域名探测
当我们要对一个站点进行渗透测试之前,一般渗透测试人员常见方法是直接通漏洞扫描器来对指定目标站点进行渗透,当指定的目标站点无漏洞情况,渗透测试员就需要进行信息收集工作来完成后期的渗透。
目前一般域名漏洞扫描工具分为Web与系统扫描器,Web主要有:AWVS、APPSCAN、Netspark、WVSS 、WebInspect,系统扫描器有:Nmap、Nessus、天镜、明鉴、RSAS等。
子域名探测
根据主域名,可以获取二级域名、三级域名、…主要方法有:
-
DNS区域传送漏洞 kali下
dnsenum oldboyedu.com
-
SSL证书 https://myssl.com/ssl.html
-
备案号查询 http://www.beianbeian.com
-
APP提取
AndroidKille反编译
-
暴力枚举
subdomain/Layer子域名挖掘机
-
DNS历史解析 https://nosec.org/my https://www.dnsdb.io
-
第三方网站查询
(1)FOFA title=“公司名称”
(2)百度 intitle=公司名称
(3)Google intitle=公司名称
-
威胁情报查询
相关网站:华为安全情报 https://isecurity.huawei.com 360 https://ti.360.cn/
-
旁注和C段
站长之家 网络空间搜索引擎 Nmap扫描C段
DNS域传送漏洞
如果SRC一级域名不多,直接在kali下 dnsenum oldboyedu.com
dnsenum 的目的是尽可能收集一个域的信息,它能够通过谷歌或者字典文件猜测可能存在的域名,以及对一个网段进行反向查询它可以查询网站的主机地址信息、域名服务器、mx record(函件交换记录),在域名服务器上执行axfr请求,通过谷歌脚本得到扩展域名信息(google hacking),提取自域名并查询,计算C类地址并执行whois查询,执行反向查询,把地址段写入文件。
参数说明
-h 查看工具使用帮助
–dnsserver 指定域名服务器
–enum 快捷选项,相当于"–threads 5 -s 15 -w"
–noreverse 跳过反向查询操作
–nocolor 无彩色输出
–private 显示并在"domain_ips.txt"文件结尾保存私有的ips
–subfile 写入所有有效的子域名到指定文件
-t, --timeout tcp或者udp的连接超时时间,默认为10s(时间单位:秒)
–threads 查询线程数
-v, --verbose 显示所有的进度和错误消息
-o ,–output 输出选项,将输出信息保存到指定文件
-e, --exclude 反向查询选项,从反向查询结果中排除与正则表达式相符的PTR记录,在排查无效主机上非常有用
-w, --whois 在一个C段网络地址范围提供whois查询
-f dns.txt 指定字典文件,可以换成 dns-big.txt 也可以自定义字典
**相关解析记录说明可参考:**https://wenku.baidu.com/view/d2d597b669dc5022aaea0030.html
备案号查询
通过查询系统域名备案号,再反查备案号相关的域名
http://icp.bugscaner.com/
https://icp.aizhan.com
http://cha.fute.com/index
SSL证书
通过查询SSL证书,获取的域名存活率很高
https://myssl.com/ssl.html
http://csr.chinassl.net/ssl-checker.html
GoogleHack搜索
Googlesite:baidu.com -www
就可以查看除www外的子域名
常用关键词 | 用途 |
---|---|
inurl | 用于搜索网页上包含的URL,这个语法对寻找网页上的搜索、帮助之类的很有用 |
intext | 只搜索网页正文内容(也就是忽略了标题、URL等的文字) |
site | 可以限制你搜索范围的域名,范围指国家、域名 |
filetype | 搜索文件的后缀或扩展名 |
intitle | 搜索网页标题 |
allintitle | 搜索所有关键字构成标题的网页,但是推荐不要使用 |
link | 可以得到一个所有包含了指定URL的页面列表 |
示例
site:xx.com 管理|后台|登录|用户名|密码|验证码|系统|账号|manage|admin|login|system
site:xx.com inurl:manage|manager|admin|login|system|boss|master
site:xx.com intitle:管理|后台|登录
什么是C段: 比如在:127.127.127.4 这个IP上面有一个网站 127.4 这个服务器上面有网站我们可以想想…他是一个非常大的站几乎没什么漏洞!但是在他同C段 127.127.127.1~127.127.127.255 这 1~255 上面也有服务器而且也有网站并且存在漏洞,那么我们就可以来渗透 1~255任何一个站 之后提权来嗅探得到127.4 这台服务器的密码 甚至3389连接的密码后台登录的密码 如果运气好会得到很多的密码…
APP提取
反编译APP进行提取相关IP地址,此外在APP上挖洞的时候,可以发现前面招式找不到的域名,在APP里面有大量的接口IP和内网 IP,同时可获取不少安全漏洞。
微信公众号
企业的另一通道,渗透相关公众号,绝对会有意外收获:不少漏洞+域名,有关Burp如何抓取微信公众号数据可参考 Burp APP抓包。
- 将BP的证书导出然后发送到手机上,注意文件后缀名为
.cer
手机端只能安装此格式的证书 - 手机与电脑连接到同一WIFI下
- 设置手机的代理服务器为电脑的IP
- BP代理上添加与手机一样IP地址和端口
- 手机上进入设置 -> 更多安全设置 -> 加密和凭据 -> 从存储设备安装 -> 安装电脑导出的证书
- 安装成功之后可以在 受信任的凭据 处看到证书
- 打开BP准备抓包
字典枚举法
字典枚举法是一种传统查找子域名的技术,这类工具有 DNSReconcile、Layer子域名挖掘机、DirBuster等。
查找目标域名信息的方法有:
(1)FOFA title=“公司名称”
(2)百度 intitle=公司名称
(3)Google intitle=公司名称
(4)站长之家,直接搜索名称或者网站域名即可查看相关信息:
http://tool.chinaz.com/
(5)钟馗之眼 site=域名即可
https://www.zoomeye.org/
找到官网后,再收集子域名,下面推荐几种子域名收集的方法,直接输入domain即可查询
(6)子域名在线查询
https://phpinfo.me/domain/
(7)子域名在线查询
https://www.t1h2ua.cn/tools/
(8)Layer子域名挖掘机4.2(使用方便,界面整洁):
https://www.webshell.cc/6384.html
(9)Layer子域名挖掘机5.0(使用方便,界面整洁):
https://pan.baidu.com/s/1wEP_Ysg4qsFbm_k1aoncpg *提取码:*uk1j
(9)SubDomainBrute
https://github.com/lijiejie/subDomainsBrute
(10)Sublist3r
https://github.com/aboul3la/Sublist3r
提示:以上方法为爆破子域名,由于字典比较强大,所以效率较高。
(7)IP138查询子域名
https://site.ip138.com/baidu.com/domain.htm
(8)FOFA搜索子域名
https://fofa.so/
语法:domain=”baidu.com”
提示:以上两种方法无需爆破,查询速度快,需要快速收集资产时可以优先使用,后面再用其他方法补充。
(9)Hackertarget查询子域名
https://hackertarget.com/find-dns-host-records/
注意:通过该方法查询子域名可以得到一个目标大概的ip段,接下来可以通过ip来收集信息。
公开DNS源
1)DNS解析记录可以反查IP,比较早的解析记录有时可以查到真实IP,需要留意一下。
2)注册人电话,注册人邮箱等社工信息可以钓鱼或者收集进字典来爆破目标办公系统。
DNS历史解析: https://dnsdb.io/zh-cn/
旁站与c段
旁站:旁站是和目标网站在同一台服务器上的其它的网站。
C段:C段是和目标服务器ip处在同一个C段的其它服务器
旁站往往存在业务功能站点,建议先收集已有IP的旁站,再探测C段,确认C段目标后,再在C段的基础上再收集一次旁站。
旁站是和已知目标站点在同一服务器但不同端口的站点,通过以下方法搜索到旁站后,先访问一下确定是不是自己需要的站点信息。
站长之家
同ip网站查询 http://stool.chinaz.com/same
网络空间搜索引擎
FOFA搜索旁站和C段 ip=“39.97.3.0/24”
Nmap/Msscan 扫描等
nmap -p 80,443,8000,8080 -Pn 39.97.3.0/24
常见端口表
21,22,23,8090,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060