信息收集
为什么信息收集(踩点): 找到薄弱点进行攻击(扩大攻击面)
1.whois 信息什么?
whois 指的是域名注册时留下的信息,比如留下管理员的名字、电话号码、邮箱为什么要收集whois? 域名注册人可能就是网站管理员,可以尝试社工、套路,查询是不是注册了其他域名扩大攻击范围
2.子域名什么是子域名?
顶级域名下的二级域名或者三级甚至更多级的域名都属于子域名,有一些直接ip访问的WEB站我也归结于子域名收集范围为什么要收集? 子域名可以扩大攻击范围,同一个域名下的二级域名都属于相同资产,一般而言都有相关的联系
a.zkaq.cn b.zkaq.cn
a.zkaq.cn b.zkaq.cn.com
a.zkaq.cn.com b.zkaq.cn.jp子域名(证书查询):HTTPS的网站 HTTP/HTTPS(更加安全) 域名:顶级域名、二级域名、三级域名 想同顶级域名的域名。
https://crt.sh baidu.com
*.zkaq.cn => x.zkaq.cn
为什么要用不同的证书,为啥不全用*
子域名:子域名其实没有什么关联(属于同一个公司 有关联可能性比较大的)
找漏洞是一个概率学:我们攻城,肯定是要多方面去尝试
谷歌语法
- site: 指定域名
在线平台
ip反查域名
微步社区
站长工具
潮汐指纹
- http://finger.tidesec.com/
- 使用工具爆破DNS服务器
PYthon
subDomainsBrute
3.旁站查询:同IP站点就是旁站 (在线工具 - 站长工具)
旁站查询为什么要查询旁站?旁站指的是在同一个ip上面的多个网站,如果你成功拿下旁站,运气好和主站在同一台机器上,是不是就是拿到了主站? 如果运气不好是一个内网,我们是不是可以尝试内网渗透
同IP站点: 1、同服务器 2、同内网(内网渗透的、防御性比较)
4.C段扫描:
C段扫描C段是什么|为什么要扫描? 例如192.168.1.1 ,那么192.168.1.1-192.168.1.255 都属于同一个C段,有些学校或者大公司,他们会持有整个IP段,这个ip段中所有的ip都是那个公司的资产,拿下一台可能有有用的信息,可能在同一内网,很多公司财大气粗买IP的时候会用同一个段(同一机房、同一个公司)
192.168.1.0 - 192.168.1.255 同一个C段
x.x.x.0-255
166.111.4.100 1-2555.端口探测
(nmap 主动式的扫描 电脑会开启一些端口,端口他们会承载一些功能。有一些端口容易存在漏洞。 一、445(永恒之蓝) 3389(爆破、0708) 6379(redis未授权访问) 二、有些网站,他可能没给域名,直接给了端口(8080)
基础命令
-p
- 指定端口扫描
-v
- 显示扫描过程
-Pn
- 跳过主机发现过程直接端口扫描 [目标禁ping时]
-O
- 探测主机操作系统
-A
- 全面扫描,包括一切探测
端口扫描状态
- Opend 端口开放
- Closed 端口关闭
- Filtered 端口被过滤
在线工具
有域名的网站 > 没有域名网站(纯ip站点) 80端口的网站 > 其他端口的网站(主站防御更强)
6、企查查、天眼查、小蓝本
https://www.xiaolanben.com/pc
公司股东肯定是高层,高层应该是拥有很高的权限(不懂电脑、业务也不感兴趣) 通过股东的名字去爆破他的密码。
7.指纹识别
(https://s.threatbook.cn/)为什么要指纹识别? cms可能存在通杀漏洞,如果使用了CMS建站我们可以用通杀漏洞直接攻击
在线工具
8.内容敏感信息泄露尝试Google语法
找到某些敏感内容,比如包含身份证号码的表格、包含服务器账号密码的文件、某些敏感文件、备份数据库谷歌镜像站: https://www.lovec.ltd/
谷歌语法
site:
- 指定域名
filetype:
- 指定文件类型
inurl:
- 指定URL
link:
- 包含指定网页的链接的网页
intitle:
- 指定title
intext:
- 指定内容
9.网络空间搜索引擎
(针对于网络设备的搜索)fofa 钟馗之眼
https://fofa.so/
CMS:
真实IP隐藏:
title="江西财经大学"
10.目录扫描
(字典,然后依次拼接访问 主动式的扫描,有风险)
访问任何一个网站,其实都是在访问某个服务器的某个文件夹
不同的目录里面完全不同。 也能找到后台登陆地址、也能找到一些报错
你的IP被封了,可以用代理(买、https://bbs.zkaq.cn/t/4685.html)
状态码: 200 正常访问 302 跳转 404 不存在 403 没权限 50x 服务器内部错误
信息收集常见问题
1.如何查看网站cms
可能在页面源代码里
或者用指纹识别的平台查找
在一些特殊页面也有显示。
2.如何探测Waf
输入一些恶意参数,他拦截你的时候就知道了
也可以用云平台看看
微步社区
3.收集子域名的方法
用子域名扫描器爆破收集
用爬虫工具收集
通过证书获取 https://censys.io/certificates?q=
4.子域名里的二级域名是什么
二级域名是和隶属于主域名下,但又相对独立的分支,就是从主域名分出来的,形式如sad.asd.com,二级域名一般正常而言是属于同一个公司的不同资产
- 如何查找C段
找到真实的ip,比如真实ip 1.1.1.1 那么C端范围就是1.1.1.1-1.1.1.255
6.如何查找旁站
旁站可以在站长之家的同ip网站查询
7.目录扫描用什么工具
御剑扫描工具,群里面有的下载呀
8.子域名收集工具有哪些
Layer
subDomainsBrute(github地址 https://github.com/lijiejie/subDomainsBrute)
https://phpinfo.me/domain/ (在线的子域名收集网站)
9.whois查询如何去查询
站长之家
10.端口探测用什么工具
Nmap
- 旁站和C段的区别
旁站是同ip网站,C段是公网Ip同一网段下的网站
- 收集子域名信息有什么意义
通过收集子域名,扩大攻击的范围,一般来说主站的防护相对严密,而子域名的站点可能防护没有那么严密
- 如何查找网站真实ip
用nslookup ,如果有多个ip就说明用了cdn
网络空间搜索引擎
站长工具
- 所有网站都有robots.txt吗
不是所有网站都有robots.txt,不是所有网站的robots.txt都可以利用
- 一个二级子域名下能有很多个三级域名吗
可以
16.子域名最多能有几层
N层
- 如何识别伪静态
控制台输入 javascript:alert(document.lastModified),如果网站是个html,但是显示的却是现在的时间,就是伪静态页面
- C段是不是内网
不是内网,但是有可能同一个C端在同一个内网
- 网站里的分支网页算不算旁站
不一定
分支网页有些是不同文件夹下的文件
- 子域名一定在同一ip下吗
不一定在同一ip下,一个ip里面有可能是一个庞大的内网
- 哪里寻找robots.txt
一般在域名后直接加上robots.txt
御剑等扫描器都可以扫描出来
- 爬虫能爬网站链接 还能爬其他的东西吗
可以,可以爬取图片、下载文件、表格这些的
- 子域名和旁站的区别
旁站指同一ip下的网站,子域名指顶级域名下的二级域名或者三级甚至更多级的域名,子域名有些同一ip有些不同一ip
- 一个ip可以对应多少网站
按照端口数来区分,上万个是没有问题的(前提是服务器性能撑得住,不过如果ip里面是个庞大的内网是可以的)
- 如何通过前台找到后台
使用目录扫描
根据cms的特征
- 同一个ip多个网站什么意思
就是多个网站用同一个ip,他们被称为互相的旁站,但是同ip不一定是同服务器,因为1个ip里面可能有一个庞大的内网
- 页面源码里是否会存在敏感信息
会,会隐藏一些敏感文件,cms信息,robots.txt,或者一些偷偷隐藏的链接
密码字典生成器