我们可以利用Google 语法搜索子域名,例如要搜索百度旗下的子域名就可以 使用 "site:baidu.com" 语法,如图1-5所示。
新闻 购物 地图
我料的31,400.000条结集(用B时0.17秒)
百度知道·全球最大中文互动问答平台
hitps /izhidao baidu comv ·
百度知遵是由全球器大的中交授索引掌百度自主研发,基于程 据白身的需求。有针对性地球出间题:间时。这查省常又得作 周求。
百度贴吧------全球最大的中文社区
htips /tetba,baidu.com/ ·
百度贴吧------金球最大的中文社区。贴吧的使杂是让志同道 酸能精在地聚集大批同好网友,展示自我风采,结交知音,提 录通世游戏,地区、文学、动漫、碳乐明星、生活、体育,电 平台。它为人们提供一个表达
天空下载站_提供最新最安全的免费软件资濡
skygame baidu com/ ·
天空下数站,得供里内外最新最安全的免费状件资源下数,牌 广居,操色软件导松下载
百度新闻摆素------全球最大的中文新闻平台
news baidu.com/ ·
西度新成提积合海量出试的新成服务平台,真实反缺每时等案 肠、人将动态、严品资讯等,快遵了解它们的最新进展。
百度百科_全球最大中文百科全书
nitps //baike bacu comv
百度百科是一部内容开放。自由的网培首科全书,据在创通一 的由女析O 性西和全本,在位很位前以数与词态编通。分章革
图1-5用Google 搜索子域名
3.第三方聚合应用枚举
很多第三方服务汇聚了大量DNS 数据集,可通过它们检索某个给定域名的子域 名。只需在其搜索栏中输入域名,就可检索到相关的域名信息,如图1-6所示。
Sibling DomainsO
读者也可以利用DNSdumpster 网站 (DNSdumpster.com - dns recon and research, find and lookup dns records)、 DNS 侦查和搜索的工具挖掘出指定域潜藏的大量子域。
4.证书透明度公开日志枚举
证书透明度 (Certificate Transparency,CT) 是证书授权机构 (CA) 的 一
个项目,证书授权机构会将每个SSL/TLS 证书发布到公共日志中。 一个SSL/TLS证书通 常包含域名、子域名和邮件地址,这些也经常成为攻击者非常希望获得的有用信息。查 找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
笔者推荐crt.sh:crt.sh | Certificate Search 和censys:Exposure Management and Threat Hunting Solutions | Censys 这两个网
站,下面展示了一个crt.sh进行子域名枚举的例子,如图1-7所示。
crt.sh Critsrta ldedey UKE uWns uun(n)t is(n) t r nOf o(n) is(A) un(an)yiR evn.oin fmait Cheiso Imnn Athrt eu.olm Lao CheienLRALhm uVn t.QQ aoLfais(n)aw( f)n igheuo(Ch) rso(Lsn)sAL o(A)n(u)R eva olm tmnit ceinfxnkAhrt 20170401 30170401 20170401 图1-7子域名枚举 此外,读者还可以利用一些在线网站查询子域名,如子域名爆破网站 (https:// phpinfo. me /domain ), IP反查绑定域名网站 (http:// dns.aizhan.com) 等。 1.4收集常用端口信息 在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务 器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透 目标服务器。 所以在端口渗透信息的收集过程中,我们需要关注常见应用的默认端口和在端 口上运行的服务。最常见的扫描工具就是Nmap (具体的使用方法后续章节会详细介 绍),无状态端口扫描工具Masscan、ZMap 和御剑高速TCP端口扫描工具,如图1-8 所示。 御剑高速TCP端口扫描工具 --- □ × 开始IP: 结束IP: 超时/秒缓冲区 ○全端口65535 ◎指定端口 指定湍口列表(格式用英文逗号隔开:80,8080,8090- 8100) |-----|---| | 21.22,23,25,53,69,80,81-69,110,135,139,143,443,445,465,993,995,1080,1158,1433,1521,1863,2100,312 || | 开放满 | 口 | ****常见的端口及**** ****其**** ****说明,以及攻**** ****击**** ****方**** ****向**** ****汇总如下。**** ● ****文件**** ****共享**** ****服**** ****务**** ****端口如**** ****表**** ****1**** ****-**** ****2所示。**** 表1-2文件共享服务端口 |----------|---------------|--------------------| | 端口号 | 端口说明 | 攻击方向 | | 21/22/69 | Ftp/Tfp文件传输协议 | 允许匿名的上传、下载、爆破和嗅探操作 | | 2049 | Nfs服务 | 配置不当 | | 139 | Samba服务 | 爆破、未授权访问、远程代码执行 | | 389 | Ldap目录访问协议 | 注入、允许匿名访问、弱口令 | ● ****远程连接服务端口如表1-3所示。**** 表1-3远程连接服务端口 |-------------|--------------|-----------------------------------------| | ****端口号**** | ****端口说明**** | ****攻击方向**** | | 22 | SSH远程连接 | 爆破、SSH隧道及内网代理转发、文件传输 | | 23 | Telnet远程连接 | 爆破、嗅探、弱口令 | | 3389 | Rdp远程桌而连接 | Shift后门(需要Windows Server 2003以下的系 统)、爆破 | | 5900 | VNC | 弱口令爆破 | | 5632 | PyAnywhere服务 | 抓密码、代码执行 | ●Web 应用服务端口如表1-4所示。 ****表1-4**** ****Web**** ****应用服务端口**** |-------------|---------------------------|--------------------| | 端口号 | 端口说 | ****攻击方向**** | | 80/443/8080 | 常见的Web服务端口 | Web攻击、爆破、对应服务器版本漏洞 | | 7001/7002 | WebLogic控制台 | Java反序列化、弱口令 | | 8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 | | 9090 | WebSphere控制台 | Java反序列化、弱口令 | | 4848 | GlassFish控制台 | 弱口令 | | 1352 | Lotus domino邮件服务 | 弱口令、信息泄露、爆破 | | 10000 | Webmin-Web控制面板 | 弱口令 | ● ****数据库服务端口如表1-5所示。**** ****表1-5数据库服务端口**** |-------------|----------------|-----------------| | 端口号 | 端口说明 | ****攻击方向**** | | 3306 | MySQL | 注入、提权、爆破 | | 1433 | MSSQL数据库 | 注入、提权、SA弱口令、爆破 | | 1521 | Oracle数据库 | TNS爆破、注入、反弹Shel | | 5432 | PostgreSOL数据库 | 爆破、注入、弱口令 | | 27017/27018 | MongoDB | 爆破、未授权访问 | | 6379 | Redis数据库 | 可尝试未授权访问、弱口令爆破 | | 5000 | SysBase/DB2数据库 | 爆破、注入 | ● ****邮件服**** ****务**** ****端口如表1**** ****-**** ****6所示**** ****。**** ****表1-6邮件服务端口**** ****www.qianani.com**** |-------------|--------------|--------------| | ****端口号**** | ****端口说明**** | ****攻击方向**** | | 25 | SMTP邮件服务 | 邮件伪造 | | 110 | POP3协议 | 爆破、嗅探 | | 143 | IMAP协议 | 爆破 | |-------------|--------------|----------------------| | ****端口号**** | ****端口说明**** | ****攻击方向**** | | 53 | DNS域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 | | 67/68 | DHCP服务 | 劫持、欺骗 | | 161 | SNMP协议 | 爆破、搜集目标内网信息 | ● ****特殊服务端口如表1-8所示。**** ****表1-8特殊服务端口**** |-------------|------------------------|--------------| | ****端口号**** | ****端口说明**** | ****攻击方向**** | | 2181 | Zookeeper服务 | 未授权访问 | | 8069 | Zabbix服务 | 远程执行、SQL注入 | | 9200/9300 | Elasticsearch服务 | 远程执行 | | 11211 | Memcache服务 | 未授权访问 | | 512/513/514 | Linux Rexee服务 | 爆破、Rlogin登录 | | 873 | Rsyne服务 | 匿名访问、文件上传 | | 3690 | Svn服务 | Svn泄露、未授权访问 | | 50000 | SAP Management Console | 远程执行 |