备案信息
通过查询备案信息,我们可以获取到该企业的一些基本信息:网站地址,网站域名等;
工信部网站备案查询
网站:https://beian.miit.gov.cn/#/Integrated/index
通过页面显示的备案号直接进行查询
通过公司名称进行查询
天眼查网站备案查询
网站:https://www.tianyancha.com/
国家企业信用信息公示系统
网站:http://www.gsxt.gov.cn/index.html
域名助手备案信息查询
whois
域名的whois,存放的是域名相关的详细信息。
通过whois查询我们可以查询到注册商、注册人、邮件、DNS解析服务器、注册人联系电话等信息;
国外的who.is:https://who.is/
腾讯云:https://whois.cloud.tencent.com/
中国万网:https://whois.aliyun.com/
新网域名:http://whois.xinnet.com/domain/whois/index.jsp
中资源域名:https://www.zzy.cn/domain/whois.html
三五互联域名:https://cp.35.com/chinese/whois.php
新网互联域名:http://www.dns.com.cn/show/domain/whois/index.do
子域名查询
假设目标资产数量庞大,一般来说主域都是防护重点,管理上可能会谨慎,防护也相对严格,因此从子域名入手便成了很好的选择,子域往往在防护上会相对更加的松懈,然后再慢慢向目标系统渗透,所以子域名的收集便显得尤为的重要;
layer子域名挖掘机
下载地址:https://github.com/euphrat1ca/LayerDomainFinder
OneForAll
下载地址:GitHub - shmilylty/OneForAll: OneForAll是一款功能强大的子域收集工具
subDomainsBrute
下载地址:GitHub - lijiejie/subDomainsBrute: A fast sub domain brute tool for pentesters
网站查询
DNSDB:https://dnsdb.io/zh-cn/
在线子域名查询:https://phpinfo.me/domain/
ip或域名查询:https://site.ip138.com/
子域名扫描:https://www.t1h2ua.cn/tools/
Aleax网站:https://alexa.chinaz.com/
securitytrails:https://securitytrails.com/list/apex_domain/www.baidu.com
dns侦测:https://dnsdumpster.com/
搜索引擎查询
原理:通过搜索引擎获取已经爬取的子域名;
语法:site:360.cn
使用"-"减号来去除已知子域名:site:target.com-www-blog
相关工具:theHarvester
空间引擎
Fofa:domain="xxxx.cn"
Zoomeye:site:xxxx.cn
Shodan:hostname:"xxxx.cn"
旁注/C端
旁注
旁注攻击就是说在攻击目标时,对目标网站“无法下手”找不到目标网站的漏洞,那么攻击者就可以通过在与目标站点同一服务器下的站点渗透,从而获取目标站点的权限,这过程就是旁注攻击(旁站攻击);
IP逆向查询:
C端
C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器;
查询C段的方法很多,一下举例几种常见的:
-
- 在线webscan:同IP网站查询,C段查询,IP反查域名,在线C段,旁站工具 - WebScan
- fofa、shodan在线工具:ip="106.15.141.18/24"
- nmap:nmap 192.168.1.0/24 -p 443,80
- masscan:masscan 10.11.0.0/16 -p 443,80
- goby
- 御剑1.5
IP反查域名
源码CMS
CMS识别
1.CMS[内容管理系统]:快速搭建网站的模板;
2.Web应用框架:快速开放的Web应用框架,例如网站、小程序;
3.指纹的特性:
唯一性、终身不变性、方便性
常见的CMS有:
WordPress、Dedecms、Discuz、PhpWeb、PhpWind、Dvbbs、PhpCMS、ECShop、SiteWeaver、AspCMS、帝国、Z-Blog、
开源CMS在线识别
国外识别平台:https://whatcms.org/
国内识别平台:
bugscaner:http://whatweb.bugscaner.com/
whatweb:https://www.whatweb.net/
云悉:https://www.yunsee.cn/
潮汐:http://finger.tidesec.net/
TSscan:https://scan.dyboy.cn/web/
github直接找:
https://github.com/search?q=cms识别
CMS识别工具
CMSmap
地址:https://github.com/dionach/CMSmap
EHole
地址:https://github.com/EdgeSecurityTeam/EHole
CMSeeK
whatweb
kali自带
chrome插件
wappalyzer:https://www.wappalyzer.com
whatruns:https://www.whatruns.com/
系统
TTL值判断系统
TTL值全称是“生存时间(Time To Live)”,简单的说它表示DNS记录在DNS服务器上缓存时间;
TTL是数据包生存周期,根据减少的数可以判断经过了多少中间设备;
默认情况下的值:
- WINDOWS NT/2000 TTL:128
- WINDOWS 95/98 TTL:32
- UNIX TTL:255
- LINUX TTL:64
- WIN7 TTL:64
大小写判断
Linux对大小写敏感,windows对大小写不敏感;
改变URL中的大小写进行判断;
中间件
常见的中间件:
- Apache
- Nginx
- IIS
- tomcat
- jetty
- webloigc
- JBOSS
- 等
判断方法:
- http返回消息中server字段
-
- F12-->Network查看
- 根据报错信息判断
- 根据默认页面判断
- 通过端口服务探测
-
- tomcat,jboss:8080
- weblogic:7001
- namp -sS -Pn -sV ip
- curl命令查询头信息
-
- curl https://www.baidu.com -i
- curl 百度一下,你就知道 -i >C:/ip.txt
-
端口扫描
当确定了目标大概的ip段后,可以先对ip的开放端口进行探测,一些特定服务可能开起在默认端口上,探测开放端口有利于快速收集目标资产,找到目标网站的其他功能站点;
msscan端口扫描
地址:https://github.com/robertdavidgraham/masscan
使用介绍:http://www.seaung.cc/2020/02/05/masscan-base/
御剑端口扫描工具
Nmap扫描端口和探测端口信息
在线端口检测
地址:http://coolaf.com/tool/port
目录扫描
目的:
-
- 寻找网站的后台
- 寻找未授权页面
- 寻找网站更多隐藏信息
dirb
kali自带简易目录扫描工具
Dirmap
一个高级web目录扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑;
地址:https://github.com/H4ckForJob/dirmap
御剑
国内第一目录扫描器,小白利器;
地址:https://github.com/foryujian/yjdirscan
7kbstorm
地址:GitHub - 7kbstorm/7kbscan-WebPathBrute: 7kbscan-WebPathBrute Web路径暴力探测工具
CDN
CDN的全称是 Content Delivery Network,即内容分发网络,基本思路就是通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN核心的就是使用户可就近访问网络,取得所需内容,解决网络拥挤的状况,提高用户访问网站的响应速度或者用户下载速度。一般来说,网站开启CDN之后,会根据用户所在地的不同访问CDN的节点服务器,并不直接访问源服务器,这样可以减少网站服务器宽带资源,降低服务器压力,可以提升用户体验。这也就是大家都在ping百度,但是不同地区得到的反馈ip不一样的原因。其次,由于CDN节点的阻挡防护,可以更好的保护员服务器的安全。具体来说,CDN其实是充当了一个替身的角色,无论服务器是渗透还是DD0S攻击,攻击的目标都将是CDN节点,这样一来便间接的保护了网站本身;
验证是否存在CDN
ping
使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一,多半是使用了CDN;
nslookup
使用 nslookup 进行检测,原理同ping,如果返回域名解析对应多个 IP 地址多半是使用了 CDN;
绕过
查询历史DNS记录
查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录;