我们可以利用Google语法搜索子域名,例如要搜索百度旗下的子域名就可以使用“site:baidu.com” 语法,如图1-5所示。

Google

新闻购物地图

我料的31,400.000条结集(用B时0.17秒)

百度知道·全球最大中文互动问答平台

hitps/izhidaobaiducomv·

百度知遵是由全球器大的中交授索引掌百度自主研发,基于程据白身的需求。有针对性地球出间题:间时。这查省常又得作周求。

百度贴吧——全球最大的中文社区

htips/tetba,baidu.com/·

百度贴吧——金球最大的中文社区。贴吧的使杂是让志同道酸能精在地聚集大批同好网友,展示自我风采,结交知音,提录通世游戏,地区、文学、动漫、碳乐明星、生活、体育,电平台。它为人们提供一个表达

天空下载站_提供最新最安全的免费软件资濡

skygamebaiducom/·

天空下数站,得供里内外最新最安全的免费状件资源下数,牌广居,操色软件导松下载

百度新闻摆素——全球最大的中文新闻平台

newsbaidu.com/·

西度新成提积合海量出试的新成服务平台,真实反缺每时等案肠、人将动态、严品资讯等,快遵了解它们的最新进展。

百度百科_全球最大中文百科全书

nitps//baikebacucomv

百度百科是一部内容开放。自由的网培首科全书,据在创通一的由女析O 性西和全本,在位很位前以数与词态编通。分章革

图1-5用Google搜索子域名

3.第三方聚合应用枚举

很多第三方服务汇聚了大量DNS 数据集,可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名,就可检索到相关的域名信息,如图1-6所示。

Sibling DomainsO

download.androidapp.baidu.com

mhgdown.baidu.com

liulanqi.baidu.com

duclickbaidu.com

shawn.baidu.com

js.baidu.com

ir.baidu.com

a.gdown.baidu.com

pcfaster.baidu.com

top.baidu.com

product.baidu.com

caigou.baidu.com

chf.baidu.com

dl.p2sp.baidu.com

egdown.baidu.com

static.tieba.baidu.com

yuqing.baidu.com

91.gdown.baidu.com

m.gdown.baidu.com

shangqing.baidu.com

读者也可以利用DNSdumpster网站 (DNSdumpster.com – dns recon and research, find and lookup dns records)、DNS 侦查和搜索的工具挖掘出指定域潜藏的大量子域。

4.证书透明度公开日志枚举

证书透明度(Certificate Transparency,CT)是证书授权机构 (CA) 的一

个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

www.qianani.com

笔者推荐crt.sh:crt.sh | Certificate Search和censys:Exposure Management and Threat Hunting Solutions | Censys这两个网

站,下面展示了一个crt.sh进行子域名枚举的例子,如图1-7所示。

[crt.sh

Critsrtaldedey UKE

uWns

uun(n)t

is(n)

t

r

nOf

o(n)

is(A)

un(an)yiR

evn.oin fmait Cheiso Imnn Athrt

eu.olmLaoCheienLRALhm

uVnt.QQ aoLfais(n)aw( f)n

igheuo(Ch)

rso(Lsn)sAL

o(A)n(u)R

eva olm tmnit ceinfxnkAhrt

20170401

30170401

20170401

图1-7子域名枚举

此外,读者还可以利用一些在线网站查询子域名,如子域名爆破网站

(https:// phpinfo. me/domain ),IP反查绑定域名网站 (http://

dns.aizhan.com) 等。

1.4收集常用端口信息

在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务

器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透目标服务器。

所以在端口渗透信息的收集过程中,我们需要关注常见应用的默认端口和在端

口上运行的服务。最常见的扫描工具就是Nmap(具体的使用方法后续章节会详细介绍),无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具,如图1-8

所示。

御剑高速TCP端口扫描工具 — □×

开始IP: 结束IP: 超时/秒缓冲区

○全端口65535◎指定端口

指定湍口列表(格式用英文逗号隔开:80,8080,8090-8100)

21.22,23,25,53,69,80,81-69,110,135,139,143,443,445,465,993,995,1080,1158,1433,1521,1863,2100,312

开放满

常见的端口及说明,以及攻汇总如下。

文件共享端口如12所示。

表1-2文件共享服务端口

端口号

端口说明

攻击方向

21/22/69

Ftp/Tfp文件传输协议

允许匿名的上传、下载、爆破和嗅探操作

2049

Nfs服务

配置不当

139

Samba服务

爆破、未授权访问、远程代码执行

389

Ldap目录访问协议

注入、允许匿名访问、弱口令

远程连接服务端口如表1-3所示。

表1-3远程连接服务端口

端口号

端口说明

攻击方向

22

SSH远程连接

爆破、SSH隧道及内网代理转发、文件传输

23

Telnet远程连接

爆破、嗅探、弱口令

3389

Rdp远程桌而连接

Shift后门(需要Windows Server 2003以下的系统)、爆破

5900

VNC

弱口令爆破

5632

PyAnywhere服务

抓密码、代码执行

●Web应用服务端口如表1-4所示。

表1-4Web应用服务端口

端口号

端口说

攻击方向

80/443/8080

常见的Web服务端口

Web攻击、爆破、对应服务器版本漏洞

7001/7002

WebLogic控制台

Java反序列化、弱口令

8080/8089

Jboss/Resin/Jetty/Jenkins

反序列化、控制台弱口令

9090

WebSphere控制台

Java反序列化、弱口令

4848

GlassFish控制台

弱口令

1352

Lotus domino邮件服务

弱口令、信息泄露、爆破

10000

Webmin-Web控制面板

弱口令

数据库服务端口如表1-5所示。

表1-5数据库服务端口

端口号

端口说明

攻击方向

3306

MySQL

注入、提权、爆破

1433

MSSQL数据库

注入、提权、SA弱口令、爆破

1521

Oracle数据库

TNS爆破、注入、反弹Shel

5432

PostgreSOL数据库

爆破、注入、弱口令

27017/27018

MongoDB

爆破、未授权访问

6379

Redis数据库

可尝试未授权访问、弱口令爆破

5000

SysBase/DB2数据库

爆破、注入

邮件服端口如表16所示

表1-6邮件服务端口

www.qianani.com

端口号

端口说明

攻击方向

25

SMTP邮件服务

邮件伪造

110

POP3协议

爆破、嗅探

143

IMAP协议

爆破

端口号

端口说明

攻击方向

53

DNS域名系统

允许区域传送、DNS劫持、缓存投毒、欺骗

67/68

DHCP服务

劫持、欺骗

161

SNMP协议

爆破、搜集目标内网信息

特殊服务端口如表1-8所示。

表1-8特殊服务端口

端口号

端口说明

攻击方向

2181

Zookeeper服务

未授权访问

8069

Zabbix服务

远程执行、SQL注入

9200/9300

Elasticsearch服务

远程执行

11211

Memcache服务

未授权访问

512/513/514

Linux Rexee服务

爆破、Rlogin登录

873

Rsyne服务

匿名访问、文件上传

3690

Svn服务

Svn泄露、未授权访问

50000

SAP Management Console

远程执行