ZoomEye社区版(终身有效)将于5月14日24时下线!
面对即将到来的国家攻防演练,ZoomEye将面向社区版(终身有效)用户及其他套餐的付费用户,提供相关大礼包及每日情报推送!!
挖洞或者渗透测试过程中最烦的莫过于找服务器的真实IP了,现在很多站点都用上了各种云防护提供的CDN功能导致渗透过程经常遇到被各种WAF拦截等等。
如果能找到真实IP地址直接绕过云防多好!
本文介绍几种使用ZoomEye(https://www.zoomeye.org/)收集目标站点真实IP的几个妙方法,希望对各位有用!
方法一:用证书信息进行拓展搜索
当目标站点使用了https的时候,可以使用ZoomEye搜索对应证书内容查找真实IP。
如下图示例目标中有证书信息,我们可以提取其中的 Serial Number 或者 subject 字段进行搜索。
根据ZoomEye语法说明,我们可以直接使用 ssl:"xxxxx" 模糊搜索也可以用 ssl.cert.subject.cn 或者 ssl.cert.fingerprint 准确搜索:
如下图所示根据网站的证书信息我们使用 ssl:"xxx" 模糊搜索语法确定了该站点的真实IP地址。
方法二:使用站点的ICON图标信息确定真实IP地址
使用ZoomEye查询某个站点时,对应的图标信息会展示在旁边,某种意义上来说图标也是一个站点的特有属性。
不同的是,若站点是通过某个通用系统搭建起来,可能图标查询会有非常多的误报数据,从而需要进一步在结果中分析。
点击上述域名左侧的图标信息即可自动使用iconhash语法,将图标转换为哈希值进行查询,并最终确定真实IP:
方法三:利用站点的debug信息或者报错信息来获取真实IP地址
有时页面的报错信息或者debug模式没有关闭,会间接透露服务器的相关信息,比如使用ZoomEye搜索: title:"Whoops!There was an error" (链接:https://www.zoomeye.org/searchResult?q=title%3A%22Whoops!There%20was%20an%20error%22&t=web),该语法是Laravel框架的报错信息并且会在debug页面显示对应的服务端真实IP:
方法四:使用子域名辅助查询
假设主站设有CDN且不好寻找真实IP的情况下,可考虑从该主站下的子域名入手,因为不排除子域名站点和主站是部署在同一台服务器上且没有部署CDN。
借助ZoomEye可以按照如下操作找寻真实IP,使用ZoomEye的【域名/IP关联查询】功能可以快速查询子域名及其相关联的IP地址,而且可以直接导出下载,可编写工具快速关联!
上图我们以某个网站示例,快速查询到不同子域名对应的真实IP再结合ZoomEye对IP的测绘结果可以很快确定该域名的真实IP。
方法五:根据页面独有的特征或者独有关键字
如果站点特征比较特殊,可以将页面特有的特征作为搜索内容在ZoomEye中检索,基本的原理是ZoomEye会全天24小时不停探测全球所有的IPv4和IPv6地址并存储探测的结果。如果某个站点能用IP的形式访问那么大概率在ZoomEye也会有结果,毕竟虽然访问形式不一样,但访问内容是一样的。
如下图所示,我们从某个域名的的响应头或者响应body中提取出特有的特征:
使用上述特征进行搜索,可以发现并确定该域名的多个相关联的IP地址。不管是响应头中的内容还是响应body中的内容都能和搜索目标相对应上。
方法六:借助外部工具,查看域名的历史解析记录
可借助【数据订阅功能】添加对目标资产变动的监控,该功能有助于实时监控变动资产并告警通知。
3769
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
