1、DNS解析详细步骤。
DNS(域名系统)解析是互联网上用于将人类可读的域名(如 www.example.com)转换为机器可读的IP地址(如 192.0.2.1)的过程。以下是DNS解析的详细步骤:
1)用户输入域名:用户在浏览器地址栏输入一个域名。
2)查询本地DNS缓存:操作系统首先检查本地DNS缓存,看是否有该域名的IP地址记录。如果有,直接返回结果。
3)递归查询:如果本地缓存中没有记录,操作系统将向配置的本地DNS服务器发起递归查询。
4)根DNS服务器查询:本地DNS服务器如果也没有缓存该域名的IP地址,它会向根DNS服务器发送查询请求。
5)顶级域DNS服务器查询:根DNS服务器返回顶级域(TLD)服务器的地址,例如 .com、.org 等。本地DNS服务器随后向相应的TLD服务器查询。
6)权威DNS服务器查询:TLD服务器返回该域名的权威DNS服务器地址。本地DNS服务器再向权威DNS服务器查询。
7)获取IP地址:权威DNS服务器返回域名对应的IP地址。本地DNS服务器将这个IP地址返回给发起查询的客户端。
8)返回结果:用户计算机接收到IP地址后,将其缓存起来,以备将来使用,并开始建立与该IP地址的连接。
9)建立连接:用户计算机使用IP地址与目标服务器建立TCP连接,并开始数据传输。
10)缓存记录:本地DNS服务器也会将查询结果缓存起来,以减少对权威DNS服务器的查询次数,提高解析效率。
2、绕过CDN查找主机真实IP的方法。
1)DNS历史解析记录
2)查询域名的历史解析记录,有可能会找到网站使用CDN前的解析记录,从而获取真实ip
查找子域名
一些子域名站点可能没有加入CDN,但它与主站在同一个C段内,此时可以通过查找子域名来查找真实IP
3)网站邮件头信息
在邮箱注册,邮箱找回密码,RSS邮件订阅功能登场景下,通过网站给自己发送邮件,查看邮件头信息,有可能获取到网站的真实IP
4)网络空间安全引擎搜索
通过关键字或网站域名进行搜索,找出被收录的IP
推荐的引擎:Fofa,钟馗之眼,Quake等
5)利用SSL证书寻找真实IP
证书颁发机构需要将他们发布的每个SSL/TLS证书发布到公共日志中,SSL/TLS证书通常包含域名、子域名和电子邮件地址。
搜索地址:https://search.censys.io/search?resource=hosts
6)国外主机解析域名
大部分 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的DNS查询,很可能获取到真实IP。
7)扫描全网
通过Zmap、masscan等工具对整个互联网发起扫描,针对扫描结果进行关键字查找,获取网站真实IP。
8)配置不当导致绕过
在配置CDN的时候,需要指定域名、端口等信息,有时候小小的配置细节就容易导致CDN防护被绕过。
为了方便用户访问,我们常常将www.test.com 和 test.com 解析到同一个站点,而CDN只配置了www.test.com,通过访问test.com,就可以绕过 CDN 了;站点同时支持http和https访问,CDN只配置 https协议,那么这时访问http就可以轻易绕过。
9)当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取
例如:Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。
3、子域名信息收集常用手段。
1)证书透明度查询
证书透明度查询网站:如crt.sh、Censys、SSLmate、Facebook CT等,由于许多企业域名使用HTTPS协议,TLS证书中通常包含域名信息,可以通过查询证书透明度来收集子域名。
2)在线子域名查询网站
子域名查询网站:如SecurityTrails、IP138、Chinaz、dnsscan.cn等,输入域名即可获取子域名列表。
3)威胁情报平台
威胁情报平台:
威胁情报 VirusTotal 在线查杀平台 https://www.virustotal.com/gui/
威胁情报 VenusEye 威胁情报中心 https://www.venuseye.com.cn/
威胁情报 绿盟科技 威胁情报云 https://ti.nsfocus.com/
威胁情报 IBM 情报中心 https://exchange.xforce.ibmcloud.com/
威胁情报 天际友盟安全智能平台 https://redqueen.tj-un.com/IntelHome.html
威胁情报 华为安全中心平台 https://isecurity.huawei.com/sec/web/intelligencePortal.do
威胁情报 安恒威胁情报中心 https://ti.dbappsecurity.com.cn/
威胁情报 AlienVault https://otx.alienvault.com/
威胁情报 深信服 https://sec.sangfor.com.cn/analysis-platform
威胁情报 丁爸情报分析师的工具箱 http://dingba.top/
威胁情报 听风者情报源 start.me https://start.me/p/X20Apn
威胁情报 GreyNoise Visualizer https://viz.greynoise.io/
威胁情报 URLhaus 数据库 https://urlhaus.abuse.ch/browse/
威胁情报 Pithus https://beta.pithus.org/
通过这些平台可以收集到目标组织的子域名信息。
4)搜索引擎
搜索引擎语法:使用Google等搜索引擎,结合site:语法(如site:example.com)来限制搜索结果,从而获取子域名信息。
5)爬虫爬取
爬虫技术:通过编写爬虫程序,爬取目标网站的所有页面、robots.txt文件、crossdomain.xml文件、sitemap文件等,从中筛选出子域名。
6)自动化工具
自动化工具:如Subfinder、OneForAll、Layer子域名挖掘机等,这些工具通过多个API和字典枚举的方式自动化收集子域名。
7)DNS历史记录查询
DNS历史记录查询服务:如SecurityTrails、DNSdumpster.com、WhoisXML、PassiveTotal等,通过查询过去DNS解析记录的服务,可以查找目标组织过去使用过的子域名
4、Nmap全端口扫描(使用昨日搭建的pikachu靶场),加分项:能够说明SYN半开扫描的原理和跳过主机存活检测扫描使用常见。
1)启动环境
2)使用zenmap进行扫描
SYN半开扫描的原理
SYN半开扫描,也称为TCP SYN扫描,是一种广泛使用的网络扫描技术。其原理基于TCP连接的三次握手过程,但扫描过程中并不完成完整的三次握手,因此得名“半开扫描”。具体原理如下:
1)发送SYN数据包:扫描器向目标主机的指定端口发送一个带有SYN(同步序列编号)标志位的TCP数据包,表示希望建立连接。这个数据包不包含数据部分,仅用于探测端口是否开放。
2)接收响应:根据目标端口的响应,扫描器可以判断端口的状态:
3)如果目标端口开放,服务器会返回一个SYN-ACK(同步确认)数据包,表示愿意建立连接。然而,在SYN半开扫描中,扫描器不会继续发送ACK(确认)数据包完成三次握手,而是直接发送RST(复位)数据包中断连接;如果目标端口关闭,服务器会返回一个RST数据包,直接拒绝连接;如果目标主机不存在或端口被防火墙等安全设备过滤,扫描器可能收不到任何响应。
判断端口状态:通过接收到的响应(或缺乏响应),扫描器可以判断目标端口的开放状态。这种方法的好处在于速度快,且不易被目标主机察觉,因为扫描器没有完成完整的TCP连接。
5、dirmap目录探测工具实践(使用昨日搭建的pikachu靶场),要求讲述为什么dirmap每次扫描条数不一样。
dirmap为什么每次扫描的条数都不一样:
扫描策略调整:用户可能根据上次扫描结果调整了扫描策略,如增加了对某些特定目录的扫描,从而影响了扫描条数。
网络条件: 网络连接质量的变化可能导致某些请求在一次扫描中成功,而在另一次扫描中失败。
随机性: dirmap 可能在内部使用了一些随机化策略来避免被检测为自动化工具。
6、Fscan实践(使用昨日搭建的pikachu靶场)
7、课上所演示插件安装成功截图。
扫一扫
3495
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
