:0;开启:1
conf.recursive_scan = 0
#遇到这些状态码，开启递归扫描。默认配置[301,403]
conf.recursive_status_code = [301,403]
#URL超过这个长度就退出扫描
conf.recursive_scan_max_url_length = 60
#这些后缀名不递归扫
conf.recursive_blacklist_exts = ["html",'htm','shtml','png','jpg','webp','bmp','js','css','pdf','ini','mp3','mp4']
#设置排除扫描的目录。默认配置空。其他配置：e.g:['/test1','/test2']
#conf.exclude_subdirs = ['/test1','/test2']
conf.exclude_subdirs = ""

#扫描模式处理配置(4个模式，1次只能选择1个)
[ScanModeHandler]
#字典模式:关闭:0;单字典:1;多字典:2
conf.dict_mode = 1
#单字典模式的路径
conf.dict_mode_load_single_dict = "dict_mode_dict.txt"
#多字典模式的路径，默认配置dictmult
conf.dict_mode_load_mult_dict = "dictmult"
#爆破模式:关闭:0;开启:1
conf.blast_mode = 0
#生成字典最小长度。默认配置3
conf.blast_mode_min = 3
#生成字典最大长度。默认配置3
conf.blast_mode_max = 3
#默认字符集:a-z。暂未使用。
conf.blast_mode_az = "abcdefghijklmnopqrstuvwxyz"
#默认字符集:0-9。暂未使用。
conf.blast_mode_num = "0123456789"
#自定义字符集。默认配置"abc"。使用abc构造字典
conf.blast_mode_custom_charset = "abc"
#自定义继续字符集。默认配置空。
conf.blast_mode_resume_charset = ""
#爬虫模式:关闭:0;开启:1
conf.crawl_mode = 0
#用于生成动态敏感文件payload的后缀字典
conf.crawl_mode_dynamic_fuzz_suffix = "crawl_mode_suffix.txt"
#解析robots.txt文件。暂未实现。
conf.crawl_mode_parse_robots = 0
#解析html页面的xpath表达式
conf.crawl_mode_parse_html = "//*/@href | //*/@src | //form/@action"
#是否进行动态爬虫字典生成。默认配置1，开启爬虫动态字典生成。其他配置：e.g:关闭:0;开启:1
conf.crawl_mode_dynamic_fuzz = 1
#Fuzz模式:关闭:0;单字典:1;多字典:2
conf.fuzz_mode = 0
#单字典模式的路径。
conf.fuzz_mode_load_single_dict = "fuzz_mode_dir.txt"
#多字典模式的路径。默认配置:fuzzmult
conf.fuzz_mode_load_mult_dict = "fuzzmult"
#设置fuzz标签。默认配置{dir}。使用{dir}标签当成字典插入点，将http://target.com/{dir}.php替换成http://target.com/字典中的每一行.php。其他配置：e.g:{dir};{ext}
#conf.fuzz_mode_label = "{ext}"
conf.fuzz_mode_label = "{dir}"

#处理payload配置。暂未实现。
[PayloadHandler]

#处理请求配置
[RequestHandler]
#自定义请求头。默认配置空。其他配置：e.g:test1=test1,test2=test2
#conf.request_headers = "test1=test1,test2=test2"
conf.request_headers = ""
#自定义请求User-Agent。默认配置chrome的ua。
conf.request_header_ua = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36"
#自定义请求cookie。默认配置空，不设置cookie。其他配置e.g:cookie1=cookie1; cookie2=cookie2;
#conf.request_header_cookie = "cookie1=cookie1; cookie2=cookie2"
conf.request_header_cookie = ""
#自定义401认证。暂未实现。因为自定义请求头功能可满足该需求(懒XD)
conf.request_header_401_auth = ""
#自定义请求方法。默认配置get方法。其他配置：e.g:get;head
#conf.request_method = "head"
conf.request_method = "get"
#自定义每个请求超时时间。默认配置3秒。
conf.request_timeout = 3
#随机延迟(0-x)秒发送请求。参数必须是整数。默认配置0秒，无延迟。
conf.request_delay = 0
#自定义单个目标，请求协程线程数。默认配置30线程
conf.request_limit = 30
#自定义最大重试次数。暂未实现。
conf.request_max_retries = 1
#设置持久连接。是否使用session()。暂未实现。
conf.request_persistent_connect = 0
#302重定向。默认False，不重定向。其他配置：e.g:True;False
conf.redirection_302 = False
#payload后添加后缀。默认空，扫描时，不添加后缀。其他配置：e.g:txt;php;asp;jsp
#conf.file_extension = "txt"
conf.file_extension = ""

#处理响应配置
[ResponseHandler]
#设置要记录的响应状态。默认配置[200]，记录200状态码。其他配置：e.g:[200,403,301]
#conf.response_status_code = [200,403,301]
conf.response_status_code = [200]
#是否记录content-type响应头。默认配置1记录
#conf.response_header_content_type = 0
conf.response_header_content_type = 1
#是否记录页面大小。默认配置1记录
#conf.response_size = 0
conf.response_size = 1
#是否自动检测404页面。默认配置True，开启自动检测404.其他配置参考e.g:True;False
#conf.auto_check_404_page = False
conf.auto_check_404_page = True
#自定义匹配503页面正则。暂未实现。感觉用不着，可能要废弃。
#conf.custom_503_page = "page 503"
conf.custom_503_page = ""
#自定义正则表达式，匹配页面内容
#conf.custom_response_page = "([0-9]){3}([a-z]){3}test"
conf.custom_response_page = ""
#跳过显示页面大小为x的页面，若不设置，请配置成"None"，默认配置“None”。其他大小配置参考e.g:None;0b;1k;1m
#conf.skip_size = "0b"
conf.skip_size = "None"

#代理选项
[ProxyHandler]
#代理配置。默认设置“None”，不开启代理。其他配置e.g:{"http":"http://127.0.0.1:8080","https":"https://127.0.0.1:8080"}
#conf.proxy_server = {"http":"http://127.0.0.1:8080","https":"https://127.0.0.1:8080"}
conf.proxy_server = None

#Debug选项
[DebugMode]
#打印payloads并退出
conf.debug = 0

#update选项
[CheckUpdate]
#github获取更新。暂未实现。
conf.update = 0

引用自dirmap 工具学习-CSDN博客

5.Fscan实践

使用fscan扫描之前用phpstudy创建的本地网址端口。

6.各插件安装截图

Nmap

dirmap

fscan

附：dirmap安装报错

问题

无论是通过git仓库克隆下载安装方式还是通过下载zip文件解压安装方式，都无法正确安装dirmap服务。且未出现相关报错。

解决方法

使用的python版本过高不适配当前软件。

 在python官方网址上Python Releases for Windows | Python.org下载低版本(本人选择的3.10.8版本)下载安装。

在安装时要注意不要覆盖原新版本的python，单独设立目录安装。且勾选将该版本python加入环境变量选框，其他按照默认设置安装即可。

把下载安装好的目录打开，对两个exe文件进行重新命名。这里我将其命名为了python310和pythonw310。

最后打开cmd窗口，把原安装命令中的python替换为我们安装的python310。成功运行dirmap安装运行程序。