查询图片信息
Foca软件
命令行:exiltool
查询图片信息
Foca软件
命令行:exiltool
拿到目标服务器里面所有主机目标
区域传输 当一个主机记录在一台fns服务器里面修改 发生在dns的服务器之间的信息同步的过程
区域传输只发生在本域域名服务器区间 但配置失误 任何人 都可以拿到主机记录下的名称 对应的ip地址
ns 原本基于udp的53端传输 做区域传输的是tcp53(udp)都是ns 服务端口 tcp是是区域传输
host 也可以实现这个目的
info 帮助手册
host -l -t 域名 +ns域名服务器
思路: 知道所有的主机记录 cname 和ns 可以知道这家公司在网上出现啦那些主机+主机上跑的服务+主动的扫描 进行渗透攻击
dns 最主要的目的 就是dns 主机记录收集 子域
不容许dns 区域传输 通过字典爆破 匹配得到
dpkg debin 里面包管理程序 -l 显示生成的包文件
srv 域 服务资源纪录 比较特殊纪录 srv 作为域里面资源标记的记录
查看·pa
dns 主机记录 + 注册
kali 会查多个不同地区的whois
whois ——域名
域名注册通过isp的注册 不必要留下大量的地址
域名 一定要区分·是运营商留下的信息 还是·渗透目标的
域名与FQDN的区别
FQDN = hostname + domianname
Google +支付-宝、 intitle:、intext:、site:、inurl:、filetype:、
DNS信息收集--DIG
例:nslookup sina.com -type=any 8.8.8.8
例:dig sina.com any @ 8.8.8.8
不同的DNS服务器的查询结果不同
例:dig mail.163.com any
+noall 屏蔽所有结果
+answer 显示查询结果
例:dig +noall +answer mail.163.com any | awk {'print $5'}
-x 参数实现反向查询
通过搜索引擎可以找到以前公司的文档
谷歌 百度 binyin 在网上爬的是网站 是网页 是页面信息 把这些页面信息储存在数据库里面 有人搜索检索
shodan爬网络设备 几乎可以发现全世界所有联网的设备 找到一匹共性的设备 官网查看默认密码 可能获取
通过搜索 可以得到公司机密文档 公司拓步 组织架构 公司内部所有人的分机号 甚至是账号密码
搜索引擎 爬虫小机器人
思路 :通过搜索引擎甚至可以直接搜索到目标系统的漏洞 或者机密信息泄露 直接拿到目标系统的使用权
通过banner信息可以得到目标系统软硬件的技术架构是apche 还是Tomcat 还是php 或者是操作系统的类型
物理网 : 连上Internet 经常默认密码
攻击思路 :确定子域的主机名 子域名 把这些子域名 主机名 都解析成为ip地址 去shodan上搜索
看有没有爬到这些设备 甚至是他们一些网段 c类网段 还有其他类存在的主机 shodan替我们扫描 我们只是与shodan交互查看是否
申请账号
net参数: +ip地址 同一个c类地址段的其他所有的主机都开放那些端口 shodan之前爬过的信息
country:cn+ city:+物理地址 所有中国的 shodan爬到的显示出来 过滤
去物理地址 无线渗透
country:cn+ city:+物理地址 +port: 端口 所有22开放的端口 22端口 服务器或者是网络设备
进去 之后 以物理设备作为跳板进行内部渗透
pptp vpn windows 操作系统做的vpn
os :"操作系统
hostname:"域名"可以查看已经爬过的信息
返回是200的的页面 cisco设备 地区jp
200 ok cisco country:jp
linux upnp avtech 自己发挥
创建思路 登陆成功有特殊字符字段
虚拟机硬盘加密
kvm 是linux 半虚拟化 性能加速
信息收集内容
1、IP地址
2、域名信息
3、邮件地址
4、文档图片数据
5、公司地址
6、公司组织架构
7、联系电话/传真人员姓名/职务
8、目标系统使用的技术构架
信息用途
1、用信息描述目标
2、发现
3、社会工程学攻击
4、物理缺口
域名解析过程
第一步:客户机提出域名解析请求,并将该请求发送给本地的域名服务器。
第二步:当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。
第三步:如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。
第四步:本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。
第五步:重复第四步,直到找到正确的纪录。
第六步:本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回
被动信息收集主要是通过间接的方式,从搜索目标主机、网站在网上相应的注册信息等来获取相应的信息,具体的方法有很多,下面就记录几种。
set type=< a | cn | mx | ns | ptr | any >
type可用q等直接替代
server参数改变域名服务器
另查看本机域名服务器:cat /etc/resolv.conf
nslookup -q=any <域名> <域名服务器>(可用直接指明使用指定的域名服务器)
dig <域名> any @<域名服务器>
+noall +answer显示最终的查询结果
-x参数,反向域名查询
可以查询DNS服务器的bind版本,为了查询该服务器的漏洞:
dig +noall +answer txt chaos VERSION.BIND @<域名>
bind对应的类是chaos类,对应的记录类型是txt,
DNS追踪(对域名进行迭代查询):
dig +trace 域名
host -T -l 1.com ns1.1.com
-T显示时间,-l参数进行axfr的全局传输
dig @ns1.1.com 1.com axfr
fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt
查看fierce命令的文件包生成的文件,并在其中找到相应的字典文件:
dpkg -L fierce
dnsdict6 -d4 -t 16 -x sina.com
-t指定线程数、默认为8,-x指定使用xl(加大)级别的字典,-d显示IPv6的地址,-4显示IPv4的地址
whois命令:
whois baidu.com
什么是字典爆破呢?
就是用大量的数据去一个一个尝试出正确的数据或你想得到的数据。
密码字典里存放的是密码,
而DNS字典里存放的是大量的域名记录: bbs. www. mail. 数十乃至数万个。
我们用这个字典去进行DNS查询,
如果有,那么服务器就会返回其域里的这台主机记录。
当你的字典足够大,我们就可以获取目标域的所有主机记录。
Kali虽然内置了多条爆破指令,却没有内置字典,所以需要你自己生成或收集。
命令:
这个命令速度非常快,并且支持超时时间
dnsrecon -d 目标域名 [-n 域名服务器] [--lifetime 超时秒数] [--threads 线程数] [-t brt|std] [-D 字典文件]
dnsrecon -d baidu.com -t brt --threads 32 --lifetime 5 -D /usr/share/dnsrecon/namelist.txt; [*] Performing General Enumeration of Domain: baidu.com [*] Checking for Zone Transfer for baidu.com name servers [*] Resolving SOA Record [+] SOA dns.baidu.com 202.108.22.220 [*] Resolving NS Records [*] NS Servers found: [*] NS dns.baidu.com 202.108.22.220 [*] NS ns4.baidu.com 220.181.38.10 [*] NS ns7.baidu.com 180.76.76.92 [*] NS ns3.baidu.com 220.181.37.10 [*] NS ns2.baidu.com 61.135.165.235 [*] Removing any duplicate NS server IP Addresses .........
并发搜索:theharvester –d domainname –l number –b google
使用ghdb学习搜索技巧
MALTEGO:图形化的查询界面
nclookup : 解析DNS的详细过程
CUPP可根据个人信息形成各种密码表
DNS解析:
域名记录:A. C name. nameserver. mx. ptr.(反向解析)
递归查询:本地主机到本地缓存DNS
迭代查询 1.本地dns到根域 2.到com域3.到新浪.com域
nslookup 域名查询
set type(简写成q)=a 只查A记录
///////////////////////
编辑网卡配置文件 vi /etc/network/interfaces
dhcp启动 dhclient eth0
add os 添加1主机
chmod 安装软件