老域名挖掘工具(老域名交易平台)

187关于渗透测试的信息收集相信大家在网上应该也看到很多。这里讲讲作为小白的我是如何利用工具进行信息收集的。毕竟对于我们这种菜鸟而言，工具的准确度还是比我们自己用谷歌语法,FOFA找的要高。

信息收集是渗透测试的本质。只要收集目标网站的信息越多，越有可能找到漏洞出来。

目录:

0x00:前言

0x01:网站基本信息查询

0x02:WEB信息探测

0x03:利用工具/在线网站进行子域名挖掘

0x04:资产收集

0x05:端口扫描

0x06:后台扫描

0x07:自动化挖掘漏洞

0x01:网站基本信息查询

当拿到一个网站的URL的时候第一步先尽量进行网站信息查询。这里推荐几个网站，第一个是站长工具。强推站长工具。准确度比爱站稍高一点。主要用到的是whois查询，邮箱反查和超级PING。接下来逐一介绍。

 

这里我从网上随便找一个个人博客的URL输进去。可以看到一些基础信息。

 

然后点击联系人里面的whois反查,可以看到他还拥有另外一个网站。邮箱反查也是另外一个类似的功能。

 

而超级PING，主要用来检测网站是否存在CDN(一种保护机制隐藏真实IP)。进入站长工具里面选择PING检测。把刚才的URL也顺便放进去

 

然后拉到下面。如果不同的监测点和响应IP相同的话证明无CDN保护为真实IP。如果不一样可能要考虑用国外的网站PING一波。

 

绕过CDN

这里再讲讲绕过CDN查询真实IP的方法。因为有时候你查的并不一定是真实IP，可能会对后面的目录扫描，端口探测造成一定的影响。所以需要一波简单的绕过查找出真实的IP出来。

这里拿一个CTF的网站做为例子

 

首先我们要检查有没有CDN的存在我们需要波超级PING检测，我们进入站长工具的PING检测模式

 

然后往下拉的时候发现响应IP都是五花八门的几乎不重复。遇到这种情况基本可以确定有CDN的保护。

 

那这里推荐一些小方法比如说用PING大法打开我们的CMD输入PING一波尝试一下，一般对这种是没有限制会显露出真实IP

 

第二种是用子域名爆破方法，看看其下的其它域名对应的IP是什么，从而确认其真实IP出来这里我直接上来Layer子域名挖掘机可以看到跑出的域名跟PING的一样

 

如何验证是真实IP呢?我这里直接打开kali的Legion 把域名和PING得到的IP加入进去

 

没过一会直接合在一起了。基本可以确定这个网站的真实IP是这个

 

0x02:WEB信息探测

查询完网站基本的信息以后,我们可能想知道该网站是自己写的框架还是用了别人的CMS。所以就需要用到一些在线网站或者工具来帮助我们识别。这里还是推荐TScanhttps://scan.top15.cn/web/ nmap,和whatweb也不是不可以但是一些有防护的网站，你一个nmap过去别人防火墙反手就把你给封了。毕竟不像靶机一样任由你搞破坏。所以需要这么一个网站帮我们去探索信息。

 

该网站基本功能还是比较多的。但真正实用的还是基础信息。可以提供是否存在WAF。还有基本的CMS判断比如说这个网站有WAF用的是word press的CMS

 

或者是靶机之主vulnhub的站存在 cloudFlare。这种网站就不是我等咸鱼能挖漏洞的地方了。。。

 

0x03:利用工具/在线网站进行子域名收集

一般来讲大型的网站都会有根域名和子域名。根域名一般为xxx.com,只有一个.点的被称为根域名。而子域名一般是qq.abc.com具有两个·这样子的。注意qq这里可以是dc/qwe/各种称呼都可以。只要带有两个.或以上的就是子域名了。每个子域名对应不同的网站。

关于子域名挖掘工具这里推荐两款一个是Layer子域名挖掘机，subdomain brute。

这里我强推Layer子域名挖掘机。目前最新版本为5.0,当然你也可以用layer4.0的其实区别不大。Layer子域名挖掘机由于自带一个10M大的字典遥遥领先其它子域名爆破机器。同时由于是exe文件所以建议直接在windows下运行比较方便。而且自带一个DNS可以不用被屏蔽的那么惨。

 

用法也是比较简单的只需要输入域名即可，当然这里的域名不是直接把浏览器的URL直接复制下来。这里我举个例子。比如说有个大学的URL是这样的http://xxx.edu.xx 那么我们需要复制下来的是xxx.edu.xx就可以了。(由于这种子域名挖掘机本质上就算加载本字典匹配子域名是否有回应)

这里测试了下某个国外的edu网站很快啊,半个小时不到就收集了120多个URL。

 

第二个推荐的子域名工具收集是subdomain brute。Subdomain brute是lijiejie这位大佬写的。最新版的可以支持python3.5+,适用于2019-2020版的kali进行使用。

语法也比较简单,当然可能会发现为啥subdomainbrute 挖的那么少。因为它自带的字典太少了。。。。只有496KB。而Layer子域名挖掘机自带的字典有10M。字典的大小决定了能挖多少出来。

命令:python subDomainsBrute.py +域名 + -f 字典名 + -o 输出的名字

 

也可以考虑把Layer的字典放到kali里面。因为输出是文本格式方便一点。

 

C段/旁段

然后再推荐一下一款C段/旁段的在线扫描器The Web of WebScan一般只需要输入IP和域名。一般推荐在线为主。如果使用工具A过去可能反手就被人BAN了。所以最好用在线工具来侦察一波。

 

这里随机抽取了一个大学的网站输入进去可以看到有很多的站点是在用这个IP。。。。当然这个例子可能举得不是很好因为可能存在CDN保护。。。

 

在线子域名查询

这里推荐一个在线的子域名查询网站别天神 神速子域名查询在线网站。

 

把URL输入进去以后自动跑跑出来的子域名还不错。大概是在Layer子域名挖掘机之下，sub domain brute 之上。

 

0x04:资产收集

关于网站的资产收集和监听这里推荐使用Goby资产收集，使用方法比较简单点击scan以后添加指定URL。

 

当然Goby的灵魂在于其插件。不安装插件的Goby是不完整的。推荐一些比较好的插件。如FOFA, Subdomain Brute还有MSF。

 

这里随机抓取了一个网站做为测试输入URL以后会进行自动的爬虫和子域名爆破这些

 

等扫完以后会自动排序好，看的非常舒服，非常好用

 

0x05:端口扫描Autorecon

每台主机都可以开启不同的端口服务提供给其它主机进行访问。比如说浏览器输入http或者是https的一般是80和443端口，这里在网上找了一些常见的端口服务等。

 

这里介绍一下一款端口扫描工具autorecon,命令很简单扫描挺快的。建议下载好以后拖到2019，2020 kali下以python3.x环境执行方便点。运行方式为python3 autorecon.py + IP就行了。

 

由于autorecon还会顺带运行Nikto等其它探测所以时间一般为10分钟-1小时不等。可以玩会手机。然后去autorecon/src/IP/result/scan那里看full_nmap.txt报告一般是这样的。由于对于我们这群菜鸟而言,-A -sS -sV 太难记了让autorecon自己帮我们跑吧。

 

0x06:后台扫描

还有一个是后台探测。后台探测也是个比较经典的东西，这里推荐两款工具分别是dirbuster和dirb，都是在kali自带的。比较方便

Dirb的使用方法比较简单直接dirb + URL,当然也是推荐big.txt的字典比较好扫出来的。

 

另外一个后台扫描器是dirbuster,只需要输入IP地址然后就会跑开放的端口。字典最好加载medium这个是最多的。而File extension这里可以自定义，比如PHP/txt/html/js等等这些常见的文件后缀名

 

然后就可以慢慢去看结果了

 

谷歌语法找后台

还有一种找后台的方法就是利用谷歌语法去找

0x07:自动化挖掘漏洞

虽然前面介绍了很多信息收集的知识。但是对于工具党而言。我们需要的是如何收集完URL以后发现漏洞呢?这里就推荐一下自动化挖掘漏洞的方法了。比如说神器FOFA+XRAY。

 

首先需要一个FOFA账号去到个人中心那里复制一下邮箱和KEY

 

然后去到f2Xconfig.yaml那里在邮箱和key填入自己的信息，固定查询语句要根据国家代码缩写而改。然后targetList那里输入自己的目标URL。

 

在同目录下用CMD一个fofa2xray.exe运行就开始跑了，然后就会在同目录下创建报告

然后再说一下准确性的问题，随机抽了5个大学去跑，咋说呢，毕竟是漏扫而且由于是免费白嫖怪所以准确率并不高,可以跑出PHP版本信息

 

数据库信息泄露漏洞直接把账号密码端口重要信息直接暴露出来

 

或者是一些XSS payload。毕竟是漏扫要求也不能太高

随着越来越多的优质域名被注册，购买旧域名可能也是一个很不错的选择，但是有些旧域名有时会在搜索引擎的表现很不好，导致不收录或者是只收录一点点。现在的域名交易平台也有很多，比如阿里云、易名、中介网、怀米网等，这些都是比较权威的一些域名交易品牌，交易安全有保障。那么我们在购买老域名时除了服务商外还要注意什么？

1、域名名称

域名的名称是我们在选择时最主要的决定因素，想要网站在之后的发展中具有良好的品牌效应，就必须要选择一个好的域名名称。好的域名名称不仅要紧扣主题，而且要易于被人们记住。通常好的域名会被人提前抢走，这时我们不妨试试拼音+首字母的方式取域名，这样既可以突出网站的功能，也可以缩短域名长度方便记忆。

2、域名年龄

搜索引擎更加喜欢有年头的域名，因此相对于新的域名而言，旧域名是更具有优势、更加容易被收录的。搜索引擎会认为域名存在的时间越长，站长对于该域名下的网站管理的时间就越久，因此会对这个网站更加的信任。

3、PR值

PR值虽然是谷歌提出的概念，但是其在中国已经深入站长心底，大家都知道PR7以上的网站价值不能单纯用金钱去衡量，优质PR域名可以保证自己网站在日后经营中无论是链接交换还是收录中都更加有优势，因此我们在购买旧域名时也要参考PR值。

4、流量

有一些旧域名已经建过网站并有少量的流量，只是可能还没有获得收入。但这样的域名也是值得入手的，因为接手这类域名可以将原有流量转化为自己的潜在客户，或者增加更多的初期人气，对于网站的宣传也是有好处的。