集中实习第二天

一、DNS解析详细步骤

1. 本地DNS缓存查询

        用户在浏览器中输入域名后，计算机会首先检查自己的本地DNS缓存，看看是否最近已经解析过这个域名，并且缓存还未过期。如果找到，则直接返回对应的IP地址。

2. 操作系统DNS缓存查询

        如果本地DNS缓存中没有找到记录，操作系统会查询自己的DNS缓存。

3. 路由器DNS缓存查询

        如果操作系统的DNS缓存中也没有找到记录，查询请求会被发送到本地网络的路由器，路由器通常也有自己的DNS缓存。

4. ISP DNS服务器查询

        如果以上缓存中都没有找到对应的记录，查询请求会被发送到互联网服务提供商（ISP）的DNS服务器。

5. 根DNS服务器查询

        如果ISP的DNS服务器无法解析该域名，它将向根DNS服务器发起查询。根DNS服务器是DNS层次结构的顶部，全球共有13组根服务器。

根服务器不直接提供IP地址，而是返回顶级域（TLD）服务器的地址，例如.com、.net、.org等。

6. 顶级域（TLD）DNS服务器查询

        使用根服务器返回的信息，ISP的DNS服务器将向相应的TLD服务器发起查询。

TLD服务器也不直接提供IP地址，而是返回二级域名的DNS服务器地址。

7. 二级域名DNS服务器查询

        ISP的DNS服务器现在向二级域名的DNS服务器发起查询。

8. 主机记录（A记录）查询

        二级域名的DNS服务器接收到查询请求后，将查找与域名相关联的A记录（即IP地址）。

如果域名有多个IP地址（例如负载均衡的网站），则可能返回多个IP地址。

9. 返回结果

        一旦查询到IP地址，结果会沿着查询路径逐级返回，直到到达用户的计算机。

计算机将IP地址缓存起来，并使用该IP地址与网站建立连接。

10. TTL（生存时间）

        DNS记录都有一个TTL值，它定义了记录被缓存的时间。在此时间过后，DNS记录需要重新查询。

二、绕过CDN查找主机真实IP的方法

1. 子域名解析

        许多时候，主域名会通过CDN进行加速，但一些子域名可能没有配置CDN。通过查询子域名，可能会直接解析到服务器的真实IP。

2. 域名历史记录查询

        使用诸如DNS History或Wayback Machine等服务，可以查看域名的DNS记录历史，可能会发现之前的IP地址信息。

3.网络空间引擎搜索法

        常见的有以前的钟馗之眼，shodan，fofa搜索。以fofa为例，只需输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip

4. SSL/TLS证书查询

        使用工具如sslscan或openssl对域名进行SSL/TLS证书查询，可能会揭示服务器的真实IP地址。

5.网站邮件订阅查找

        RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含服务器的真实 IP 了。

6.使用国外主机解析域名

        国内很多 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的主机直接访问可能就能获取到真实IP。

三、子域名信息收集常用手段

1.在线子域名查询网站

        如VirusTotal - https://www.virustotal.com/

            Chinaz - https://www.chinaz.com/等

2.证书透明度

        证书透明度(Certifcate Transparency，CT)是由Google提出的一种公开透明的证书签发和验证机制。它的目的是增强证书的安全性和透明性，避免恶意的证书签发和使用。证书透明度要求证书颁发机构(CA)公开记录所有颁发的SSL/TLS证书，包括证书的颁发者、使用者、有效期等信息，并通过公开的日志服务器来存储和共享这些证书信息。可以通过查询证书透明度来收集子域名

3.网络空间测绘平台

        360：https://quake.360.cn/quake/#/index
        鹰图：http://hunter.qianxin.com/
        钟馗之眼：https://www.zoomeye.org
        Shodan：https://www.shodan.io
        Fofa：https://fofa.so

四、Nmap全端口扫描

1.扫描靶场

2.SYN半开扫描的原理

1. 发送SYN包：扫描器（或攻击者）向目标主机的特定端口发送一个SYN数据包。
2. 等待响应：
   • 如果目标端口是开放的，目标主机会回应一个SYN-ACK数据包。这表明该端口正在监听，可以建立连接。
   • 如果目标端口是关闭的，目标主机会回应一个RST（重置）数据包，表示端口不可用。
3. 分析响应：扫描器根据收到的响应判断端口状态：
   • 收到SYN-ACK：端口开放。
   • 收到RST：端口关闭。
4. 不发送ACK：扫描器不会发送最后的ACK数据包来完成TCP握手，因此连接实际上没有建立，这就是“半开”的由来。

3.跳过主机存活检测扫描使用常见

        通常Nmap在进行高强度的扫描时是用它确定正在运行的机器。 默认情况下，Nmap只对正在运行的主机(也就是存活的主机)进行高强度的探测如 端口扫描，版本探测，或者操作系统探测。-P0的第二个字符是数字0而不是字母O。 跳过正常的主机发现继续执行所要求的功能，就好像每个IP都是活动的，也就是每个IP都是存活的。所以可以使用-P0禁用ping的探测。

五、dirmap目录探测工具实践

1.实践

2.为什么dirmap每次扫描条数不一样

        由于Dirmap支持多种字典扫描策略和高度自定义配置，这意味着每次扫描时，用户可以选择不同的字典、设置不同的扫描参数，或者根据网站的实际情况调整扫描策略。这些因素都可能导致每次扫描的条目数量不一致。

        此外，Dirmap在处理网站目录时，可能会遇到网站结构的变化，如新增或删除的页面、内容的更新等，这些变化也会导致每次扫描时发现的条目数量不同。

        因此，每次使用Dirmap进行扫描时，由于用户设置的差异、网站结构的变化等因素，可能会导致扫描的条目数量不一致‌。

六、Fscan实践

七、课上所演示插件安装成功截图