搜索引擎枚举

我们可以利用Google 语法搜索子域名，例如要搜索百度旗下的子域名就可以使用 “site:baidu.com” 语法，如图1-5所示。

Google

新闻购物地图

我料的31,400.000条结集(用B时0.17秒)

百度知道·全球最大中文互动问答平台

hitps /izhidao baidu comv ·

百度知遵是由全球器大的中交授索引掌百度自主研发，基于程据白身的需求。有针对性地球出间题：间时。这查省常又得作周求。

百度贴吧——全球最大的中文社区

htips /tetba,baidu.com/ ·

百度贴吧——金球最大的中文社区。贴吧的使杂是让志同道酸能精在地聚集大批同好网友，展示自我风采，结交知音，提录通世游戏，地区、文学、动漫、碳乐明星、生活、体育，电平台。它为人们提供一个表达

天空下载站_提供最新最安全的免费软件资濡

skygame baidu com/ ·

天空下数站，得供里内外最新最安全的免费状件资源下数，牌广居，操色软件导松下载

百度新闻摆素——全球最大的中文新闻平台

news baidu.com/ ·

西度新成提积合海量出试的新成服务平台，真实反缺每时等案肠、人将动态、严品资讯等，快遵了解它们的最新进展。

百度百科_全球最大中文百科全书

nitps //baike bacu comv

百度百科是一部内容开放。自由的网培首科全书，据在创通一的由女析O 性西和全本，在位很位前以数与词态编通。分章革

图1-5用Google 搜索子域名

3.第三方聚合应用枚举

很多第三方服务汇聚了大量DNS 数据集，可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名，就可检索到相关的域名信息，如图1-6所示。

Sibling DomainsO

download.androidapp.baidu.com

mhgdown.baidu.com

liulanqi.baidu.com

duclickbaidu.com

shawn.baidu.com

js.baidu.com

ir.baidu.com

a.gdown.baidu.com

pcfaster.baidu.com

top.baidu.com

product.baidu.com

caigou.baidu.com

chf.baidu.com

dl.p2sp.baidu.com

egdown.baidu.com

static.tieba.baidu.com

yuqing.baidu.com

91.gdown.baidu.com

m.gdown.baidu.com

shangqing.baidu.com

读者也可以利用DNSdumpster 网站 (DNSdumpster.com - dns recon and research, find and lookup dns records)、 DNS 侦查和搜索的工具挖掘出指定域潜藏的大量子域。

4.证书透明度公开日志枚举

证书透明度 (Certificate Transparency,CT) 是证书授权机构 (CA) 的一

个项目，证书授权机构会将每个SSL/TLS 证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

www.qianani.com

笔者推荐crt.sh:crt.sh | Certificate Search 和censys:Exposure Management and Threat Hunting Solutions | Censys 这两个网

站，下面展示了一个crt.sh进行子域名枚举的例子，如图1-7所示。

[crt.sh

Critsrta ldedey UKE

uWns

uun(n)t

is(n)

nOf

o(n)

is(A)

un(an)yiR

evn.oin fmait Cheiso Imnn Athrt

eu.olm Lao CheienLRALhm

uVn t.QQ aoLfais(n)aw( f)n

igheuo(Ch)

rso(Lsn)sAL

o(A)n(u)R

eva olm tmnit ceinfxnkAhrt

20170401

30170401

20170401

图1-7子域名枚举

此外，读者还可以利用一些在线网站查询子域名，如子域名爆破网站

(https:// phpinfo. me /domain ), IP反查绑定域名网站 (http://

dns.aizhan.com) 等。

1.4收集常用端口信息

在渗透测试的过程中，对端口信息的收集是一个很重要的过程，通过扫描服务

器开放的端口以及从该端口判断服务器上存在的服务，就可以对症下药，便于我们渗透目标服务器。

所以在端口渗透信息的收集过程中，我们需要关注常见应用的默认端口和在端

口上运行的服务。最常见的扫描工具就是Nmap (具体的使用方法后续章节会详细介绍),无状态端口扫描工具Masscan、ZMap 和御剑高速TCP端口扫描工具，如图1-8

所示。

御剑高速TCP端口扫描工具 — □ ×

开始IP: 结束IP: 超时/秒缓冲区

○全端口65535 ◎指定端口

指定湍口列表(格式用英文逗号隔开：80,8080,8090- 8100)

21.22,23,25,53,69,80,81-69,110,135,139,143,443,445,465,993,995,1080,1158,1433,1521,1863,2100,312
开放满	口

常见的端口及其说明，以及攻击方向汇总如下。

● 文件共享服务端口如表1-2所示。

表1-2文件共享服务端口

端口号	端口说明	攻击方向
21/22/69	Ftp/Tfp文件传输协议	允许匿名的上传、下载、爆破和嗅探操作
2049	Nfs服务	配置不当
139	Samba服务	爆破、未授权访问、远程代码执行
389	Ldap目录访问协议	注入、允许匿名访问、弱口令

● 远程连接服务端口如表1-3所示。

表1-3远程连接服务端口

端口号	端口说明	攻击方向
22	SSH远程连接	爆破、SSH隧道及内网代理转发、文件传输
23	Telnet远程连接	爆破、嗅探、弱口令
3389	Rdp远程桌而连接	Shift后门(需要Windows Server 2003以下的系统)、爆破
5900	VNC	弱口令爆破
5632	PyAnywhere服务	抓密码、代码执行

●Web 应用服务端口如表1-4所示。

表1-4 Web 应用服务端口

端口号	端口说	攻击方向
80/443/8080	常见的Web服务端口	Web攻击、爆破、对应服务器版本漏洞
7001/7002	WebLogic控制台	Java反序列化、弱口令
8080/8089	Jboss/Resin/Jetty/Jenkins	反序列化、控制台弱口令
9090	WebSphere控制台	Java反序列化、弱口令
4848	GlassFish控制台	弱口令
1352	Lotus domino邮件服务	弱口令、信息泄露、爆破
10000	Webmin-Web控制面板	弱口令

● 数据库服务端口如表1-5所示。

表1-5数据库服务端口

端口号	端口说明	攻击方向
3306	MySQL	注入、提权、爆破
1433	MSSQL数据库	注入、提权、SA弱口令、爆破
1521	Oracle数据库	TNS爆破、注入、反弹Shel
5432	PostgreSOL数据库	爆破、注入、弱口令
27017/27018	MongoDB	爆破、未授权访问
6379	Redis数据库	可尝试未授权访问、弱口令爆破
5000	SysBase/DB2数据库	爆破、注入

● 邮件服务端口如表1-6所示。

表1-6邮件服务端口

www.qianani.com

端口号	端口说明	攻击方向
25	SMTP邮件服务	邮件伪造
110	POP3协议	爆破、嗅探
143	IMAP协议	爆破

端口号	端口说明	攻击方向
53	DNS域名系统	允许区域传送、DNS劫持、缓存投毒、欺骗
67/68	DHCP服务	劫持、欺骗
161	SNMP协议	爆破、搜集目标内网信息

● 特殊服务端口如表1-8所示。

表1-8特殊服务端口

端口号	端口说明	攻击方向
2181	Zookeeper服务	未授权访问
8069	Zabbix服务	远程执行、SQL注入
9200/9300	Elasticsearch服务	远程执行
11211	Memcache服务	未授权访问
512/513/514	Linux Rexee服务	爆破、Rlogin登录
873	Rsyne服务	匿名访问、文件上传
3690	Svn服务	Svn泄露、未授权访问
50000	SAP Management Console	远程执行