第一步:web端信息收集
确定目标真实ip
倘若没有cdn,直接nslookup -type=a www.example.com即可得到真实ip。若nslookup查询到的ip有两个或者以上,则代表目标主机有cdn。
绕过cdn的常见方式:
1.查看域名绑定ip的历史记录。
2.查询子域名的ip并分析。
3.利用网络空间引擎搜索,常见的有以前的钟馗之眼,shodan,fofa搜索。以fofa为例,只需输入:title:“网站的title关键字”或者body:“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名,很多时候能获取网站的真实ip。
4.利用SSL证书寻找真实原始IP。
5.利用邮件。
注册信息查询
whois得到域名注册信息,目的是生成关联的社工密码。
子域名查询
本地脚本
fierce -dns example.com -wordlist list.txt 子域名破解
layer子域名挖掘机
sublister
oneforall.py --target example.com
在线工具
https://phpinfo.me/domain/
https://dnsdb.io/zh-cn/search?q=cuit.edu.cn
子域名查询:https://searchdns.netcraft.com/
googlehacking
子域名查询 site:cuit.edu.cn
特定文件查询 site:cuit.edu.cn filetype: word/xls/pdf等
搜索url中存在login的网页:site:cuit.edu.cn inurl:login
ip地址反查询
https://dns.aizhan.com/210.41.225.3/
敏感目录查询搜索网站目录
御剑
dirsearch.py
msf的dir_scanner模块
dirb http://123.123.123.123
站点防火墙识别
nmap www.baidu.com --script=http-waf-detect.nse -Pn
wafw00f www.baidu.com
第二步:主机端信息收集
确定web端相关信息后,需要对目标主机进行信息收集,主要收集操作系统版本、端口、服务信息。
七层网络模型:物理 数据链路 网络 传输 会话层 表示层 应用层
1.主机发现 :发现网络中存活的主机
nmap使用时尽量加-Pn,这样子在主机没有回包的时候,也能继续进行端口扫描而不是直接认为主机不存活(当有防火墙时比较好用)。
二层(局域网):arp扫描 Nmap -PR 111.111.111.111
三层(可路由,易被过滤):ping扫描 基于icmp协议,icmp跟ip两个部分合在一起成为一个icmp的ping包 ,也可以用
nmap -sn 111.111.111.111/24 # ping 扫描
fping -g 111.111.111.111/24 -c 3
四层(不容易被过滤,速度慢,主机发现的时候也会带端口):
tcp:
直接发送ack包,对方若返回rst包则对方主机存在。
直接发送syn包,对方返回ack+syn,对方主机存在,此时自己再发送一个rst包关闭连接,对方主机上不会有记录。
nmap -PS -sn 192.168.199.244 -Pn
nmap -PS -sn -iL 1.txt -Pn
udp:
不可信扫描,凭借icmp port——unreachable包,响应代表端口关闭
nmap -PS/PA/PU/PY 1.1.1.1 -Pn
2.端口扫描:识别开放端口
tcp:syn/ack/全连接扫描,原理同上
udp:不可信扫描,凭借icmp port——unreachable包,响应代表端口关闭
nmap -sT/S/A/W/N/F/X 192.168.199.244
3.服务识别:端口上分别运行着什么样的服务
nmap -sV ip
4.操作系统识别
第一种通过TTL值来确定,这个不怎么准确,仅供参考:
1、WINDOWS NT/2000 TTL:128
2、WINDOWS 95/98 TTL:32
3、UNIX TTL:255
4、LINUX TTL:64
5、WIN7 TTL:64
第二种方法:可以用nmap -O 来查询
第三步:批量漏洞扫描
使用各种自动化扫描器进行批量漏洞扫描
这里推荐几个工具:
goby
xray
第四步:漏洞利用
利用漏洞获取系统权限
第五步:权限维持
稳定住当前权限方便后续信息收集。
第六步:后渗透信息收集
获取足够信息以便后面进行横向移动。
第七步:横向纵向移动
横向移动扩大战果,进行进一步信息收集。
第八步:痕迹清理
结束渗透,清理日志文件等。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
