8.27任务
1、DNS解析详细步骤。
2、绕过CDN查找主机真实IP的方法。
3、子域名信息收集常用手段。
4、Nmap全端口扫描(使用昨日搭建的pikachu靶场),加分项:能够说明SYN半开扫描的原理和跳过主机存活检测扫描使用常见。
5、dirmap目录探测工具实践(使用昨日搭建的pikachu靶场),要求讲述为什么dirmap每次扫描条数不一样,加分项:dirmap高级应用,详细见项目文档,项目链接:https://github.com/H4ckForJob/dirmap
6、Fscan实践(使用昨日搭建的pikachu靶场)
7、课上所演示插件安装成功截图。
网安实习日志2
一、DNS解析详细步骤
DNS域名解析过程是互联网上的一项核心服务,可以将人类可读的域名转换为计算机可读的IP地址。以下是DNS域名解析过程的详细步骤:
- 用户在浏览器中输入域名,触发域名解析请求。
- 用户的计算机向本地DNS服务器发送域名解析请求。本地DNS服务器通常由用户的ISP(Internet Service Provider)提供。
- 本地DNS服务器在本地缓存中查找域名对应的IP地址。如果找到,直接返回IP地址给用户的计算机。这个步骤可以避免向其他DNS服务器发送请求,提高解析速度。
- 如果本地DNS服务器未能在缓存中找到域名对应的IP地址,则向根域名服务器发送请求。根域名服务器是互联网上最顶级的域名服务器,负责管理顶级域名的解析。
- 根域名服务器返回给本地DNS服务器一个顶级域名服务器的地址。
- 本地DNS服务器向顶级域名服务器发送请求,请求解析域名的IP地址。
- 顶级域名服务器将域名的权威服务器(即负责该域名的注册和管理的服务器)的地址返回给本地DNS服务器。
- 本地DNS服务器向权威服务器发送请求,请求解析域名的IP地址。
- 权威服务器将域名的IP地址返回给本地DNS服务器。
- 本地DNS服务器将IP地址保存到本地缓存中,以便下次用户请求该域名时可以直接返回IP地址,而不需要再次向权威服务器发送请求。同时,本地DNS服务器将IP地址返回给用户的计算机。
- 用户的计算机使用返回的IP地址与目标服务器建立连接,完成网页加载或其他网络服务。
通过以上步骤,DNS域名解析过程完成了从用户输入到返回IP地址的整个流程。这个过程涉及到多个服务器和缓存的交互,以提高解析速度和效率。对于一个普通的互联网用户来说,这个过程通常是透明的,他们只需要输入域名并按下回车键即可访问网站。而对于网络管理员和互联网服务提供商来说,理解DNS域名解析过程有助于更好地管理和优化网络性能。
上述DNS解析步骤借鉴<作者:c4t>—>原文链接
二、绕过CDN查找主机真实IP的方法
首先验证是否存在CDN
- 使用多地ping服务,看对应的IP地址是否唯一,不唯一可能使用了CDN(多地ping网站网上有很多)
- 使用nslookup来进行检测,和上面一样,如果有多个IP地址,很可能使用了CDN
方法1:查询历史DNS记录
我们可以查看IP和域名绑定的历史记录,很有可能会存在CDN前的记录,类似的查询网站网上也有很多,比如进入查询网站
方法2:查询子域名
查询CDN相关知识,讲CDN还是比较昂贵的一门技术,一般来讲很多站长只会对主站或者流量比较大的子站点做CDN,然而很多小站子站点可能就没有,跟主站在同一个服务器。此时我们就可以查询子域名对应的IP来辅助查找网站的真实IP。
网上有很多类似的工具,点击打开
Google搜索也可以,Google site:baidu.com -www就能查看除www外的子域名
方法3:网络安全引擎搜索
常见的有钟馗之眼,shodan,fofa搜索。
方法4:网站漏洞查找
- 目标敏感文件泄露。
- XSS盲打,命令执行反弹shell,SSRF等。
方法5:网站邮件订阅查找
RSS邮件订阅,很多网站都自带 sendmail,会发邮件给我们,此时查看邮件源码里面就会包含服务器的真实 IP 了。
三、子域名信息收集常用手段
1、分为两种
子域名信息收集通常分为两种,分别为被动收集和主动收集。
被动收集是指,在不与目标系统进行交互的情况下,通过第三方进行收集。这种方式有着明显的优势,因为不需要和目标系统进行交互,所以不会对目标系统造成任何影响,更不会触发任何安全产品的告警。
主动收集是指,通过与目标系统进行交互,对子域名进行收集。因为需要和目标系统进行交互,很可能出现高频访问等情况,有触犯安全产品告警的风险。
2、被动收集
- 信息泄露
- 搜索引擎
- 网络空间测绘引擎
- 证书透明
- 第三方DNS服务
- AS 号码查询
- SAN 收集
- 使用公共数据集
3、主动收集
- 字典枚举
- 置换扫描
- 域传送漏洞
- DNSSEC
- DNS缓存
四、Nmap全端口扫描
1、全端口扫描
2、SYN半开扫描的原理
SYN扫描是默认的也是最受欢迎的扫描选项。 它执行得很快,在一个没有入侵防火墙的快速网络上,每秒钟可以扫描数千个 端口。 SYN扫描相对来说不张扬,不易被注意到,因为它从来不完成TCP连接。 它也不像Fin/Null/Xmas,Maimon和Idle扫描依赖于特定平台,而可以应对任何兼容的 TCP协议栈。 它还可以明确可靠地区分open(开放的), closed(关闭的),和filtered(被过滤的) 状态
它常常被称为半开放扫描, 因为它不打开一个完全的TCP连接。它发送一个SYN报文, 就像您真的要打开一个连接,然后等待响应。 SYN/ACK表示端口在监听 (开放),而 RST (复位)表示没有监听者。如果数次重发后仍没响应, 该端口就被标记为被过滤。如果收到ICMP不可到达错误 (类型3,代码1,2,3,9,10,或者13),该端口也被标记为被过滤。
SYN半开扫描是一种通过建立不完整的TCP连接来判断主机端口是否开放的扫描方式。扫描者向目标主机发送一个SYN包,如果目标主机回复了一个SYN/ACK数据包,则表示该端口开放;如果回应一个RST包,则表示该端口关闭。这种扫描方式不会产生日志记录,更隐蔽。
3、跳过主机存活检测扫描
在我们进行网络扫描时候,很多扫描工具默认会先先进行主机存活的检测,用来确定主机是否存活,以免造成不必要的开销,但是在有些情况的话,可能会跳过主机存活检测扫描:
- -Pn,用于跳过主机发现阶段
- SYN扫描,nmap 中的-sS
五、dirmap目录探测工具实践
1、dirmap介绍
一个高级web目录扫描工具。
2、dirmap的使用
用法:python3 dirmap.py -i 目标网址 -lcf 载入配置文件
-h 帮助文档
-t 线程 默认30
-i 目标网址
-iF 目标网址文件
-lcf 载入暴力破解配置文件
–debug 打印攻击载荷并退出
3、为什么dirmap每次扫描条数不一样
是因为目标系统网站具有动态性,可能随时动态的有生成内容或数据,这样可能会导致每次扫描的条数不一样,还有就是网络环境的不稳定有延迟,有波动,这样也导致有所不同,还有就是扫描策略和字典的变化等等原因。
4、dirmap高级应用
可以自定义dirmap的配置,这样可以得到更高级的功能,对配置文件进行修改,我们编辑根目录下的dirmap.conf,来配置:(以下配置来源于帮助文档)
#递归扫描处理配置
[RecursiveScan]
#是否开启递归扫描:关闭:0;开启:1
conf.recursive_scan = 0
#遇到这些状态码,开启递归扫描。默认配置[301,403]
conf.recursive_status_code = [301,403]
#设置排除扫描的目录。默认配置空。其他配置:e.g:['/test1','/test2']
#conf.exclude_subdirs = ['/test1','/test2']
conf.exclude_subdirs = ""
#扫描模式处理配置(4个模式,1次只能选择1个)
[ScanModeHandler]
#字典模式:关闭:0;单字典:1;多字典:2
conf.dict_mode = 1
#单字典模式的路径
conf.dict_mode_load_single_dict = "dict_mode_dict.txt"
#多字典模式的路径,默认配置dictmult
conf.dict_mode_load_mult_dict = "dictmult"
#爆破模式:关闭:0;开启:1
conf.blast_mode = 0
#生成字典最小长度。默认配置3
conf.blast_mode_min = 3
#生成字典最大长度。默认配置3
conf.blast_mode_max = 3
#默认字符集:a-z。暂未使用。
conf.blast_mode_az = "abcdefghijklmnopqrstuvwxyz"
#默认字符集:0-9。暂未使用。
conf.blast_mode_num = "0123456789"
#自定义字符集。默认配置"abc"。使用abc构造字典
conf.blast_mode_custom_charset = "abc"
#自定义继续字符集。默认配置空。
conf.blast_mode_resume_charset = ""
#爬虫模式:关闭:0;开启:1
conf.crawl_mode = 0
#解析robots.txt文件。暂未实现。
conf.crawl_mode_parse_robots = 0
#解析html页面的xpath表达式
conf.crawl_mode_parse_html = "//*/@href | //*/@src | //form/@action"
#是否进行动态爬虫字典生成:关闭:0;开启:1
conf.crawl_mode_dynamic_fuzz = 0
#Fuzz模式:关闭:0;单字典:1;多字典:2
conf.fuzz_mode = 0
#单字典模式的路径。
conf.fuzz_mode_load_single_dict = "fuzz_mode_dir.txt"
#多字典模式的路径。默认配置:fuzzmult
conf.fuzz_mode_load_mult_dict = "fuzzmult"
#设置fuzz标签。默认配置{dir}。使用{dir}标签当成字典插入点,将http://target.com/{dir}.php替换成http://target.com/字典中的每一行.php。其他配置:e.g:{dir};{ext}
#conf.fuzz_mode_label = "{ext}"
conf.fuzz_mode_label = "{dir}"
#处理payload配置。暂未实现。
[PayloadHandler]
#处理请求配置
[RequestHandler]
#自定义请求头。默认配置空。其他配置:e.g:test1=test1,test2=test2
#conf.request_headers = "test1=test1,test2=test2"
conf.request_headers = ""
#自定义请求User-Agent。默认配置chrome的ua。
conf.request_header_ua = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36"
#自定义请求cookie。默认配置空,不设置cookie。其他配置e.g:cookie1=cookie1; cookie2=cookie2;
#conf.request_header_cookie = "cookie1=cookie1; cookie2=cookie2"
conf.request_header_cookie = ""
#自定义401认证。暂未实现。因为自定义请求头功能可满足该需求(懒XD)
conf.request_header_401_auth = ""
#自定义请求方法。默认配置get方法。其他配置:e.g:get;head
#conf.request_method = "head"
conf.request_method = "get"
#自定义每个请求超时时间。默认配置3秒。
conf.request_timeout = 3
#随机延迟(0-x)秒发送请求。参数必须是整数。默认配置0秒,无延迟。
conf.request_delay = 0
#自定义单个目标,请求协程线程数。默认配置30线程
conf.request_limit = 30
#自定义最大重试次数。暂未实现。
conf.request_max_retries = 1
#设置持久连接。是否使用session()。暂未实现。
conf.request_persistent_connect = 0
#302重定向。默认False,不重定向。其他配置:e.g:True;False
conf.redirection_302 = False
#payload后添加后缀。默认空,扫描时,不添加后缀。其他配置:e.g:txt;php;asp;jsp
#conf.file_extension = "txt"
conf.file_extension = ""
#处理响应配置
[ResponseHandler]
#设置要记录的响应状态。默认配置[200],记录200状态码。其他配置:e.g:[200,403,301]
#conf.response_status_code = [200,403,301]
conf.response_status_code = [200]
#是否记录content-type响应头。默认配置1记录
#conf.response_header_content_type = 0
conf.response_header_content_type = 1
#是否记录页面大小。默认配置1记录
#conf.response_size = 0
conf.response_size = 1
#自定义匹配404页面正则
#conf.custom_404_page = "fake 404"
conf.custom_404_page = ""
#自定义匹配503页面正则。暂未实现。感觉用不着,可能要废弃。
#conf.custom_503_page = "page 503"
conf.custom_503_page = ""
#自定义正则表达式,匹配页面内容
#conf.custom_response_page = "([0-9]){3}([a-z]){3}test"
conf.custom_response_page = ""
#跳过显示页面大小为x的页面,若不设置,请配置成"None",默认配置“None”。其他大小配置参考e.g:None;0b;1k;1m
#conf.skip_size = "0b"
conf.skip_size = "None"
#代理选项
[ProxyHandler]
#代理配置。默认设置“None”,不开启代理。其他配置e.g:{"http":"http://127.0.0.1:8080","https":"https://127.0.0.1:8080"}
#conf.proxy_server = {"http":"http://127.0.0.1:8080","https":"https://127.0.0.1:8080"}
conf.proxy_server = None
#Debug选项
[DebugMode]
#打印payloads并退出
conf.debug = 0
#update选项
[CheckUpdate]
#github获取更新。暂未实现。
conf.update = 0
六、Fscan实践
1、Fsacn
fscan 是一个内网综合扫描工具,方便一键自动化、全方位漏洞扫描。
它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。
2、功能
- 信息搜集
- 爆破功能
- 系统信息、漏洞扫描
- Web探测功能
- 漏洞利用
3、实战
python dirmap.py -i 127.0.0.1/pikachu -lcf
七、课上所演示插件安装成功截图