1.DNS解析的详细步骤
-
客户端发送请求:当用户在浏览器中输入一个域名时,客户端会将这个域名发送给本地DNS解析器。
-
本地DNS缓存查询:本地DNS解析器首先检查是否有缓存中的记录,如果有,则直接返回解析结果。
-
递归解析:若本地DNS缓存中没有记录,本地DNS解析器会开始递归解析。首先访问本地DNS服务器的root hints信息。
-
根DNS服务器响应:本地DNS服务器请求根DNS服务器,获取.com域名根服务器的IP地址。
-
顶级域名(TLD)解析:本地DNS服务器向.com域名服务器发送请求,获取相应的授权DNS服务器的IP地址。
-
域名服务器查询:本地DNS服务器请求授权DNS服务器,获取目标域名的IP地址。
-
发送回应:授权DNS服务器将获取到的IP地址返回给本地DNS服务器。
-
本地DNS缓存和返回:本地DNS服务器将得到的IP地址存储到本地缓存中,并将其返回给客户端。
2、绕过CDN查找主机真实IP的方法
方法1:查询历史DNS记录
通过查询历史DNS记录,可以找到使用CDN前的IP地址。
方法2:查询子域名
CDN成本较高,很多站长只对主站或流量大的子站点使用CDN。通过查询子域名找到其真实IP。
如用Google 搜索 site:baidu.com -www就能查看除www外的子域名
方法3:利用SSL证书
SSL证书可以暴露真实IP。通过扫描互联网获取SSL证书,进而找到服务器的真实IP。
方法4:利用HTTP标头
通过比较HTTP标头来查找原始服务器。例如,使用SecurityTrails平台搜索特定HTTP标头。
方法5:利用网站返回的内容
如果原始服务器IP也返回了网站的内容,那么可以在网上搜索大量的相关数据。浏览网站源代码,寻找独特的代码片段。在JavaScript中使用具有访问或标识符参数的第三方服务(例如Google Analytics,reCAPTCHA)是攻击者经常使用的方法。
方法6:网站漏洞查找
遗留文件:如phpinfo页面泄露,可能会显示服务器的外网IP地址。
漏洞探针:如SSRF漏洞,可以通过目标网站上的漏洞让VPS获取对方反向连接的IP地址,还有就是XSS盲打、命令执行反弹shell等
方法7:全网扫描
判断厂商:(ipip)——缩小ip范围
通过ip库查询:纯真数据库——确认ip段
通过网站特征进行爆破——就是通过网站特征来一个一个ip爆破
方法8:F5 LTM解码法
通过解码F5 LTM负载均衡器的Set-Cookie字段,获取真实IP。参考原文链接:https://blog.youkuaiyun.com/2301_80064376/article/details/140415586
3、子域名信息收集常用手段
1.域名查询:通过查询域名注册信息,了解子域名的注册者和注册时间。
2.网络爬虫:使用网络爬虫技术,自动抓取网站中的子域名信息。
3.DNS记录检查:检查DNS记录,如A记录、CNAME记录等,获取与子域名相关的线索。
4.证书透明度日志: 证书透明度日志 (CTL): 所有已签发的 SSL/TLS 证书会被记录在 CTL 中,通过分析 CTL 可以获取目标域名下所有子域名的信息。 CTL 查询工具: 例如 crt.sh、CertSpotter、censys 等工具可以查询 CTL 信息。
5.威胁情报平台:如ThreatBook、VirusTotal、AlienVault OTX、RiskIQ、ThreatMiner等,通过这些平台可以收集到目标组织的子域名信息。
6.搜索引擎: Google Hacking: 利用 Google 的高级搜索语法,结合关键词如 "site:example.com" 或 "inurl:example.com" 进行搜索。 搜索引擎子域名搜索工具: 例如 Sublist3r、Subdomainizer、Amass 等。这些工具可以自动地利用搜索引擎的 API 获取子域名信息。
7.WHOIS查询:通过WHOIS信息查看域名的相关注册信息,有时也会找到相关的子域名。
8.网络扫描: 端口扫描: 使用 Nmap 等工具扫描目标网络,查找运行服务的端口,根据端口号推断子域名信息。 域名枚举工具: 例如 Subfinder、Subdomain3、Knock 等工具可以扫描特定网络段,识别潜在的子域名。
4、Nmap全端口扫描(使用昨日搭建的pikachu靶场)
SYN半开扫描
半连接扫描(half-open Scan)也称SYN扫描,它是一种通过建立不完整的TCP连接来判断主机端口是否开放的扫描方式。这种扫描方式的原理是向目标主机的指定端口发送一个SYN包而不是完整的三次握手,如果目标主机回应一个SYNACK包,则表示该端口开放;如果回应一个RST包,则表示该端口关闭。半连接扫描过程中不会完成三次握手,因此也被称为半开放扫描。通过扫描结果判断被扫描主机的端口是否开放,可以根据回应的包的不同类型进行判断。如果回应的是SYN/ACK包则表示该端口开放并处于监听状态;如果回应的是RST包,则表示该端口被关闭或该端口对于半连接扫描做了限制;如果没有回应,则表示该端口被过滤或被防火墙拦截。
跳过主机存活检测扫描
1. 使用全端口扫描: 使用工具如 Nmap,执行全端口扫描,例如:nmap -p- <目标IP>。 这种方法会扫描目标主机的全部 65535 个端口,效率较低,但能确保不遗漏任何开放端口。
2. 指定端口范围扫描: 使用工具如 Nmap,指定特定的端口范围进行扫描,例如:nmap -p 80,443 <目标IP>。 这种方法可以针对特定服务进行扫描,提高扫描效率,但需要预先了解目标可能开放的端口。
3. 使用随机端口扫描: 使用工具如 Nmap,设置随机端口扫描,例如:nmap -p 1-65535 -r <目标IP>。 这种方法可以随机扫描特定数量的端口,提高扫描效率,但可能漏掉部分开放端口。
4. 使用预定义端口扫描: 使用工具如 Nmap,使用预定义端口列表进行扫描,例如:nmap -p T:22,80,443 <目标IP>。 这种方法可以针对常用的服务端口进行扫描,提高扫描效率,但可能漏掉非常用端口。
5. 利用已知信息: 如果已经知道目标主机开放了特定端口,可以直接使用工具如 Nmap,扫描该端口,例如:nmap -p 80 <目标IP>。 这种方法可以针对特定端口进行扫描,提高扫描效率,但需要预先了解目标开放的端口。
5、dirmap目录探测工具实践(使用昨日搭建的pikachu靶场)
要求讲述为什么dirmap每次扫描条数不一样
Dirmap 每次扫描的条目数可能有所不同,这可能是由于多种因素造成的,例如:
- 目标系统动态性: 目标网站可能包含动态生成的内容或随机元素,导致每次扫描时可访问的条目数量不同。
- 网络环境不稳定: 网络延迟波动可能会导致请求超时或服务器响应时间不一致,从而影响扫描的效率和结果。
- 扫描策略和字典变化: Dirmap 的扫描策略和字典会影响扫描的范围和深度,不同的配置会产生不同的扫描结果。
总之,Dirmap 扫描条数的变化是多种因素综合作用的结果,并非单一原因造成的。
6、Fscan实践(使用昨日搭建的pikachu靶场)
1.扫描目标主机的所有TCP端口
2.主机存活探测
3.扫描整个网段
7、课上所演示插件安装成功截图。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
