1、大纲

基本信息收集　　网站后台查找

域名查找　　　　整站分析

敏感目录　　　　Googlehacker

端口扫描　　　　URL采集

旁站C段　　　　信息分析

CDN绕过方法

2、域名信息

　　对应IP收集

　　　　相关域名对应IP 站长之家-->站长工具

　　　　nslookup（在cmd里面使用）

　　子域名收集

　　　　工具：layer、subDomainsBrute

　　whois（注册人）信息查询

　　　　根据已知域名反查。分析出此域名的注册人、邮箱、电话等等

　　　　工具：爱站网、站长工具、微步在线、site.ip138.com、searchdns.netcraft.com

　　　　区分：

　　　　主站：www.baudu.com

　　　　域名：baidu.com

　　　　主机头：www

　　　　子域名：bbs.baidu.com　　edu.baidu.com （查子域名是因为子域相对而言防御比较薄弱，攻下子域后可以提权等等得到主站）

3、敏感目录

　　收集方向：

　　　　robots.txt、后台目录、安装包（网站打包、备份的信息，tar.gz、1.rar/zip、beifen.rar/zip、www.rar/zip）、上传目录

　　　　MySQL接口（形式：phpmyadmin、pmd、pma、phadmin）、安装页面、phpinfo、编辑器、iis短文件

　　常用工具：

　　　　字典爆破>>御剑、dirbuster、wwwscan、IIS_shortname_scanner

　　　　蜘蛛爬行>>爬行菜刀、webrobot、burp

4、端口扫描

　　　21：FPT　　 3306：MySQL

　　　22：SSH　　 3389：Mstsc

　　　23：Telnet　 8080：Tomcat/jboss

　　　110：POP3　9090：webspere

　　　1433：sqlsever

　　常用工具：

　　　　nmap、portscan、ntscan、telnet

5、旁站C端

　　旁站：同服务器的其他站点

　　C段：同一网段的其他服务器

　　常用工具：

　　　　web>>k8旁站、御剑1.5

　　　　端口>>portscan

6、整站分析

　　采集URL的同类网站

　　　　e.g　　php?id=

　　　　　　漏洞网站

　　　　　　相同的某种指纹网站

　　常用工具：

　　　　googlehacker

　　　　URL采集器

7、后台查找

　　（1）、弱口令默认后台：admin、admin/login.asp、manage、login.asp、、、

　　（2）、查看网页链接：有些网站主页会有登录入口

　　（3）、查看网站图片属性

　　（4）、查看网站使用的管理系统

　　（5）、工具：wwwscan、intellitamper、御剑

　　（6）、robots.txt帮助文件

　　（7）、Googlehacker inurl:ewebeditor　　fckeditor　　readme.txt　　使用说明.txt　　yunsee--->查CMS

　　（8）、查看使用的编辑器是否有默认后台

　　（9）、短文件利用 a~!.asp

　　（10、sqlmap --sql-shell load_file('d:/wwwroot/index.php');

8、CDN绕过方法

　　什么是CDN：内容分发网络，为了加速网络（详细的可以查询百度）

　　如何判断有CDN（超级ping）　　爱站网、站长工具

　　（1）、查找二级域名

　　（2）、让服务器主动发包（发邮件，查看原邮件可以看到）

　　（3）、敏感文件泄露

　　（4）、查询历史解析ip

　　访问过cdn

　　　　修改hosts文件 把找到的真正ip在本地的hosts文件中修改替换掉

常见的漏洞分析工具

　　Nmap　　AWVS　　Appscan　　Burpsuite

　　Nstsparker　　Jsky　　Safe3wvs　　椰树　　M7Lrv

Nmap

　　主机探测　　端口扫描　　服务版本扫描

　　主句系统指纹识别　　密码破解　　漏洞探测

　　创建扫描脚本

　　主机探测（一）

　　　　探测主机

　　　　　　nmap 目标ip

　　　　扫描整个子网

　　　　　　nmap 192.168.1.1/24

　　　　多目标扫描

　　　　　　nmap ip1 ip2

　　　　范围扫描

　　　　　　nmap 192.168.1.1-100

　　　　也可将要扫描的所有ip放在一个txt文件中

　　　　　　nmap iL target.txt

　　　主机探测（二）

　　　　只看主机列表

　　　　　　namp -sL 192.168.1.1/24

　　　　扫描处一个ip外的所有子网主机

　　　　　　nmap 192.168.1.1/24 -exclude 192.168.1.1

　　　　扫描除过某一个文件中包含的ip之外的所以子网主机

　　　　　　nmap 192.168.1.1/24 excludefile 123.txt

　　端口扫描

　　　　常用命令

　　　　　　nmap -F -sT -v nmap.org

　　　　　　-F 扫描100个常用最有可能开放的端口的情况

　　　　　　-v 获取扫描的信息

　　　　　　-sT 采用TCP扫描（默认的，不加也可以的）

　　　　　　-p 指定要监测的端口

　　　　扫描端口的状态

　　　　　　open 端口开启，数据到达主机，有程序在端口上监听

　　　　　　closed 端口关闭，数据到达主机，无程序在端口上监听

　　　　　　Filtered 数据没到达主句，返回为空，数据被防火墙或IDS过滤

　　　　　　UnFiltered 数据到达主机，但不能识别端口的状态

　　　　　　Open|Filered 端口的返回值，主要发生在DDP、IP、FIN、NOLL和Xmas扫描中

　　　　TCP扫描（-sT）

　　　　　　最普通的扫描方法

　　　　　　特点：速度快，准确性高，对操作者没有权限上的限制，但容易被防火墙、IDS（防入侵检测）发现过滤。

　　　　　　原理：TCP三次握手

　　　　SYS扫描（-sS）

　　　　　　特点：速度快

　　　　　　是秘密建立扫描的方式之一，没有形成三次握手，所以没有建立一个正常的TCP连接，所以防火墙和日志不会记录，但要root权限/Windows最高权限

　　　　端口扫描（速度快，但是会别拦截）

　　　　　　使用UDP ping探测主机

　　　　　　　　nmap -PU 192.168.1.0/24

　　　　　　服务版本探测

　　　　　　　　nmap -sV 192.168.1.1

　　　　　　精准的确认端口上运行的额服务

　　　　　　　　nmap -sV --script unusual-port 192.168.1.1

　　探测目的系统

　　　　nmap -O 192.168.1.19

　　　　nmap -A 192.168.1.19

　　　　-oN 导出扫描结果txt格式

　　　　-oX 导出扫描结果xml格式

　　　　nmap -O 192.168.1.19 -oN c:\123.txt

　　密码破解

　　　　暴力破解VNC

　　　　　　nmap --script vnc-brute --script-args .........

　　　　破解telnet

　　　　　　namp -p 23 --script telnet-brute --script-args ..........

　　　　ftp弱口令爆破

　　　　　　nmap --script ftp-brute --script-args ........

　　漏洞扫描

　　　　HTTP.sys 远程代码执行

　　　　　　nmap -sV --script http-vuln-cve2015-1635 192.168.1.1

　　　　IIS短文件泄露

　　　　　　nmap -p 8080 --script http-iis-short-name-brute 192.168.1.1

　　　　拒绝访问

　　　　　　nmap --max-parallelism 800--script http-slowloris www.cracer.com

　　　　验证http中开启了put方法

　　　　　　nmap --script http=put --script-args http-put.url=/uploads/testput.txt,http-put.file=/root/put.txt 219.19.122.17

　　　　验证MySQL匿名访问

　　　　　　nmap --script mysql-empty-password 203.195.139.153

　　　　防火墙躲避绕过

　　　　　　-f 分片绕过

　　　　　　-D 使用诱饵隐蔽扫描

　　　　　　nmap -D 1.1.1.1,222.222.222.222 www.cracer.com --source-port 源端口欺骗

　　AWVS

　　　　通过网络爬虫测试网络安全

　　　　常用功能

　　　　　　网站爬行　　http编辑　　漏洞扫描　　http嗅探　　

　　　　　　脚本发现　　http模糊测试　　子域名扫描　　认证测试　　网络服务扫描器