渗透之路 信息收集【第二篇】域名探测

DNS域传送漏洞

如果存在，不仅能搜集子域名，还能轻松找到一枚洞
dnsenum 域名

域名备案信息

探测方式

子域名探测

意义

子域名与主站可能同服务器或同网段，可直接对主站进行渗透

探测方式

工具字典**

subdomain layer

搜索引擎（建议google）

在线平台

爱站网 https://www.aizhan.com/cha/

SSL证书 https://myssl.com/ssl.html

手机站点

wap.xxx或m.xxx

手机站点不一定和主站是同一套程序(多数不同)，如果不同则是两个站点就有意义了

CDN识别与绕过

CDN识别

在线平台识别　　http://ping.chinaz.com

工具识别　　https://github.com/3xp10it/xcdn

原理：不同地区ping相同的服务器，看 ip是否一致

测试未使用cdn的站点

ask.mingren.online

测试使用了cdn的站点

www.baidu.com

获取真实IP

CDN：CDN的基本原理是广泛采用各种缓存服务器，将这些缓存服务器分布到用户访问相对集中的地区或网络中

CDN这个技术很难弄，特别是大中型网站的CDN节点多

1.修改本地hosts文件

强行将域名与IP解析对应，然后访问域名查看页面是否变化

2.ping

假设如下存在cdn ----> ping www.sysorem.xyz
可以尝试ping sysorem.xyz，很多厂商可能让www使用cdn，空域名不是有cdn缓存。
所以直接ping sysorem.xyz可能就能得到真实IP。

3.查询历史DNS记录

查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录，相关查询网站有

https://dnsdb.io/zh-cn

https://x.threatbook/zh-cn

https://viewdns.info

4.查询子域名

CDN价格不便宜，一般主站会采用CDN加速，很多小站点跟主站在同一台服务器或者同一个C段内，此时子域名的IP可能就是主站的IP

5.使用国外IP解析域名

国内很多CDN厂商因为各种原因只做了国内的线路，国外几乎没有

6.目标敏感文件泄露

也许目标服务器上泄露的敏感文件中会告诉我们网站的ip,如php程序的phpinfo

7.服务器合法服务主动连接我们

如RSS邮件订阅，很多网站自带sendmail会发邮件给我们，此时查看邮件源码就知道真实IP了