一、Ip反查
1.whois用法
功能查找用户相关信息
Whois 【xxx】
在线网站:
(1)https://www.virustotal.com/gui/home
(2)https://whois.chinaz.com/
2.whois反查
3.超级ping
根据域名查找ip
工具:超级ping、cmd中ping 域名
二、文件 目录扫描
1.扫网站目录工具
御剑扫描、dirbuster、Pker多线程扫描工具、7kbscan
御剑扫描实例
2.Nmap扫主机端口
nmap 192.168.221.0/24 扫描整个网段
namp 192.169.221.10-200 扫描指定的网段
namp 192.168.221.10,100,200-230 扫描10,100, 200-230 的网络
namp 192.168.221.0/24 10.10.10.0/24 扫描不同网段
namp -iL 文件名 扫描目标文件
namp -iR 随机选择目标去探测 namp -sS -PS80 -iR 0(无休止去扫描) -p80
namp 192.168.211.0/24 --exclude 192.168.211.1,255,4-20 排除1,255,4-20端口去扫描
nmap -iL filename --excludefile filename2 其中fliename1是需要扫描的,filename2不需要扫描息收集
Site 指定域名 site:edu.cn
Inurl url中存在的关键字网页
Intext 网页正文中的关键字
Filetype 指定文件类型
Intitle 网页标题中的关键字
Link link:baidu.com 表示返回所有和baidu.com做了链接的URL
Info 查找指定站点基本信息
Cache 搜索Google关于某些内容的缓存
在谷歌中收集敏感信息
例:filetype:png intext:清正廉洁
三、备案信息查询
-
网站所有者必须向国家有关部门申请网站备案,若搭建在其他国家,则不需要进行备案。
ICP备案查询网:http://www.beianbeian.com/
天眼查:https://www.tianyancha.com/
爱站网:https://www.aizhan.com/ -
四、子域名收集
-
根域名/二级域名 baidu.com 一个“.”
子域名 xx.xx.com 两个以上的”.”
1.子域名检测工具
工具:Layer子域名挖掘机、subfinder、subDomainBrute、wydomain猪猪侠、Sublist3r、site:targe.com、Github代码仓库、抓包分析请求返回值、
Layer子域名挖掘机
抓包分析请求返回
2.搜索引擎枚举
3.第三方聚合应用枚举
4.证书透明度公开日志枚举
证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址,攻击者往往希望得到这些信息
查找域名所属证书最简单的方法是直接使用搜索引擎直接搜索一些公开的CT日志
还可以使用子域名爆破网站(https://phpinfo.me/domain)
五、真实ip
在测试中,一般只会给你一个域名,可以根据域名来确定目标服务器的真实ip,在没有使用CDN的前提下,可以使用以下网站
ip地址查询 ip查询 查ip 公网ip地址归属地查询 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名
https://tool.lu/ip
获取ip及域名相关信息。
CDN:Content Delivery Network是指内容分发网络,也称为内容传送网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。
判断目标服务器是否使用了CDN?
(1)直接Ping
或者使用代理或者通过在线ping网站来在不同地区进行ping测试,对比结果。
多个地点Ping服务器,网站测速 - 站长工具
https://www.wepcc.com
https://www.17ce.com
just-ping › Ping an internet host from 50 locations worldwide - iTools
Get Site Ip
以http://baidu.com GET测试结果 网站速度测试 17CE 为例,根据Ip地址和归属地不同,可以发现www.baidu.com使用了CDN
(2)nslookup
使用nslookup查看域名解析对应的ip地址,解析到多个ip地址则说明使用了CDN
没有使用CDN
重点!如何绕过CDN找到真实IP
(1)利用子域名
可以利用子域名检测工具 Layer挖掘机、Subdomainbrute等
(2)查询主域
以前用CDN的时候有个习惯,只让WWW域名使用cdn,其他域名不使用,为的是在维护网站时更方便,不用等cdn缓存。
(3)Google搜索
site:qq.com -www 查除www以外的子域名
(4)查找域名历史解析记录
也许目标很久之前没有使用CDN,通过网站来观察域名的ip历史记录
ViewDNS.info - Your one source for DNS related tools!
https://www.netcraft.com/
(5)网络空间引擎搜索法
Shodan:Shodan Search Engine
钟馗之眼:ZoomEye - Cyberspace Search Engine
FOFA:网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统
(6)国外访问
国内很多CDN厂商因为各种原因只做了国内的线路,针对国外的线路几乎没有,可以使用国外的主机直接访问可能会获取到真实Ip。
(7)通过邮件服务器
一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,由于这个邮件服务器的有可能跟目标Web在一个段上,我们直接一个一个扫,看返回的HTML源代码是否跟web的对的上,就可以获得目标的真实IP(必须是目标自己内部的邮件服务器,第三方或者公共邮件服务器是没有用的)。
(8)绕过cloudFlare CDN查询真实ip
cloudFlareWatch在线网站(需*)
(9)nslookup查询
(10) 如果目标网站有自己的App,可以尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目标的真实IP。
验证获取ip
找到目标的真实IP以后,如何验证其真实性呢?如果是Web,最简单的验证方法是直接尝试用IP访问,看看响应的页面是不是和访问域名返回的一样;或者在目标段比较大的情况下,借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP,然后逐个尝试IP访问,观察响应结果是否为目标站点。