搜索引擎枚举

我们可以利用Google语法搜索子域名，例如要搜索百度旗下的子域名就可以使用“site:baidu.com” 语法，如图1-5所示。

Google

新闻购物地图

我料的31,400.000条结集(用B时0.17秒)

百度知道全球最大中文互动问答平台

hitps/izhidaobaiducomv

百度知遵是由全球器大的中交授索引掌百度自主研发，基于程据白身的需求。有针对性地球出间题：间时。这查省常又得作周求。

百度贴吧——全球最大的中文社区

htips/tetba,baidu.com/

百度贴吧——金球最大的中文社区。贴吧的使杂是让志同道酸能精在地聚集大批同好网友，展示自我风采，结交知音，提录通世游戏，地区、文学、动漫、碳乐明星、生活、体育，电平台。它为人们提供一个表达

天空下载站_提供最新最安全的免费软件资濡

skygamebaiducom/

天空下数站，得供里内外最新最安全的免费状件资源下数，牌广居，操色软件导松下载

百度新闻摆素——全球最大的中文新闻平台

newsbaidu.com/

西度新成提积合海量出试的新成服务平台，真实反缺每时等案肠、人将动态、严品资讯等，快遵了解它们的最新进展。

百度百科_全球最大中文百科全书

nitps//baikebacucomv

百度百科是一部内容开放。自由的网培首科全书，据在创通一的由女析O 性西和全本，在位很位前以数与词态编通。分章革

图1-5用Google搜索子域名

3.第三方聚合应用枚举

很多第三方服务汇聚了大量DNS 数据集，可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名，就可检索到相关的域名信息，如图1-6所示。

Sibling DomainsO

download.androidapp.baidu.com

mhgdown.baidu.com

liulanqi.baidu.com

duclickbaidu.com

shawn.baidu.com

js.baidu.com

ir.baidu.com

a.gdown.baidu.com

pcfaster.baidu.com

top.baidu.com

product.baidu.com

caigou.baidu.com

chf.baidu.com

dl.p2sp.baidu.com

egdown.baidu.com

static.tieba.baidu.com

yuqing.baidu.com

91.gdown.baidu.com

m.gdown.baidu.com

shangqing.baidu.com

读者也可以利用DNSdumpster网站 (DNSdumpster.com – dns recon and research, find and lookup dns records)、DNS 侦查和搜索的工具挖掘出指定域潜藏的大量子域。

4.证书透明度公开日志枚举

证书透明度(Certificate Transparency,CT)是证书授权机构 (CA) 的一

个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

www.qianani.com

笔者推荐crt.sh:crt.sh | Certificate Search和censys:Exposure Management and Threat Hunting Solutions | Censys这两个网

站，下面展示了一个crt.sh进行子域名枚举的例子，如图1-7所示。

[crt.sh

Critsrtaldedey UKE

uWns

uun(n)t

is(n)

t

r

nOf

o(n)

is(A)

un(an)yiR

evn.oin fmait Cheiso Imnn Athrt

eu.olmLaoCheienLRALhm

uVnt.QQ aoLfais(n)aw( f)n

igheuo(Ch)

rso(Lsn)sAL

o(A)n(u)R

eva olm tmnit ceinfxnkAhrt

20170401

30170401

20170401

图1-7子域名枚举

此外服务器托管网，读者还可以利用一些在线网站查询子域名，如子域名爆破网站

(https:// phpinfo. me/domain ),IP反查绑定域名网站 (http://

dns.aizhan.com) 等。

1.4收集常用端口信息

在渗透测试的过程中，对端口信息的收集是一个很重要的过程，通过扫描服务

器开放的端口以及从该端口判断服务器上存在的服务，就可以对症下药，便于我们渗透目标服务器。

所以在端口渗透信息的收集过程中，我们需要关注常见应用的默认端口和在端

口上运行的服务。最常见的扫描工具就是Nmap(具体的使用方法后续章节会详细介绍),无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具，如图1-8

所示。

御剑高速TCP端口扫描工具 — □

开始IP: 结束IP: 超时/秒缓冲区

○全端口65535◎指定端口

指定湍口列表(格式用英文逗号隔开：80,8080,8090-8100)

21.22,23,25,53,69,80,81-69,110,135,139,143,443,445,465,993,995,1080,1158,1433,1521,1863,2100,312
开放满	口

常见的端口及其说明，以及攻击方向汇总如下。

●文件共享服务端口如表1–2所示。

表1-2文件共享服务端口

端口号	端口说明	攻击方向
21/22/69	Ftp/Tfp文件传输协议	允许匿名的上传、下载、爆破和嗅探操作
2049	Nfs服务	配置不当
139	Samba服务	爆破、未授权访问、远程代码执行
389	Ldap目录访问协议	注入、允许匿名访问、弱口令

●远程连接服务端口如表1-3所示。

表1-3远程连接服务端口

端口号	端口说明	攻击方向
22	SSH远程连接	爆破、SSH隧道及内网代理转发、文件传输
23	Telnet远程连接	爆破、嗅探、弱口令
3389	Rdp远程桌而连接	Shift后门(需要Windows Server 2003以下的系统)、爆破
5900	VNC	弱口令爆破
5632	PyAnywhere服务	抓密码、代码执行

●Web应用服务端口如表1-4所示。

表1-4Web应用服务端口

端口号	端口说	攻击方向
80/443/8080	常见的Web服务端口	Web攻击、爆破、对应服务器版本漏洞
7001/7002	WebLogic控制台	Java反序列化、弱口令
8080/8089	Jboss/Resin/Jetty/Jenkins	反序列化、控制台弱口令
9090	WebSphere控制台	Java反序列化、弱口令
4848	GlassFish控制台	弱口令
1352	Lotus domino邮件服务	弱口令、信息泄露、爆破
10000	Webmin-Web控制面板	弱口令

●数据库服务端口如表1-5所示。

表1-5数据库服务端口

端口号	端口说明	攻击方向
3306	MySQL	注入、提权、爆破
1433	MSSQL数据库	注入、提权、SA弱口令、爆破
1521	Oracle数据库	TNS爆破、注入、反弹Shel
5432	PostgreSOL数据库	爆破、注入、弱口令
27017/27018	MongoDB	爆破、未授权访问
6379	Redis数据库	可尝试未授权访问、弱口令爆破
5000	SysBase/DB2数据库	爆破、注入

●邮件服务端口如表1–6所示。

表1-6邮件服务端口