通過DNS和IP地址挖掘目標網絡信息
①whois 域名註冊信息查詢
whois 是一個用來查詢域名註冊信息的工具,一般的域名註冊信息會包含:域名所有者、服務商、管理員郵件地址、域名註冊日期和過期日期等。可以在MSF終端使用whois命令對域名註冊信息進行查詢,也可在Shell命令行使用whois進行查詢。
注:進行 whois 查詢時最好去掉www、ftp等前綴,這是由於機構在註冊域名時通常會註冊一個上層域名,其子域名由自身的域名服務器管理,在whois數據庫中可能查詢不到。
②nslookup 與 dig 域名查詢
nslookup 與 dig 兩個工具功能上類似,都可以查詢指定域名所對應的IP地址,所不同的是 dig 工具可以從該域名的官方DNS服務器或指定的某個DNS服務器上查詢到精確的權威解答;而nslookup只會得到DNS解析服務器保存在Cache中的非權威解答。
- nslookup:
使用set type=A
表示對後面輸入的域名進行IP地址解析,查詢結果顯示 baidu.com域名被解析至 220.181.57.216 和 123.125.115.110這兩個IP地址。
還可以使用set type=MX
來查找器郵件轉發(Mail Exchange)服務器。
有些DNS服務器開放了區域傳送,可以在 nslookup 中使用1s -d example.com
命令來查看其所有的DNS記錄,這些信息往往會暴露大量網絡的內部拓撲信息。
- dig
dig命令的使用更爲靈活,可以在 dig 中指定使用哪臺DNS解析服務器進行查詢,同時採用 dig 命令將會觸發DNS解析服務器向官方權威DNS服務器進行一次遞歸查詢,以獲得權威解答。其基本的使用方法爲:
dig @<DNS 服務器> <待查詢域名>
③IP2Location 地理位置查詢
IP2Location 是一種由IP地址查詢地理位置的方法。一些網站提供了IP到地理位置的查詢服務,如GeoIP。可以在 http://www.maxmind.com 網站上使用該服務。圖示是對 baidu.com 的IP地址123.125.115.110的查詢結果。
若想了解更詳細的地理位置信息,還可以根據結果中提供的經緯度進一步查詢。
若是查詢國內的IP地址,也可以在 http://www.cz88.com 進行查詢。
④netcraft 網站提供的信息查詢服務
大型網站會有很多子站點,爲了強調子站點的獨立性,一般的做法是在二級域名上設置子域名。將此類子域名枚舉出來,對了解網站總體架構、業務應用等非常有幫助。在 http://searchdns.netcraft.com ,在搜索字段中輸入 baidu.com ,單擊“lookup”按鈕後顯示查詢結果。
使用 netcraft 網站還能夠獲取一些關於網站和服務器更爲詳細的信息,如地理位置、域名服務器地址、服務器操作系統類型、服務器運行狀況等,在瀏覽器中輸入如下URL:http://toolbar.netcraft.com/site_report?url=http://www.baidu.com 進行查詢,通過修改 “url=” 後面的url路徑來查詢不同網站的信息。
⑤IP2Domain 反查域名
如果滲透目標網站是一臺虛擬主機,那麼通過IP反查到的域名信息往往很有價值,因爲一臺物理服務器上面可能運行多個虛擬主機,這些虛擬主機具有不同的域名,但通常公用一個IP地址。如果知道了有哪些網站共用這臺服務器,就有可能通過次胎服務器上其他網站的漏洞獲取服務器控制權,進而迂迴獲取滲透目標的權限,這種攻擊技術也稱爲“旁註”。
可以使用 http://s.tool.chinaz.com/same 提供的服務查詢有哪些域名共用一個IP地址。該網站也可進行其他的查詢,可自行探索。
通過搜索引擎進行信息蒐集
在利用DNS域名和IP地址查詢蒐集到目標網絡的相關位置和範圍信息後,下一步就可以針對這些目標進行信息探查和蒐集。目標網絡對外公開的Web網站通常是探查的起始點,而許多流行的搜索引擎提供了功能強大的在線Web網站信息高級搜索功能。
①Google Hacking 技術
Google中包含了互聯網上在線Web網站的海量數據,且提供了多種高級搜索功能。一些自動化的工具能夠使我們更方便地利用Google及其他搜索引擎進行信息蒐集,比如 SiteDigger 和 Search Diggity。
②探索網站的目錄結構
如果管理員允許,Web服務器會將沒有默認頁面的目錄以文件列表的方式顯示出來。而這些開放了瀏覽功能的網站目錄往往會透露一些網站可供瀏覽的頁面之外的信息。
可以在Google中輸入 parent directory site:testfire.net
來查找 testfire.net 上的此類目錄。
類似的工作也可以藉助Metasploit中的brute_dirs、dir_listing、dir_scanner等輔助模塊來完成,它們主要使用暴力猜解的方式工作,故不一定能夠猜解出全部的目錄。
③檢索特定類型的文件
一些缺乏安全意識的網站管理員爲了方便往往會將類似通訊錄、訂單等內容敏感的文件鏈接到網站上,可以在Google上針對此類文件進行查找。在Google中輸入 site:testfire.net filetype:xls
查詢網站 testfile.net 的 xls 文件。
關鍵字 | 說明 |
---|---|
site | 指定域名 |
intext | 正文中存在關鍵字的網頁 |
intitle | 標題中存在關鍵字的網頁 |
info | 一些基本信息 |
inurl | URL 中存在關鍵字的網頁 |
filetype | 搜索指定文件類型 |
參考:《Metasploit滲透測試魔鬼訓練營》