搜索引擎枚举

我们可以利用Google 语法搜索子域名,例如要搜索百度旗下的子域名就可以 使用 "site:baidu.com" 语法,如图1-5所示。

Google

新闻 购物 地图

我料的31,400.000条结集(用B时0.17秒)

百度知道·全球最大中文互动问答平台

hitps /izhidao baidu comv ·

百度知遵是由全球器大的中交授索引掌百度自主研发,基于程 据白身的需求。有针对性地球出间题:间时。这查省常又得作 周求。

百度贴吧------全球最大的中文社区

htips /tetba,baidu.com/ ·

百度贴吧------金球最大的中文社区。贴吧的使杂是让志同道 酸能精在地聚集大批同好网友,展示自我风采,结交知音,提 录通世游戏,地区、文学、动漫、碳乐明星、生活、体育,电 平台。它为人们提供一个表达

天空下载站_提供最新最安全的免费软件资濡

skygame baidu com/ ·

天空下数站,得供里内外最新最安全的免费状件资源下数,牌 广居,操色软件导松下载

百度新闻摆素------全球最大的中文新闻平台

news baidu.com/ ·

西度新成提积合海量出试的新成服务平台,真实反缺每时等案 肠、人将动态、严品资讯等,快遵了解它们的最新进展。

百度百科_全球最大中文百科全书

nitps //baike bacu comv

百度百科是一部内容开放。自由的网培首科全书,据在创通一 的由女析O 性西和全本,在位很位前以数与词态编通。分章革

图1-5用Google 搜索子域名

3.第三方聚合应用枚举

很多第三方服务汇聚了大量DNS 数据集,可通过它们检索某个给定域名的子域 名。只需在其搜索栏中输入域名,就可检索到相关的域名信息,如图1-6所示。

Sibling DomainsO

download.androidapp.baidu.com

mhgdown.baidu.com

liulanqi.baidu.com

duclickbaidu.com

shawn.baidu.com

js.baidu.com

ir.baidu.com

a.gdown.baidu.com

pcfaster.baidu.com

top.baidu.com

product.baidu.com

caigou.baidu.com

chf.baidu.com

dl.p2sp.baidu.com

egdown.baidu.com

static.tieba.baidu.com

yuqing.baidu.com

91.gdown.baidu.com

m.gdown.baidu.com

shangqing.baidu.com

读者也可以利用DNSdumpster 网站 (DNSdumpster.com - dns recon and research, find and lookup dns records)、 DNS 侦查和搜索的工具挖掘出指定域潜藏的大量子域。

4.证书透明度公开日志枚举

证书透明度 (Certificate Transparency,CT) 是证书授权机构 (CA) 的 一

个项目,证书授权机构会将每个SSL/TLS 证书发布到公共日志中。 一个SSL/TLS证书通 常包含域名、子域名和邮件地址,这些也经常成为攻击者非常希望获得的有用信息。查 找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

www.qianani.com

笔者推荐crt.sh:crt.sh | Certificate Search 和censys:Exposure Management and Threat Hunting Solutions | Censys 这两个网

站,下面展示了一个crt.sh进行子域名枚举的例子,如图1-7所示。

[crt.sh

Critsrta ldedey UKE

uWns

uun(n)t

is(n)

t

r

nOf

o(n)

is(A)

un(an)yiR

evn.oin fmait Cheiso Imnn Athrt

eu.olm Lao CheienLRALhm

uVn t.QQ aoLfais(n)aw( f)n

igheuo(Ch)

rso(Lsn)sAL

o(A)n(u)R

eva olm tmnit ceinfxnkAhrt

20170401

30170401

20170401

图1-7子域名枚举

此外,读者还可以利用一些在线网站查询子域名,如子域名爆破网站

(https:// phpinfo. me /domain ), IP反查绑定域名网站 (http://

dns.aizhan.com) 等。

1.4收集常用端口信息

在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务

器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透 目标服务器。

所以在端口渗透信息的收集过程中,我们需要关注常见应用的默认端口和在端

口上运行的服务。最常见的扫描工具就是Nmap (具体的使用方法后续章节会详细介 绍),无状态端口扫描工具Masscan、ZMap 和御剑高速TCP端口扫描工具,如图1-8

所示。

御剑高速TCP端口扫描工具 --- □ ×

开始IP: 结束IP: 超时/秒缓冲区

○全端口65535 ◎指定端口

指定湍口列表(格式用英文逗号隔开:80,8080,8090- 8100)

|-----|---|
| 21.22,23,25,53,69,80,81-69,110,135,139,143,443,445,465,993,995,1080,1158,1433,1521,1863,2100,312 ||
| 开放满 | 口 |

常见的端口及 说明,以及攻 汇总如下。

文件 共享 端口如 1 - 2所示。

表1-2文件共享服务端口

|----------|---------------|--------------------|
| 端口号 | 端口说明 | 攻击方向 |
| 21/22/69 | Ftp/Tfp文件传输协议 | 允许匿名的上传、下载、爆破和嗅探操作 |
| 2049 | Nfs服务 | 配置不当 |
| 139 | Samba服务 | 爆破、未授权访问、远程代码执行 |
| 389 | Ldap目录访问协议 | 注入、允许匿名访问、弱口令 |

远程连接服务端口如表1-3所示。

表1-3远程连接服务端口

|-------------|--------------|-----------------------------------------|
| 端口号 | 端口说明 | 攻击方向 |
| 22 | SSH远程连接 | 爆破、SSH隧道及内网代理转发、文件传输 |
| 23 | Telnet远程连接 | 爆破、嗅探、弱口令 |
| 3389 | Rdp远程桌而连接 | Shift后门(需要Windows Server 2003以下的系 统)、爆破 |
| 5900 | VNC | 弱口令爆破 |
| 5632 | PyAnywhere服务 | 抓密码、代码执行 |

●Web 应用服务端口如表1-4所示。

表1-4 Web 应用服务端口

|-------------|---------------------------|--------------------|
| 端口号 | 端口说 | 攻击方向 |
| 80/443/8080 | 常见的Web服务端口 | Web攻击、爆破、对应服务器版本漏洞 |
| 7001/7002 | WebLogic控制台 | Java反序列化、弱口令 |
| 8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 |
| 9090 | WebSphere控制台 | Java反序列化、弱口令 |
| 4848 | GlassFish控制台 | 弱口令 |
| 1352 | Lotus domino邮件服务 | 弱口令、信息泄露、爆破 |
| 10000 | Webmin-Web控制面板 | 弱口令 |

数据库服务端口如表1-5所示。

表1-5数据库服务端口

|-------------|----------------|-----------------|
| 端口号 | 端口说明 | 攻击方向 |
| 3306 | MySQL | 注入、提权、爆破 |
| 1433 | MSSQL数据库 | 注入、提权、SA弱口令、爆破 |
| 1521 | Oracle数据库 | TNS爆破、注入、反弹Shel |
| 5432 | PostgreSOL数据库 | 爆破、注入、弱口令 |
| 27017/27018 | MongoDB | 爆破、未授权访问 |
| 6379 | Redis数据库 | 可尝试未授权访问、弱口令爆破 |
| 5000 | SysBase/DB2数据库 | 爆破、注入 |

邮件服 端口如表1 - 6所示

表1-6邮件服务端口

www.qianani.com

|-------------|--------------|--------------|
| 端口号 | 端口说明 | 攻击方向 |
| 25 | SMTP邮件服务 | 邮件伪造 |
| 110 | POP3协议 | 爆破、嗅探 |
| 143 | IMAP协议 | 爆破 |

|-------------|--------------|----------------------|
| 端口号 | 端口说明 | 攻击方向 |
| 53 | DNS域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
| 67/68 | DHCP服务 | 劫持、欺骗 |
| 161 | SNMP协议 | 爆破、搜集目标内网信息 |

特殊服务端口如表1-8所示。

表1-8特殊服务端口

|-------------|------------------------|--------------|
| 端口号 | 端口说明 | 攻击方向 |
| 2181 | Zookeeper服务 | 未授权访问 |
| 8069 | Zabbix服务 | 远程执行、SQL注入 |
| 9200/9300 | Elasticsearch服务 | 远程执行 |
| 11211 | Memcache服务 | 未授权访问 |
| 512/513/514 | Linux Rexee服务 | 爆破、Rlogin登录 |
| 873 | Rsyne服务 | 匿名访问、文件上传 |
| 3690 | Svn服务 | Svn泄露、未授权访问 |
| 50000 | SAP Management Console | 远程执行 |

相关推荐
xiaoyalian2 小时前
R语言绘图过程中遇到图例的图块中出现字符“a“的解决方法
笔记·r语言·数据可视化
Red Red3 小时前
网安基础知识|IDS入侵检测系统|IPS入侵防御系统|堡垒机|VPN|EDR|CC防御|云安全-VDC/VPC|安全服务
网络·笔记·学习·安全·web安全
贰十六4 小时前
笔记:Centos Nginx Jdk Mysql OpenOffce KkFile Minio安装部署
笔记·nginx·centos
知兀4 小时前
Java的方法、基本和引用数据类型
java·笔记·黑马程序员
醉陌离5 小时前
渗透测试笔记——shodan(4)
笔记
LateBloomer7776 小时前
FreeRTOS——信号量
笔记·stm32·学习·freertos
legend_jz6 小时前
【Linux】线程控制
linux·服务器·开发语言·c++·笔记·学习·学习方法
Komorebi.py6 小时前
【Linux】-学习笔记04
linux·笔记·学习
fengbizhe7 小时前
笔试-笔记2
c++·笔记
余为民同志7 小时前
mini-lsm通关笔记Week2Day4
笔记