实训日志day2

day2作业

1、DNS解析详细步骤
2、绕过CDN查找主机真实IP的方法
3、子域名信息收集常用手段
4、Nmap全端口扫描（使用昨日搭建的pikachu靶场），加分项：能够说明SYN半开扫描的原理和跳过主机存活检测扫描使用常见
5、dirmap目录探测工具实践（使用昨日搭建的pikachu靶场），要求讲述为什么dirmap每次扫描条数不一样，加分项：dirmap高级应用，详细见项目文档，项目链接：https://github.com/H4ckForJob/dirmap
6、Fscan实践（使用昨日搭建的pikachu靶场）
7、课上所演示插件安装成功截图

---

1.DNS

用户发起请求：

当你在浏览器中输入一个域名（例如www.example.com）并按下回车时，浏览器会开始一个DNS查询过程以获取这个域名对应的IP地址。

检查本地缓存：

浏览器首先会检查其本地缓存中是否已经存储了这个域名的IP地址。如果缓存中存在有效的记录，浏览器将直接使用这个IP地址来访问网站。

操作系统缓存检查：

如果浏览器缓存中没有找到有效记录，操作系统会检查其DNS缓存。如果操作系统缓存中存在记录，它会将这些信息返回给浏览器。

查询本地域名服务器（DNS Resolver）：

如果本地缓存中也没有记录，操作系统会将DNS查询请求发送到本地的DNS解析器（通常由网络服务提供商提供）。

递归查询过程：

本地DNS解析器首先检查它自己的缓存。如果缓存中没有记录，解析器将会开始递归查询过程来寻找正确的IP地址。

根DNS服务器：解析器会向根DNS服务器发起查询。根DNS服务器不会直接提供域名的IP地址，但会返回一个指向顶级域（TLD）DNS服务器的地址，例如.com或.org。

TLD DNS服务器：解析器接下来会查询TLD DNS服务器。TLD DNS服务器会提供一个指向权威DNS服务器（即提供具体域名信息的DNS服务器）的地址。

权威DNS服务器：最后，解析器会查询权威DNS服务器。权威DNS服务器会提供所请求域名的具体IP地址。

返回结果：

权威DNS服务器返回IP地址后，本地DNS解析器将该信息缓存起来，并将其返回给操作系统。操作系统会将结果缓存并交给浏览器。

浏览器访问网站：

浏览器收到IP地址后，会使用这个IP地址向目标服务器发起HTTP请求以加载网站内容。

2.CDN绕过

DNS查找

检查DNS记录：CDN通常会处理A记录（即域名到IP地址的映射），但有时DNS记录中仍会暴露一些信息。例如，使用nslookup或dig工具查看相关域名的DNS记录，尤其是子域名或其他相关记录，可能会找到暴露真实IP的记录。

反向DNS查询：通过反向DNS查询（查找IP地址的域名），有时可以找到源服务器的信息。

网络工具

扫描子域名：使用工具如subdomain enumeration（子域名枚举）来发现可能未被CDN保护的子域名。子域名有时可能指向源服务器。

IP地址反向查找：一些服务和工具可以进行IP地址反向查找，以确定是否可以找到相关的真实IP地址。

利用信息泄露

泄露的文件和日志：有时通过分析泄露的文件、日志或公共资源（如GitHub、社交媒体），可以找到可能暴露真实IP的信息。

IP泄露：查看网站是否有其他服务（如API或第三方服务）可能暴露源IP。

Web应用程序分析

错误信息和调试输出：一些Web应用程序在发生错误时可能会泄露真实IP地址或其他敏感信息。

HTTP标头分析：分析HTTP响应头和请求头，寻找可能泄露源服务器信息的字段。

社交工程和网络钓鱼

社交工程：通过与服务提供商或相关人员的社交工程交互，获取源IP地址（这通常是不道德和非法的）。

网络钓鱼：伪装成合法请求者获取源IP地址（也是不道德和非法的）。

3.子域名收集

DNS查询：

使用nslookup、dig等工具进行DNS查询，查找已知的子域名。

子域名枚举工具：

使用工具如Sublist3r、Amass、Subfinder等自动化地枚举子域名。

搜索引擎：

利用搜索引擎（如Google、Bing）进行高级搜索查询，寻找子域名。例如，使用Google dork如site:example.com -www来查找子域名。

WHOIS查询：

使用WHOIS查询获取域名注册信息，有时可以发现子域名的线索。

网络扫描：

扫描网络中的IP地址范围，查看是否有子域名关联的开放服务。

公共数据集：

查阅公开的网络数据集和信息库，这些数据集中可能包含已知的子域名。

暴力破解：

使用字典攻击（如dnsrecon、dnsmap），通过常见子域名字典尝试找到子域名。

社交工程和信息泄露：

通过社交工程或公开的泄露数据（如数据泄露事件）发现潜在的子域名。

4.nmap

SYN半开扫描的原理

SYN 半开扫描通过发送 SYN 包到目标端口，若接收到 SYN-ACK，说明端口开放；若接收到 RST，则端口关闭。这种扫描不会完成 TCP 握手，从而降低被检测的风险。

跳过主机存活检测扫描常见使用

跳过主机存活检测的扫描则直接扫描目标端口，而不检查主机是否在线，常用于需要快速扫描大量主机时。

5.dirmap

条数变化可能原因

文件系统变化：如果文件系统在两次扫描之间发生了变化，比如文件被添加、删除或修改，那么扫描到的条数自然会不同

扫描参数：dirmap 可能支持不同的扫描参数或者选项，这些参数可以影响扫描的范围和结果。例如，扫描时是否包括隐藏文件、符号链接等

缓存与同步：如果文件系统有缓存机制，或者文件系统与操作系统之间的同步问题，也可能导致扫描结果不一致

6.fscan

7.插件安装（findsomething、wappalyzer）

findsomething

wappalyzer