03.IP、端口信息收集 – 星雨の小破站

本文最后更新于520 天前，其中的信息可能已经过时，如有错误请发送邮件到big_fw@foxmail.com

一、IP信息收集

1.IP反查域名

如果渗透目标为虚拟主机，那么通过IP反查到的域名信息很有价值，因为一台物理服务器上面可能运行多个虚拟主机。这些虚拟主机有不同的域名，但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器，就有可能通过此台服务器上==其他网站的漏洞==获取服务器控制权，进而迂回获取渗透目标的权限，这种技术也称为“旁注”。

https://site.ip138.com
https://www.dnsgrep.cn
Pasted image 20241207095527.png

2.域名查询IP

知道一个站点的域名需要得到它的IP以便之后获取端口信息或扫描等后续工作。

https://ipchaxun.com
https://site.ip138.com
Pasted image 20241207095804.png

3.C段存活主机探测

C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1
表示方式：
例如：192.168.1.0/24 表示192.168.1.1到192.168.1.254

C段存活主机探测就是查找与目标服务器IP处于同一个C段的服务器IP

Nmap扫描工具
TXPortMap 实用型的端口扫描、服务识别工具

./TxPortMap -i www.yijinglab.com/24 -p 80

Pasted image 20241221110231.png

4.CDN简介

CDN即内容分发网络。CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率

5.CDN判断

1）多地ping
用各种多地 ping 的服务，查看对应IP 地址是否唯一

https://ping.chinaz.com/
https://ping.aizhan.com/
http://www.webkaka.com/Ping.aspx

例如：ping www.yijinglab.com

一个网站出现53个说明是都是cdn服务器，不是yijinglab.com的真实服务器ip

例如：ping www.sf-cityrush.com
发现只有一个ip，则没有cdn服务器
Pasted image 20241208150903.png

2）国外访问
因为有些网站设置CDN可能没有把国外的访问包含进去，所以可以这么绕过
https://ping.sx/ping

6.CND绕过

1）查询子域名的ip
CDN 流量收费高，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询域名对应的IP 来辅助查找网站的真实ip

2）MX记录邮件服务（很少用）
MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器那么原始服务器IP将在MX记录中。

3）查询历史DNS记录
https://viewdns.info/iphistory/
https://www.ip138.com/
查看 IP 与域名绑定的历史记录，可能会存在使用 CDN 前的记录

二、端口信息收集

1.端口简介

端口（Port）就像是一扇门，用于区分不同的网络服务。

它是一个16位的数字，范围是从0到65535。其中，0 – 1023是公认端口，这些端口被分配给一些特定的、广为人知的服务。比如，HTTP服务（网页浏览）通常使用80端口，HTTPS（安全网页浏览）使用443端口，FTP（文件传输）服务常用21端口。

当数据在网络中传输时，除了知道目标计算机的IP地址，还需要通过端口来确定具体要访问该计算机上的哪一个服务。例如，当你在浏览器中输入网址访问网页时，你的计算机就是通过80端口（HTTP）或者443端口（HTTPS）向目标服务器发送请求，服务器也通过相应端口把网页内容返回给你。

2.协议端口

根据提供服务类型的不同，端口可分为以下两种:

TCP端口:TCP是一种面向连接的可靠的传输层通信协议
UDP端口:UDP是一种无连接的不可靠的传输层协议

TCP协议和UDP协议是独立的，因此各自的端口号也互相独立，
给目标主机发送信息之后，通过返回的应答确认信息是否到达
TCP:给目标主机放信息之后，不会去确认信息是否到达
UDP:而由于物理端口和逻辑端口数量较多，为了对端口进行区分，将每个端口进行了编号，即就是端口号。

3.端口类型

周知端口:众所周知的端口号，范围:0-1023，如80端口是WWW服务
动态端口:一般不固定分配某种服务，范围:49152-65535
注册端口:范围:1024-49151，用于分配给用户进程或程序

三、常见端口介绍

黑客常用端口利用总结 – 蚁景网安学院

四、端口扫描

Nmap扫描

功能介绍
1.检测网络存活主机(主机发现)
2.检测主机开放端口
(端口发现或枚举)
3.检测相应端口软件(服务发现)版本
4.检测操作系统，硬件地址，以及软件版本
5.检测脆弱性的漏洞(nmap的脚本)
基础用法
nmap -A -T4 192.168.1.1

A:全面扫描\综合扫描
T4:扫描速度，共有6级，T0-T5

不加端口则扫描默认端口，1-1024+nmap-service

单一主机扫描:
nmap 192.168.1.2

子网扫描:
nmap 192.168.1.1/24

多主机扫描:
nmap 192.168.1.1 192.168.1.10

主机范围扫描:
nmap 192.168.1.1-100

IP地址列表扫描:
nmap -iL target.txt

扫描除指定IP外的所有子网主机:
nmap 192.168.1.1/24 –exclude 192.168.1.1

扫描除文件中IP外的子网主机:
nmap 192.168.1.1/24 –excludefile xxx.txt

扫描特定主机上的80,21,23端口:
nmap -p 80,21,23 192.168.1.1

扫描全部端口
nmap -sS -v-T4 -Pn -p 0-65535 -oN FullTcp -iL liveHosts.txt
-sS:SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快，效率高(一个完整的tcp连接需要3次握手，而-ss选项不需要3次握手)

优点:Nmap发送SYN包到远程主机，但是它不会产生任何会话，目标主机几乎不会把连接记入系统日志。(防止对方判断为扫描攻击)，扫描速度快，效率高，在工作中使用频率最高
缺点:它需要root/administrator权限执行

-Pn:扫描之前不需要用ping命令，有些防火墙禁止ping命令。可以使用此选项进行扫描

-iL:导入需要扫描的列表

扫描常用端口及服务信息

nmap -sS -T4 -Pn -oG TopTCP -iL LiveHosts.txt

系统扫描:

nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt

版本检测:

nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt

NMAP漏洞扫描

nmap -p445 -v --script smb-ghost 192.168.1.0/24