渗透课程第二阶段--Part1--信息收集

域名的分类

国际域名：

.com 商业公司

.net 网络服务

.org 组织协会等

.gov 政府部门

.edu 教育机构

.mil 军事机构

.int 国际组织

国别域名：

.CN 中国

.UK 英国

.US 美国

新顶级域名：

biz

info

name

pro

aero

coop

museum

域名联系人信息

        所属人、邮箱、电话、地址……

whois查询：

        "whois" 是一个网络工具，用于查询域名的注册信息。可以查看一个域名的注册者、注册日期、过期日期、域名服务器等信息。对于确认一个域名的所有者、管理者以及其他相关信息非常有用。

.com由域名运营商VeriSign管理

.cn域名由CNNIC管理

                站长工具：站长工具 - 站长之家

                中国互联网信息中心：首页----中国互联网络信息中心

kali中自带whois命令：

域名反查工具：

站长工具域名反查：域名反查_邮箱反查域名_邮箱Whois反查 - 站长工具

备案信息：

通常是指在某些国家或地区，网站运营者需要向政府或相关管理机构注册并提交其网站的基本信息的要求。这些信息可能包括网站所有者的身份信息、网站域名、服务器信息、经营范围等。

        备案信息的目的是确保网站的合法性、安全性和透明度，以便政府或相关机构监管和管理互联网内容。在一些国家和地区，没有备案或未按规定进行备案可能导致网站被关闭或受到处罚。

工信部ICP/IP地址/域名信息备案管理系统：https://beian.miit.gov.cn/#/Integrated/index

子域名信息

子域名的作用：

子域名是在主域名之下创建的附加域名，用于组织、管理和定位网站内容和服务。它们可以提供特定的功能、服务或语言版本，并帮助改善搜索引擎优化和品牌展示。通过子域名，网站所有者可以更好地组织网站结构、提供多样化的内容和服务，并更精准地定位目标受众。

怎么查询子域名：

字典猜解

枚举

子域名挖掘机：

域名DNS信息

域名解析服务（DNS Domain Name Server）：

域名解析信息：

DNSPod-免费智能DNS解析服务商-电信_网通_教育网,智能DNS-烟台帝思普网络科技有限公司

记录类型：（11种，以下列举常用的几种）

A A记录是最常用类型，将域名指向一个IPV4地址，如8.8.8.8

CNAME 将域名指向另一个域名地址，与其保持相同解析，如https://www.dnspod.cn

MX 用于邮件服务器，相关参数一般由右键注册商提供。

TXT 域名服务记录，可将指定域名交由其他DNS服务商解析管理。

NS 域名服务器记录，可将指定域名交由其他DNS服务商解析管理

AAAA
将域名指向一个IPv6地址，如：ff06:0:0:0:0:0:0:c3

在线域名解析记录检测-在线Nslookup域名解析查询工具

Maltego：

Maltego是一种开放源代码的情报和侦查工具，用于收集和分析开放源代码情报（OSINT）。它允许用户在网络上执行广泛的情报收集任务，包括从各种来源（如社交媒体、网站、公开数据库等）收集数据，并通过可视化工具来分析和呈现这些数据的关系。

三. IP相关信息

DNS服务器的类型：

ping/nslookup

PING（Packet Internet Groper）：

因特网包探索器

是一种用于分析和监视网络流量的工具。它能够捕获经过网络接口的数据包，并显示这些数据包的各种信息，如源地址、目标地址、协议类型、数据大小等。

        通过因特网包探索器，用户可以深入了解网络上正在传输的数据，检测网络问题、分析网络性能、排查安全问题等。

        Wireshark是一个知名的因特网包探索器，它提供了强大的捕获、分析和展示网络数据包的功能。

nslookup：

        nslookup 是一个网络工具，用于查询 DNS（Domain Name System）域名系统的信息。它可以通过输入域名查询对应的 IP 地址，或者通过输入 IP 地址查询对应的域名。

        此外，nslookup 还可以查找特定类型的 DNS 记录，比如 MX 记录、TXT 记录等。这个工具通常用于网络故障排除、验证 DNS 设置和查看网络配置。

如何获取CDN背后的真实IP

使用CDN服务：

        CDN是一种分布式网络，旨在加速网站和应用程序的内容传输，提高性能和可用性。它通过在全球各地的服务器上缓存内容，并将用户请求路由到最近的服务器节点来实现这一目标。这有助于减少加载时间、提高可扩展性、增强可用性，并节省带宽成本。

常见CDN服务商：

        CloudFlare        CloudFront……

        帝联        蓝讯        网宿        七牛云        腾讯        百度        阿里云……

实现流程（以阿里云为例）：

当终端用户（北京）向www.a.com下的指定资源发起请求时，首先向LDNS（本地DNS）发起域名解析请求。

LDNS检查缓存中是否有www.a.com的IP地址记录。如果有，则直接返回给终端用户；如果没有，则向授权DNS查询。

当授权DNS解析www.a.com时，返回域名CNAME
www.a.tbcdn.com对应IP地址。

域名解析请求发送至阿里云DNS调度系统，并为请求分配最佳节点P地址。

LDNS获取DNS返回的解析IP地址。

用户获取解析IP地址。

用户向获取的!P地址发起对该资源的访问请求。

如何找出真实IP：

如何获取CDN背后的真实IP：

超级ping

历史DNS：https://www.dnshistory.org/

通过子域名查询IP

国外主机解析

其他，比如邮件、SSL证书、手机App抓包、网络空间搜索引擎等

四. 端口服务相关信息

端口扫描思路和代码实现

查看本机端口信息：

Windows：
netstat -aon | findstr 3306
Linux：
netstat -an | grep 80
远程机器端口：

telnet：192.168.xxx.xxx 80

wget：192.168.xxx.xxx 80

nc -vz：192.168.xxx.xxx 445

常见端口及漏洞

常见端口：

端口号大全https://nsrc.org/workshops/2009/summer/presentations/day3/common-ports.pdf 分类：

文件共享服务

远程连接服务

Web应用服务

数据库服务

邮件服务

网络常见协议

其他服务端口

端口扫描工具

Nmap

Nmap(Network Mapper)

https://nmap.org/

Nmap使用技巧总结：

作用：

扫描主机（Host Discovery）

扫描端口（Port Scanning）

探测操作系统、软件版本（Operating SystemDetection、Version Detection）

展示：

windows中的图形化工具：zenmap

Zenmap：

kali中自带nmap：

nmap参数类型：

kali中输入：
nmap --help    
IP地址后面的/24是什么意思？

旁站：和目标网站在同一台服务器但端口不同的其他网站。

C段：和目标服务器IP处在同一个C段 的其他服务器

脚本：

nmap本身内置了大量的lua脚本，而且还可以自己编写脚本
ls /usr/share/nmap/scripts/ | wc -l
        全部清单：https://nmap.org/nsedoc/index.html
例如：nmap 192.168.142.137 --script http-enum 列举HTTP服务

                   nmap --script=auth 绕过鉴权

                   nmap --script=brute 暴力破解

nmap --script=vun 扫描漏洞

安装metasploitable2 Linux靶机：

利用nmap对linux靶机、靶场网站进行扫描

获取linux的ip地址：
ifconfig
在kali中，利用nmap进行端口扫描：（默认扫描1000个端口，显示有977个是关闭的）

尝试扫描IBM提供的一个靶场：（Altoro Mutual）

.com	商业公司
.net	网络服务
.org	组织协会等
.gov	政府部门
.edu	教育机构
.mil	军事机构
.int	国际组织

A	A记录是最常用类型，将域名指向一个IPV4地址，如8.8.8.8
CNAME	将域名指向另一个域名地址，与其保持相同解析，如https://www.dnspod.cn
MX	用于邮件服务器，相关参数一般由右键注册商提供。
TXT	域名服务记录，可将指定域名交由其他DNS服务商解析管理。
NS	域名服务器记录，可将指定域名交由其他DNS服务商解析管理
AAAA	将域名指向一个IPv6地址，如：ff06:0:0:0:0:0:0:c3