我们可以利用Google语法搜索子域名,例如要搜索百度旗下的子域名就可以使用“site:baidu.com” 语法,如图1-5所示。
新闻购物地图
我料的31,400.000条结集(用B时0.17秒)
百度知道·全球最大中文互动问答平台
hitps/izhidaobaiducomv·
百度知遵是由全球器大的中交授索引掌百度自主研发,基于程据白身的需求。有针对性地球出间题:间时。这查省常又得作周求。
百度贴吧——全球最大的中文社区
htips/tetba,baidu.com/·
百度贴吧——金球最大的中文社区。贴吧的使杂是让志同道酸能精在地聚集大批同好网友,展示自我风采,结交知音,提录通世游戏,地区、文学、动漫、碳乐明星、生活、体育,电平台。它为人们提供一个表达
天空下载站_提供最新最安全的免费软件资濡
skygamebaiducom/·
天空下数站,得供里内外最新最安全的免费状件资源下数,牌广居,操色软件导松下载
百度新闻摆素——全球最大的中文新闻平台
newsbaidu.com/·
西度新成提积合海量出试的新成服务平台,真实反缺每时等案肠、人将动态、严品资讯等,快遵了解它们的最新进展。
百度百科_全球最大中文百科全书
nitps//baikebacucomv
百度百科是一部内容开放。自由的网培首科全书,据在创通一的由女析O 性西和全本,在位很位前以数与词态编通。分章革
图1-5用Google搜索子域名
3.第三方聚合应用枚举
很多第三方服务汇聚了大量DNS 数据集,可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名,就可检索到相关的域名信息,如图1-6所示。
Sibling DomainsO
download.androidapp.baidu.com
mhgdown.baidu.com
liulanqi.baidu.com
duclickbaidu.com
shawn.baidu.com
js.baidu.com
ir.baidu.com
a.gdown.baidu.com
pcfaster.baidu.com
top.baidu.com
product.baidu.com
caigou.baidu.com
chf.baidu.com
dl.p2sp.baidu.com
egdown.baidu.com
static.tieba.baidu.com
yuqing.baidu.com
91.gdown.baidu.com
m.gdown.baidu.com
shangqing.baidu.com
读者也可以利用DNSdumpster网站 (DNSdumpster.com – dns recon and research, find and lookup dns records)、DNS 侦查和搜索的工具挖掘出指定域潜藏的大量子域。
4.证书透明度公开日志枚举
证书透明度(Certificate Transparency,CT)是证书授权机构 (CA) 的一
个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
www.qianani.com
笔者推荐crt.sh:crt.sh | Certificate Search和censys:Exposure Management and Threat Hunting Solutions | Censys这两个网
站,下面展示了一个crt.sh进行子域名枚举的例子,如图1-7所示。
[crt.sh
Critsrtaldedey UKE
uWns
uun(n)t
is(n)
t
r
nOf
o(n)
is(A)
un(an)yiR
evn.oin fmait Cheiso Imnn Athrt
eu.olmLaoCheienLRALhm
uVnt.QQ aoLfais(n)aw( f)n
igheuo(Ch)
rso(Lsn)sAL
o(A)n(u)R
eva olm tmnit ceinfxnkAhrt
20170401
30170401
20170401
图1-7子域名枚举
此外,读者还可以利用一些在线网站查询子域名,如子域名爆破网站
(https:// phpinfo. me/domain ),IP反查绑定域名网站 (http://
dns.aizhan.com) 等。
1.4收集常用端口信息
在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务
器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透目标服务器。
所以在端口渗透信息的收集过程中,我们需要关注常见应用的默认端口和在端
口上运行的服务。最常见的扫描工具就是Nmap(具体的使用方法后续章节会详细介绍),无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具,如图1-8
所示。
御剑高速TCP端口扫描工具 — □×
开始IP: 结束IP: 超时/秒缓冲区
○全端口65535◎指定端口
指定湍口列表(格式用英文逗号隔开:80,8080,8090-8100)
21.22,23,25,53,69,80,81-69,110,135,139,143,443,445,465,993,995,1080,1158,1433,1521,1863,2100,312 | |
开放满 | 口 |
常见的端口及其说明,以及攻击方向汇总如下。
●文件共享服务端口如表1–2所示。
表1-2文件共享服务端口
端口号 | 端口说明 | 攻击方向 |
21/22/69 | Ftp/Tfp文件传输协议 | 允许匿名的上传、下载、爆破和嗅探操作 |
2049 | Nfs服务 | 配置不当 |
139 | Samba服务 | 爆破、未授权访问、远程代码执行 |
389 | Ldap目录访问协议 | 注入、允许匿名访问、弱口令 |
●远程连接服务端口如表1-3所示。
表1-3远程连接服务端口
端口号 | 端口说明 | 攻击方向 |
22 | SSH远程连接 | 爆破、SSH隧道及内网代理转发、文件传输 |
23 | Telnet远程连接 | 爆破、嗅探、弱口令 |
3389 | Rdp远程桌而连接 | Shift后门(需要Windows Server 2003以下的系统)、爆破 |
5900 | VNC | 弱口令爆破 |
5632 | PyAnywhere服务 | 抓密码、代码执行 |
●Web应用服务端口如表1-4所示。
表1-4Web应用服务端口
端口号 | 端口说 | 攻击方向 |
80/443/8080 | 常见的Web服务端口 | Web攻击、爆破、对应服务器版本漏洞 |
7001/7002 | WebLogic控制台 | Java反序列化、弱口令 |
8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 |
9090 | WebSphere控制台 | Java反序列化、弱口令 |
4848 | GlassFish控制台 | 弱口令 |
1352 | Lotus domino邮件服务 | 弱口令、信息泄露、爆破 |
10000 | Webmin-Web控制面板 | 弱口令 |
●数据库服务端口如表1-5所示。
表1-5数据库服务端口
端口号 | 端口说明 | 攻击方向 |
3306 | MySQL | 注入、提权、爆破 |
1433 | MSSQL数据库 | 注入、提权、SA弱口令、爆破 |
1521 | Oracle数据库 | TNS爆破、注入、反弹Shel |
5432 | PostgreSOL数据库 | 爆破、注入、弱口令 |
27017/27018 | MongoDB | 爆破、未授权访问 |
6379 | Redis数据库 | 可尝试未授权访问、弱口令爆破 |
5000 | SysBase/DB2数据库 | 爆破、注入 |
●邮件服务端口如表1–6所示。
表1-6邮件服务端口
www.qianani.com
端口号 | 端口说明 | 攻击方向 |
25 | SMTP邮件服务 | 邮件伪造 |
110 | POP3协议 | 爆破、嗅探 |
143 | IMAP协议 | 爆破 |
端口号 | 端口说明 | 攻击方向 |
53 | DNS域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
67/68 | DHCP服务 | 劫持、欺骗 |
161 | SNMP协议 | 爆破、搜集目标内网信息 |
●特殊服务端口如表1-8所示。
表1-8特殊服务端口
端口号 | 端口说明 | 攻击方向 |
2181 | Zookeeper服务 | 未授权访问 |
8069 | Zabbix服务 | 远程执行、SQL注入 |
9200/9300 | Elasticsearch服务 | 远程执行 |
11211 | Memcache服务 | 未授权访问 |
512/513/514 | Linux Rexee服务 | 爆破、Rlogin登录 |
873 | Rsyne服务 | 匿名访问、文件上传 |
3690 | Svn服务 | Svn泄露、未授权访问 |
50000 | SAP Management Console | 远程执行 |