目录
一、Ip反查
1.whois用法
功能查找用户相关信息
Whois 【xxx】
在线网站:
(1)https://www.virustotal.com/gui/home
(2)https://whois.chinaz.com/
2.whois反查
站长之家:http://whois.chinaz.com
http://whois.chinaz.com/
3.超级ping
根据域名查找ip
工具:超级ping、cmd中ping 域名
二、文件 目录扫描
1.扫网站目录工具
御剑扫描、dirbuster、Pker多线程扫描工具、7kbscan
御剑扫描实例
2.Nmap扫主机端口
nmap 192.168.221.0/24 扫描整个网段
namp 192.169.221.10-200 扫描指定的网段
namp 192.168.221.10,100,200-230 扫描10,100, 200-230 的网络
namp 192.168.221.0/24 10.10.10.0/24 扫描不同网段
namp -iL 文件名 扫描目标文件
namp -iR 随机选择目标去探测 namp -sS -PS80 -iR 0(无休止去扫描) -p80
namp 192.168.211.0/24 --exclude 192.168.211.1,255,4-20 排除1,255,4-20端口去扫描
nmap -iL filename --excludefile filename2 其中fliename1是需要扫描的,filename2不需要扫描息收集
Site 指定域名 site:edu.cn
Inurl url中存在的关键字网页
Intext 网页正文中的关键字
Filetype 指定文件类型
Intitle 网页标题中的关键字
Link link:baidu.com 表示返回所有和baidu.com做了链接的URL
Info 查找指定站点基本信息
Cache 搜索Google关于某些内容的缓存
在谷歌中收集敏感信息
例:filetype:png intext:清正廉洁
三、备案信息查询
-
网站所有者必须向国家有关部门申请网站备案,若搭建在其他国家,则不需要进行备案。
ICP备案查询网:http://www.beianbeian.com/
http://www.beianbeian.com/
天眼查:https://www.tianyancha.com/https://www.tianyancha.com/
爱站网:https://www.aizhan.com/https://www.aizhan.com/ -
四、子域名收集
-
根域名/二级域名 baidu.com 一个“.”
-
子域名 xx.xx.com 两个以上的”.”
1.子域名检测工具
工具:Layer子域名挖掘机、subfinder、subDomainBrute、wydomain猪猪侠、Sublist3r、site:targe.com、Github代码仓库、抓包分析请求返回值、
Layer子域名挖掘机
抓包分析请求返回
2.搜索引擎枚举
3.第三方聚合应用枚举
https://dnsdumpster.com/https://dnsdumpster.com/
4.证书透明度公开日志枚举
证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址,攻击者往往希望得到这些信息
查找域名所属证书最简单的方法是直接使用搜索引擎直接搜索一些公开的CT日志
crt.sh | Certificate Searchhttps://crt.sh/
还可以使用子域名爆破网站(https://phpinfo.me/domain)
五、真实ip
在测试中,一般只会给你一个域名,可以根据域名来确定目标服务器的真实ip,在没有使用CDN的前提下,可以使用以下网站
ip地址查询 ip查询 查ip 公网ip地址归属地查询 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名https://www.ip138.com/
IP地址查询 - 在线工具 (tool.lu)https://tool.lu/ip
获取ip及域名相关信息。
CDN:Content Delivery Network是指内容分发网络,也称为内容传送网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。
判断目标服务器是否使用了CDN?
(1)直接Ping
或者使用代理或者通过在线ping网站来在不同地区进行ping测试,对比结果。
多个地点Ping服务器,网站测速 - 站长工具
https://www.wepcc.comhttps://www.wepcc.com/
https://www.17ce.comhttps://www.17ce.com/
just-ping › Ping an internet host from 50 locations worldwide - iToolshttp://itools.com/tool/just-ping
Get Site Iphttps://get-site-ip.com/
以http://baidu.com GET测试结果 网站速度测试 17CE 为例,根据Ip地址和归属地不同,可以发现www.baidu.com使用了CDN
(2)nslookup
使用nslookup查看域名解析对应的ip地址,解析到多个ip地址则说明使用了CDN
没有使用CDN
重点!如何绕过CDN找到真实IP
(1)利用子域名
可以利用子域名检测工具 Layer挖掘机、Subdomainbrute等
(2)查询主域
以前用CDN的时候有个习惯,只让WWW域名使用cdn,其他域名不使用,为的是在维护网站时更方便,不用等cdn缓存。
(3)Google搜索
site:qq.com -www 查除www以外的子域名
(4)查找域名历史解析记录
也许目标很久之前没有使用CDN,通过网站来观察域名的ip历史记录
ViewDNS.info - Your one source for DNS related tools!https://viewdns.info/
(5)网络空间引擎搜索法
Shodan:Shodan Search Enginehttps://www.shodan.io/
钟馗之眼:ZoomEye - Cyberspace Search Enginehttps://www.zoomeye.org/
FOFA:网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统https://fofa.so/
(6)国外访问
国内很多CDN厂商因为各种原因只做了国内的线路,针对国外的线路几乎没有,可以使用国外的主机直接访问可能会获取到真实Ip。
(7)通过邮件服务器
一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,由于这个邮件服务器的有可能跟目标Web在一个段上,我们直接一个一个扫,看返回的HTML源代码是否跟web的对的上,就可以获得目标的真实IP(必须是目标自己内部的邮件服务器,第三方或者公共邮件服务器是没有用的)。
(8)绕过cloudFlare CDN查询真实ip
cloudFlareWatch在线网站(需翻墙)
(9)nslookup查询
(10) 如果目标网站有自己的App,可以尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目标的真实IP。
验证获取ip
找到目标的真实IP以后,如何验证其真实性呢?如果是Web,最简单的验证方法是直接尝试用IP访问,看看响应的页面是不是和访问域名返回的一样;或者在目标段比较大的情况下,借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP,然后逐个尝试IP访问,观察响应结果是否为目标站点。
六、旁站、C段
旁站:和目标网络在同一台服务器上的其他网站
C段:和目标服务器ip处在同一个C段的其他服务器
1.nmap使用
2.Masscan
masscan -p 22,21,443,8080-Pn --rate=1000 192.168.10.0/24
3.K8Scan
K8Cscan大型内网渗透自定义插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,程序采用多线程批量扫描大型内网多个IP段C段主机,目前插件包含: C段旁注扫描、子域名扫描、Ftp密码爆破、Mysql密码爆破、Oracle密码爆破、MSSQL密码爆破、Windows/Linux系统密码爆破、存活主机扫描、端口扫描、Web信息探测、操作系统版本探测、Cisco思科设备扫描等,支持调用任意外部程序或脚本,支持Cobalt Strike联动
下载地址:https://github.com/k8gege/K8CScan
4.使用FOFA、shadon在线工具进行查找
FOFA地址:
网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统https://fofa.so/
Shodan地址:Shodan Search Enginehttps://www.shodan.io/
5.IISPUTScanner
6.使用网站 站长之家
同IP网站查询,同服务器网站查询 - 站长工具通过该工具可以查询指定IP或域名所在服务器的其他网站。http://stool.chinaz.com/same
7.使用御剑工具
七、CMS指纹识别
CMS是"Content Management System"的缩写,意为"内容管理系统"。用户只需要下载对应的CMS软件包,就能部署搭建,并直接利用CMS。但是各种CMS都具有其独特的结构命名规则和特定的文件内容,因此可以利用这些内容来获取CMS站点的具体软件CMS与版本。
常见的CMS有Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。
1.在线识别
BugScaner: 在线指纹识别,在线cms识别小插件--在线工具http://whatweb.bugscaner.com/look/
潮汐指纹:TideFinger 潮汐指纹 TideFinger 潮汐指纹http://finger.tidesec.net/
云悉:yunsee.cn-2.0http://www.yunsee.cn/info.html
WhatWeb: WhatWeb - Next generation web scanner.https://whatweb.net/
云悉指纹: yunsee.cn-2.0http://www.yunsee.cn/finger.html
2.工具利用
常见的CMS指纹识别工具有WhatWeb、WebRobo、椰树、御剑Web指纹识别。大禹CMS识别程序等,可以快速识别一些主流CMS。
以kali上的WhatWeb为例
3.手工识别
(1)根据HTTP响应头判断,重点关注X-Powered-By、cookie等字段
(2)根据HTML 特征,重点关注 body、title、meta等标签的内容和属性。
(3)根据特殊的class判断。HTML 中存在特定 class 属性的某些 div 标签
八、Waf识别
网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF
直接使用kali自带的工具wafw00f
手工识别
云盾:响应头包含yundun关键字;页面源代码有errors.aliyun.com
安全狗:响应头包含waf2.0、Safedog等字样
腾讯云:阻止响应页面,包含waf.tencent-clound.com
阻止响应代码405 method not allow
安全宝:恶意请求时返回405恶意代码 响应头包含X-Powered-by:Anquanbao
百度云加速:响应头包含Yunjiasu-ngnix
创宇盾:恶意请求时页面URL:365cyd.com、365cyd.net
九、端口测试
1.使用Nmap
2.在线网站
在线网站:端口扫描 - 站长工具
ThreatScan在线网站(网站基础信息收集):https://scan.top15.cn/
Shodan:Shodan Search Engine
3.Masscan
masscan -p 22,21,443,8080-Pn --rate=1000 192.168.10.0/24
补充:
200 请求成功
- 301 资源(网页等)被永久转移到其他URL
404 请求的资源不存在
500 服务器内部错误,无法完成请求