本套课程在线学习(网盘地址,保存即可免费观看)地址:
https://pan.quark.cn/s/ae88e2424788
你这个百度的点com是什么问题哦?我说一下,你这个百度点com是一个啥问题,你搜集的非常全,但是说呃,你这个会收集到一些。呃,你看这种域名,它就是这种无效的域名,这种域名打开肯定是没东西的,这种域名打开是肯定没东西的,搜集到一些无无效,但是这种肯定是打开是有东西的。像这种肯定就是没东西的。有一些无效的域名在里边,但是你可以看一下你这个数量是非常多的。数量是非常多的,你看这种TCP的在这里边肯定就是不能用我,我不知道你这个搜集渠道是啥,但是one for导出来。应该也没有这么多没用的域名。这种域名都还挺正常的。嗯,你是配你是one for里边,它有很多可以配那个呃,那个啥,大家要注意一下,我跟你说一下这个one for。我one for有这些很正常,但是你这个多的就有点离谱了,我我给大家说一下这个东西,你看啊呃,信息收集模块的。你看啊。呃。这个玩法啊。我给大家说一下,这个东西我看有的人没配是这么回事啊呃,让我看一下,看one for在你就是config config这个目录下面有一个API点。py然后呢?你把这个点开之后。它有各种各样的,这个就是API在里边,我配的是就是我配了一些测呃,这个的还有这个的这个的,我我我有一些没配,
因为你这个东西要意味着就是一个一个去注册,而且有。有的,他是掏钱的,有的确确实实是掏钱的,我就没配,反正我配了一些简单的方便配的,而且常用的这些东西,我反正是配了一下,然后大家在下课的时候可以把这些。API都配上它是有一些API的,就是你把这些API配的越全,它搜集到的东西是越多,就是这个API点这个。py到都是config这个目录下,它有这个东西。大家完事可以去配一下,你看这个人,他配了之后呢?对,你看一下它这个东西,它配了之后完全的这个呃,效果是不一样的。发现有很多。我看一下这个啊。那个for法一用就完,要不买个不不不300的肯定不行for法这个会员呃,最起码得买1000的。佛法会员最起码要买1000呢。300的根本不行。300个是肯定不够用的,必须满1000的。哎,这个同学,你看他查的比较多,他查了1000多条,但是我看他这里边没有一些feed,我不知道是没去重还是啥?没有重复项,那他这查了,我靠,那他这查了1000多是不错的,不错的呃,
这个我看这个是谁令狐冲这个这个人在没?令狐冲同学,你在不在?令狐冲在不在?我不知道上课没今天哦,你你告诉我,你告诉一下你这个东西都用了哪些渠道,哪些渠道你搜集到了1000多个域名,而且都没有重复。啧。你说一下。啊。你说一下,你是哪些渠道?嗯子域名挖掘机还有呢?就是类似于必应,然后呃,类似于那个爆破,这个是子域名挖掘机是基于字典爆破的必应是。呃,语法吗?是那个呃百度语类似于百度搜索语法的那个是吗?这个我还没用过,这个是啥?这个我还没用过哦,第二色是第二色是应该没用吧?这你搜集的是紫玉。这啥sub string substring是一个字符串的处理函数呀,这个是啥东西?你给大家解释一下,这个substring这个东西是什么?对啊substring不是函数吗?你怎么用来子域名收集了?但是这个同学搜集的确实比较多啊,确实比较多。看一下这个。哎,这个同学。嗯。我这个有点大。我的名字太长,记不全了。你看它这个哎,同学看一下哦,它这个用谷歌语法,百度语法都去搜了一遍,因为百百度和谷歌它都用相同的语法搜出来。就是结果是有差异的哦,不一样的结果是有差异的,然后用fo fer去搜了一遍钟馗之眼,搜了一遍。然后这个是做的这个爆破,这个网站是做的爆破,用的就是去爆破,这个是今天讲的,这个是今天讲的。它那个其实已经不是被动信息收集了,这个类似于这种主动信息收集了。p一下去展示一下。我才马尾发现还用了一个微步哦。这个微步也可以去查。微步也可以去查。呃,让我看它现在获取了多少个?这个是它的。所以我给它去个重。这个为啥才弄出来300多个?这个弄出来300多个不对,300多个有点少,还不如用one for的效果呢,
它这个你看它这个典型的是没有用one for。没有用one for可能效果会差一点。效果会差一点,我看了一下,然后这样吧。就是这个令狐冲。我我刚看了一下,就是这个令狐冲,还有这个呃,我刚看的哪个第二个第二个就给谁,第二个就给这个下辈子想。做头猪就这个懒人在思考这两个同学可以找徐老师那儿去领50块钱还还好像还有个啥福利,我忘了。然后呢,基本手法就是这几个同学那种手法,然后看一下他说的这个。呃,刚搜的最多的这个,他说了用了一个啥子域名挖掘机就是这个layer。这个用了一个这个。然后还用了一个,第二次是没用,他说的这个substring我,我还不知道它这个。substring这个我还没用过,这我我这不是一个函数吗?你可能记错名字了,这个东西也可以大家去用一下OK?昨天的作业我就看到这里哦哦,是这个啊,那同学下下面也可以去呃看一下它这个东西。反正我是没有用过它这个这个工具啊。OK OK呃,大家就是昨天的作业,有啥疑问没?或者说呃,有一些其他方面的技术方面的知识可以去问我一下,给大家一两分钟时间,赶紧去过一下昨天的。呃,疑问或者说有啥问题赶紧去问一下。昨天那个下课的时候有个同学问咱接下来会讲不讲那个制作钓鱼邮箱,接下来会讲,接下来会讲在社会工程学那里会讲制作钓鱼邮箱。咳咳。还有没有同学有啥问题?48个49个for算主动信息,主动信息收集不是不是不是one for其实算是被动信息收集,因为。你one for 2就是呃,还是从平台上就是它one for 2对接的是一些平台类似于for法了。呃vt啦,然后微步啦,这些东西其实还是从平台上去拿呃,还是从平台上去拿的,这些信息不是他自己去那个啥的。不过,one for有一个模块算是主动信息收集。one for有一个模块算是主动信息收集,就是它那个呃暴力破解那个模块就是呃根据主域,
然后去猜子域。那个算是就是主动信息收集,剩下的模块都是从平台去拿的,算是被动信息收集。能发md材料的PDF不容易做二次笔记呃,这个东西嗯,不方便发你这样吧,你去问一下徐老师,这个东西反正徐老师那边给我的反馈是只能发这个PDF。你去问一下徐老师,看能不能发md的,他们那边说能发,我就去发给你了。你这啥跑出来是一个circle。late这啥吗?SQL注入的意思吗?你你是啥意思?okay,大家有没有啥问题了?有没有啥问题了?没有咱就开始了。咳咳。没有咱就开始了。那个类似于存档。我没懂啥意思。OK,OK,OK,来,咱过一下今天的内容了,咱过一下今天的内容了呃。呃,前面都是一些基础性的知识呃。外部搭建。应该方法有一比较好的同学,他收集比较好的,刚我把那些作业一个一个打开看了,其实就是谷歌语法,然后one for all。子域名挖掘机,然后像子域名挖掘机这种其实就是今天讲的内容,像是主动信息收集了这个,今天我会讲到像子域名挖掘其实就是那些for。
然后呃谷歌语法,然后one for。哦哦哦OK OK OK。呃,关于被动信息收集中遇到的一些问题啊,被动信息中是去思考还有哪些工具或者渠道可以使用的话?OK,OK,OK.思考哪些工具?还有一些渠道的话,主要是靠的这个呃知识的积累,这个东西可以大家去群课后在群里去交流一下,用了哪些工具?然后根本性的东西其实就是利用这些搜索引擎git HUB,还有一些综合性的工具去实现的被动信息收集。很多工具肯定要会存在这种信息的重叠,这个时候要去做比较,就像我刚刚给大家弄的,你必须要去做样这样一个资产的表格,然后把所有的子域名都放到这个里边。然后呢,最后都放进来之后呢,做一个这个去重就可以把它进行一个筛选,所以这样一个表格是肯定要做的嗯,所以我看作业的时候有一些同学就没有做一个这样一个表格。它的格式打出来是有点乱的。格式打开是有点乱的,这个我要说一下。然后被动信息收集到有没有相应的模板,这个模板反正我给大家也看过了,要按严格按照这样的模板去写。下来我这些东西,我就不不去说了,直接去讲今天的课程,一是啥主动信息收集的基本结构呢?就是主动信息呢,它的一些基本流程的话是由,一是由攻击者主动发取的行为或请求。刚刚同学问说one four是不是说就是它算是主动信息收集,我刚给大家说one four只有一个模块算是。one for只有一个模块,
算是主动信息收集,就是那个子域名爆破的话,它根据那个主域去猜前面那些子域。根据那个主域,比如说现在我有一个百百度点com。然后呢?他去暴力去枚举3w点儿还是test点儿?因为这个东西的话,你算是跟目标有一个直接的交互了。跟目标算是有一个直接的交互了,这样的东西叫做主动进行收集,剩下的呢,one four都是利用那些平台,比如说它对接了fo fer vt。这些平台获取到的这些子域名,它其实还算是被动信息收集。呃,主动信息就是这个由攻击者发起的行为,或者请求叫做主动信息,信息收集啊,然后目标受到。呃,行为或请求影响,并做出反馈了,就是你是和目标有一个交互的过程。有和目标有个交互的过程,然后呢,第三点是攻击者获得反馈,并判断了特征,这个其实就是呃,算是指纹吧,你像我昨天教大家的那个工具叫做一控。那个东西呢,它其实就是它其实是存在主动信息收集的,为啥哦它的数据其实是对接方法的?数据是对接方法的,它那个参数是一点斜杠24。就是一个c段嘛,它会从for法当中呢去提出这个c段当中的所有资产。它这个会提出f of法当中一一点七杠14整个c段的所有资产,也就是所有的IP端口。呃,也就是IP和端口,然后呢?你注意啊,它这里做了一个啥事儿,它这里做了一个啥事儿,知道IP加端口之后呢?他去向后面拼接路径就是去去向这个IP和端口发送网络,请求了这个这个这个工具呢,它是向IP和端口发送网络请求了。具体发送一个什么样的网络请求呢?
它有一个指纹的库,就做一个c就是指纹库。一个指纹库就是我昨天给大家去说的那个CMOS CMS。CMS这个东西,比如说我给大家举个例子,它是什么原原理呢啊?你比如说。我范围吧,我范围我怎么识别?我是不是一个范围这个框架呢?我是不是用的范围这个oa呢?它的它的这个ul特征上肯定有个wui。wui这个路径,或者说呢,有的不是这个路,根据路径去判断的,有的是根据啥图标去判断的,大家。见没见过有一种CMS呢?它会有一个wav I这个echo。还有一个这样的,这个点儿co啊点儿AC。点ico它有一个这样的,这个图标那么就是嗯,他昨天那个工具呢?拿到这个IP和端口之之后呢?去把他所有的这个指纹库里边的指纹。去怼一遍,发请求发他有没有wui如果有wui这个路径的话,就说明你是范围的这个框架,如果有这个图标的话,它说明你是哪一个框架?它的指纹识别是这样来的,它提取了很多很多CMS的,这个独有的特征,然后呢,拿到IP和端口去发请求,判断你是哪一个CMS?这就是啥主动信息收集和被动信息收集的区别。对吧,被动信息收集就是我不和你目标进行一个直接交互,我从别的平台上去拿一些信息,但是主动信息收集呢,它是从。平台上去获取到一些特征,
平台上去获取到一呃,就是平台就是主动性收集呢,它是拿到这些东西之后呢,我去跟你目标直接进行交互去请求你这个目标。然后得到一些信息,得到一些反馈。它是这样一个区别,然后主动信息收集的特点和它的应用场景是哪里?主动信息的优缺点优点是啥?信息的针对性强,为什么他这么说呢?假如说现在有一个百度这样的域名。现在有一个百度这样的域名。你直接去跟这个目标去进行交互的时候呢,你根本不害怕去就是呃,根本不害怕去打偏。根本不害怕去打偏,因为你就是对着这个目标进行的一些信息收集,如果你从那些平台上去获取的话,它其实是没有针对性的。没有一个针对性的二就是信息的这个准确度和实性性高,如果你从这些平台上去获取这里的信息的话,意味着这些。信息都是有时效性的,可能这些时效。高兴就是几年前发的。几个月前发的,它都是有它的时效性,可能这个时效性过了之后呢?这个信息收集就是错误的,就是错误的,它的可用性不高,然后就是它的准确度,主动信息收集的它的准确度是比被动信息收集的准确度是高的。还有啥能收集到未公开的敏感信息是这样的,这个是怎么理解呢?昨天给大家说了,有个第二第二色齿的东西。有个叫第二测试的这个东西,
它直接去扫目标目录的时候呢,能发现一些robots robots,这个robots点TXT。这个文件也能搜到一些点rar的这个。备份文件这些东西呢,其实大概率是搜索引擎搜不到的,大概率是搜索引擎搜不到的,因为这些字典是完全由用户来决定的。但是搜索引擎呢,它肯定就是很概很大概率是搜索不到这些文件的,只有极个别就是特别。也好搜的这些文件,它能搜到大概率是搜不到的,需要用户主动的去走跑字典去跑出来,缺点就是啥容易暴露被发发现的风险性高。这个怎么解释呢?呃,当你去主动信息收集,比如说还是拿第二测试去举例吧,你用这个东西去扫目标的时候呢?如果目标有一个waf,如果目标有一个waf呢?它它会收录这个就是敏感的一些目录,比如说这个文件。比如说以rar结尾的这些文件呢,它其实这些文件呢,它其实都在waf的特征里边,如果他发现了你请求的这个路径当中呢?是存在这些关键字的存在,这个这个robots还有这个rar这些文件,它就会认为你在。就是去呃,就是再去攻击我,他就会判定你在攻击我,所以说这个waf就会进行拦截。这个东西最经典的例子就是创意论。呃,创宇。创意。最经典的例子就是创意论,大家不信可以去试一下,就是如果有创意论这个东西的时候,你发现你这个目录根本就没法扫。就是你可能扫前两个这个敏感目录的话,它可能还会给出你一些响应,但是到后面你再去扫到扫到百分之。呃,五六的时候呢?这个创宇盾后面给你的返回值全都变成一样的了,都告诉你说你的行为存在你你存在危险行为已经给你拦截掉了。这个最经典的是这个创意盾,然后呢?呃,对付这样的就是说也有一个一些好的办法,就是说他没有办法去呃,他还是根据。你的第一个就是根据你这个访问的这个ul去判断的,第二个就是但是如果光拿这个ul去判断,其实证据是不够确凿的,为什么这么说呢?一些正常的程序呢,它其实也是你说一个正常的程序,不可能返回一个rar的压缩文件吗?其实也有可能。可能返回一个robots点TXT嘛,这个可能性倒是小一点。其实,这些敏感的目录呢,都有可能就是确确实实是它的功能,你说如果我这个waf根据这些条件去拦的话,其实的误报率是很低的。所以说它通常是一些多条件,就是一块去判断,那么它另一个就是大概率使用的条件呢?就是同一个IP。同一个IP在固定的时间段。在一个固定的时间段内发送的请求数量。大于。大于啥某一个值?大于某一个值的时候呢,它也会,就是它会把这些根据这一个东西,然后呢,在同一个IP在固定时间发送的请求大于某一个值的时候呢。它也会,就是把这两个因素加起来去判定,所以说对付这种这种就是呃,就是比较好的绕过方式呢,就是建议大家去弄一个代理池。弄一个代理池,我在git HUB上给大家去搜一下那个。搜一个项目叫做呃代理池,给大家去说一个项目就是说呃。这个这个目前是最好用的,你看啊,你把这个项目呃部署到服务器上之后呢,就是但是你这个东西要自己去配那个。就是你的代理员哦,你的代理员,如果他有免你有免费的就往免就用免费的,如果没有免费的,可能要有一些。就是呃,就是需要一些钱啊,需要一些钱去买一些代理。你看啊,你把部署好之后呢,你去访问你服务器的get,它就会给你随机获取一个代理,就是给你给你返回,给你一个代理。对吧,然后你调用这个东西呢,它就会删除一个代理,一般来说用这个会多一点,就是你比如说你用到这个就是这个dr search这个东西了。然后呢,你可以写一个脚本,就是说我每五秒对吧?我每五秒或者每十秒的时候呢?我去通过这样调用一个这样的接口呢,它返回给一个。就是呃,那个代理,然后你用这个代理去请求就是这样,可以做做到一个代理的轮询。这样其实可以在很多程度上去避免,这个就是waf的拦截,然后呢,你看这个项目它给出了一些免费的,这个代理员。就是这些利用这些代理员的话,他就是不需要去呃,花钱可以免费的去用这些,但是这一就是这意味着就是用的人比较多,可能。它的速度是比较慢的,这是一个肯定的,然后这个项目这个东西呢,我会放到我的这个呃。就是这个文档上面,因为昨天有人说要把这个工具要去整理出来,我我加了这个上面。我加到这个上面。这个是应对这个类似于这种目录扫描的一个小技巧,就是用这个代理池,然后呢,缺点是还有一个缺点是啥,收集的信息量和覆盖面比较少。呃,这么说的原因是因为你如果相对于被动收集而言,你被动信息收集是用到了很多平台,你可能说他有的信息平台是专门做爆破的,就是做那个子域名爆破的。但有的平台呢?它更偏向于就是说呃呃关键字的一些搜索,比如说f这些东西。它的就是它很多个平台汇聚起来的呢,汇聚起来它专业的人去做专业的事情,肯定是你自己去做这个主动信息收集是肯定要比你这个覆盖面和信息量是要大的大的多的。对,这就是它的一些缺点。那么,主动信息收集的应用场景,就是呢,主动信息收集通常是在被动信息之之后分析出重要的攻击面或目标,重要的信息时候再针对性的去做主动信息收集。就这其实是就是我建议大家去被动信息收集和主动信息收集的一个先后顺序,就是通常我们拿到一个目标之后呢?我们先去做它的被动信息收集,当我们被动信息收集之后呢,我们才去做它的这个主动信息收集。这个是它的一个声音收集的,先后先后的顺序。在属动信息收集的时候,我喝口水啊。在主动信息收集的时候呢?通常持续的时间比较长。因为你这个数据呢,它是就是时效性比较强的。你是当场去再进行一遍信息收集,肯定是就是从那些平台获取到的呢?它是有累计的,它是有累计的,所以说你这个持续时间是比较长,而且会通过各种不同的方式与目标进行交互。实战中最常用的手手段是啥?模拟或伪装正常的业务流程与目标进行交互。这个是啥意思?嗯,举个正常的举个正常的呃,就是例子吧,经常使用的这个例子。就是是这么回事,就是在呃被动信息收集之前就是主动信息收集之前呢,先进行被动信息收集,这是为什么?在护网当中呢,我们通常会使用这个钓鱼这个手段。通常会使用钓鱼这个手段,但是去主动调这些,假如说咱们的目标是客服或者HR。就对于这种人呢,我们不可能直接去进行一个,就是上去直接就跟他开始聊,直接就开始他他聊,然后聊完之就是直接去发码,直接去跟他聊。这样的话呃,会产生一个什么样的问题,就是我们对目标不是非常的就是。我对投简历是个方法,就是我们对这样直接去聊的话,我们对目标其实是不够充分了解的,我们上去去聊什么,他的关注点是什么?这个东西是我们有所欠缺的,所以说要被动信息收集之前,比如说他你搜集到一个公司,你搜集到一个公司。呃,就是你的目标是一个公司,你先去被动信息收集,看这个公司是做什么的,它的公司是做什么的,然后呢,它的主要业务是什么,它会用到哪些东西?对吧呃,比如说它是一个就是。呃,工业公司。比如说它是一个工业公司,我们可以去被动信息收集到它的一些呃。呃,应用就是他会买哪些东西吧?这么讲吧,就是他可能客服的话,他可能会聊买哪些东西,然后呢,我们找到他的供应商。就是他的东西的供应商,然后呢?就是呃,比如说他是买什么钢铁啦,还是什么?反正咱们伪装成他的供应商,然后以供应商的身份。然后呢,再去跟他聊,再去获取,进行一个主动进行收集。因为你需要在主动信息收集之前呢,你要做一个被动信息收集,没有这个被动信息收集,你直接主动信息收集,你不知道跟他怎么聊?然后呢?你可能在中途的时候呢,就把你的身份给暴露了。所以直接进行主动信息收集是不可取的,对吧?先搜集到一些目标的这个,这个公司信息公司的业务。都是很呃,就是很重要的,然后呢,再去伪装成它的正常的业务流程,比如说哎,你今天就是需不需要我们公司的这个?呃,东西我们公司最近在搞活动,就是比以往的价钱更加便宜了,对吧?然后他可能说需要需要之后呢,你去做一份。呃码,然后呢?把它压缩完之后发给对方,然后对方就去点了之后呢,对吧?这一切的前提都是你在进行了一个很充分的被动信息收集和主动信息。收集之后的。然后呢,绕过一个就是再讲一个绕过cdn的方式。绕过cdn的方式呢?cdn我不知道大家有没有了解的嗯。大家有没有了解cdn的?来了解cdn的扣个一,我看一下。OK,基本呃。基本都知道,基本都知道,但是。但是抠的人不是全部啊,我还是简单去给大家说一下,因为大家了解的可能也比较片面,就是我从两个角度去讲这个cdn的,这个是干嘛的?我讲一个这个cdn的是干嘛的?就是从两个角度,第一个从开发的角度去讲这个cdn。创意盾算是waf呃第一个角度是从开发的角度去讲,这个cdn是干嘛的呃开发的角度呢?其实刚开始弄这个cdn是做这个。呃,就是缓存的是做一个缓存的,比如说这样。呃,如果我去现在去请求一个静态的资源,我现在去请求一个请求。请求一个静态的资源。静态资源,比如说请求一个gs或者这个CSS,或或者一个png这个图片嘛,对吧?我通常把它叫做静态资源,你用户如果去请求一个这样的静态资源的话,不出意外他需要把请求发。发到你的服务器,发到你的服务器上,然后你的服务器呢?返回结果返回返回这个这个这个这个东西,然后给到用户。给用户但是久而久之会有个什么样的问题?会有一个什么样的问题,假设你的服务器在上海,而它在就是呃,假设你在最北边,你的服务器在最北边。但是呢,用户你的用户是全国各地的,他可能在最南边或者最西边。他去访问你这个服务器的时候,虽然这个网很快,但是会因为一些地理的原因。造成你这个响应的这个迟钝,会造成你这个响应的迟钝是有延迟在里边的。所以后面出了一个cdn。cdn是干嘛的?在全国各地。部署。是吧,部署资源的镜像。部署这个资源的镜像。就是把这些你这些静态的资源呢,就是不光是你的服务器上有在全国各地都还有同样相同的一份这个镜像。同样的,相同的一份镜像部署在那个服务器上。然后呢?然后呢,进行一个缓存。进行一个缓存,然后接下来用户再去查这些gsc ss png的时候,不是把请求直接发到你的服务器了,而是就近。找到一台就近的这个cdn的节点,找到一个就近的这个。cdn cdn的节点,然后呢,去访问这个cdn的节点,它把cdn把这个静态资源和缓存返回给了你这个用户。这样呢,就造成了一个什么,就是用户的延迟就低很多了,这个是在从开发角度啊,开发角度。开发角度,但是对于咱安全角度。安全角度却产生了问题,这个东西不是说为了就是说不让黑客去攻击的,这个是不是的,它的本意不是这样的,它本意其实是这样的。但是从咱安全角度会出现一个什么问题?你本来你直接去请求这个静态资源png到你的服务器,服务器再去返回,结果了。对吧,本来去返回给结果了,但是现在它有了一个cdn,你直接去把它的这个域名呢,不解析到你这个服务器了,你访问的这个域名呢,不解析到你这个服务器了。而是通过cdn呢,就近的什么就近。解析到。解析到啥?解析到cdn的IP了。它解析到cdna的IP了,对吧?解析到cdn的IP了,问题就在这块,为什么说不行了?为什么说不行了?解析到cdn的这个IP不是你服务器的真实IP,那么你打的是谁呀?你攻击的其实是它服务器的这个IP,现在它你这个你一般你知道一个域名的IP地址都是ping一下它这个域名域名。它就会告诉你这个IP的地址,但现在呢,它解析的不是你服务器的真实IP,是一个就近的cdn的IP,而cdn这个成本。cdn的成本是比较高的,cdn的成本是比较高的。所以呢,cdn的资源都是公共的,公用的。cdn的资源是公用的不,所以说这个cdn呢,不是说就是说你这个公就是,所以说不是说这个cdn只有你。你公司就这一个cdn的节点,不是只有你公司在用,是很多很多的公司可能都去解析到这个cdn的IP了。这个cdn的IP节点上可能存在着很多的各家公司的这个静态资源,懂我意思吗?静态资源。这个镜像所以说呢,你去打这个cdn问题就来了,你打的不是人家公司的这个资源的,打的是人家其他的第三方公司了,你就打偏了。你知道了吗?然后呢?接下来会引出一系列的问题,就是啥你再去。啊,这个这个这个就有点卡了。你再去扫描端口,根据IP。就不行了,不行了,因为你扫的是这个cdn的,这个端口懂我意思吗?这样就。好家伙,好家伙,我是记录一下,不要打字,影响节奏,好家伙,没事没事,这就几分钟的时间,我这个课肯定是讲完才那个啥,你也不用担心。就是到时候我可能浪费大家时间了,讲不完了,我肯定是不管拖到几点,肯定是讲完为主,这个大家放心,昨天就是这样嘛,拖到大概十点才下课的,这个你放心。都是让大家听懂,然后听会才才结束,放心吧呃,再去就是我给大家讲了两个角度,就是cdn从开发角度和这个安全角度。它两个东西,它两个它两个角度,上面的东西,然后呢,有了这个cdn之后呢,你这个对你安全就进行了一些困难。然后OK我再去讲这个绕过cdn的常见方式,这个应该你们都听懂了吧?就是cdn是用来干嘛的?来听懂的公屏扣个一我看一下。听懂了,我就继续了,没听懂,直接去问就okay。我要保证你们每个人都听懂,当然啊,咱们这个课肯定是讲完为主,讲完就是当前课件肯定不会拖下一回的,顶顶多就是拖一会儿。对吧,肯定是已讲完,大家不用担心时间的问题OK?都听懂了,来我接下去讲,绕过cdn的常用方式。常用方式cdn呢?通过不同的位置呢来缓存,加快访问的速度,所以我们有可能访问的网页不是真实的。等一下这个问题,我听他们的吧,就是最后留点时间解答你,你保留一下,到时候结束的时候去回答,所以我们有可能访问的网页不是真实的IP提供的网页思路。一我刚给大家去说了cdn的成本是比较高的,所以cdn的资源是公用的。这句话可以说明啊cdn的成本是很高的,所以说啥啊所以说。所以说啥很多的网站,只有它的核心站点,比如说3w点,百度点com,只有这种核心的站点,它才会买它的cdn服务。才会买这个cdn的服务,因为啥它的访问量是站在开发角度,它的访问量是比较高的,只有访问量比较高的,我才会给大家去用一个cdn,然后解缓它的用户延迟。你说我一个很偏门的网站。都没有很多人去用,我这个肯定没必要去加这个cdn了呀,肯定没必要去加这个cdn了,所以这意味着第一个。第一个方式就是啥?第一种方式就是啥去搜集它的子域名,从它的子域名去入手。他有主战,有cdn OK,我们不打他的主战,我们去打他的子域,让他的子域名对旁站。就你发一个这图啥意思?访问的网页不是真实的网页对呀,访问的不是真实的网页。是缓存的,是缓存的,所以说咱们可以去打它的旁站以及它的子域名,还有它的c段上的其他资产。那么,这些资产它肯定就没有一些cdn,没有一些cdn,这样就可以以绕过它的cdn 2就是啥cdn,是基于解析的。cdn是基于解析的。呃呃,是这么回事,你看啊,本来是啥我我再讲刚才的第二第二点第一点就是啥,我我还是把这个笔记完整一下cdn是要钱的。所以旁站。航站。子域名。还有啥c段?可能。不存在c间。这是第一点,第二点cdn是基于解析的,解析的问题就来了,解析的问题就来了,当一个网站刚开始去。就是去做出来的时候呢,它肯定是一个就是从用户量由少到多的一个过程,所以说它刚开始少的时候呢,它没有必要去部署这个cdn的节点。然后呢?你这个呃访问它这个域名直接就会解析到它这个服务器的真实IP,直到它用户量越来越多的时候呢,它把这个cdn的这个东西引入了。cdn的东西东西给引入了,引入了之后。他才可以去把这个呃域名解析到这个cdn的节点,所以说你可以根据这个DNS的这个历史的解析记录找到最。早的那一条,然后呢去知道它这个导呃去去去尝试它这个呃这个这个呃cdn的绕过,但是这个东西我现在讲的所有的绕过方式都不是100%的哦,都不是100%的,它有它的。这个这个这个。诶,我看还有一个这个验证。哎呀,这好烦呀。这可能是外国的网站,你可以看一下啊。你可以看一下,这就是它的一个历史解析记录,历史解析记录呃,最现在最晚的是这个二零二二年的1月7号,也就是昨天昨天,然后呢,你看它这个。从从下往下就是依次的,这个旧的时间,二零一八年二零一九年二零一七年二零一一年。二零一一年,这个是它最早的解析记录,就是二零一一年的这个最早的解析记录。是这个这个这个这个呃,这个IP,但是我现在也没有办法确定这个IP,因为百度把它的历史就是比较悠久了,历史是比较悠久了,是不是它我也现在不能确定?大家现在这个。哎,应该不是看它直接就四零三了。他说我没有权限去访问。它说我没有权限去访问这个应诶。这个是百度网盘的a。这个说不定还真是人家的真实IP。这个说不定这个可能不是百度主站的,可能是这个应该是百度网盘。盘对吧?这可能是百度网盘的,这咱不清楚啊,这百度的时间太久了,百度的这个这这。这这这占访问量太大了,可能人家历史太悠久了,这查出来有很早的原。要无可厚非,要无可厚非。稍等一下,好像好像网有点卡哦,好了好了OK了,网又好了,卡了两秒,卡了卡了两秒,然后呢,包括这个微步,还有一些这个web API,还有这些刚刚我搜的的外外国的这个,还有一些这个样的网站,这个我弄起都写出来,我也不一个。一个去演示了呃,这个原理呢,就是我刚刚去基于第二个就是说cdn是基于解析的找最早的。那一条记录。找最早的那一条解析记录可能。可能是真实IP。对吧,这是我刚刚去给大家去讲的第二点,第二点的绕过,第三点的绕过就是什么多地的聘,还有一个国外的聘。这一个是什么问题?这个是什么问题?这个可能性是比较小的,但是还是有这种可能的,就是说cdn呢,它是你到时候你买的这个cdn是公用的对吧?所以说你肯定要去买这个第三方的这个厂商。第三方的厂商去买这个服务,但是如果说第三方的厂商,他这个cdn的节点只针对国内的话。就是如果你的访问是来自国内的话OK,那我就近的去查你最近的这个cdn,然后呢,把你去解析对吧,但是呢,如果说国外我是没有国外业务的第三方的这个网站,我是没有国外的业务。所以说你如果是来自一个外国的人。对吧,你是一个来自外国的人,你去访问这个,我这个网站的时候呢OK,你没有就近的这个cdn,你没有就近的cdn,我直接就去把你解析到服务器的IP了。直接去把你解析到服务器的IP了,然后呢,也可以得到它真实的服务器IP,这样就是一个基于什么国内国外的一个绕过手段,绕过绕过手段。对吧,这是国内外针对不同区域的一个进行,一个绕过cdn的,绕过这个,大家应该能听懂吧?这个这个应该大家也能听懂呃,这个东西呢,我没有写网页,但是我我我说到这里,我把这个网页告诉大家,就是用我是用的这个。IP的这个这个多地聘,这是一个站长工具啊,站长工具。站长工具,我把这个东西也给大家去写上。就是去访问这个网站,然后呢?咱们去多的去聘一下他这个,因为他这个支持的是呃,我记得是有国外的,你看他支持美国这些韩国这些东西。它是支持国外的去聘这个东西的。这个是咱说的这个第三条,还有一个什么边缘业务的子域名,边缘业务的子域名。可能说这其实这个东西其实和我这个这个这个这一点说的还是比较相像的,比较相像的就是你现在搜集它的,不光是旁站,你可以甚至把它的微信小程序。对吧,微信小程序还有它的APP对吧?APP抓一个包APP也是基于这个呃前端和后台的这个这个这个网络请求嘛,它也是存在这个域名的,也是存在这个IP域名的。然后呢然。然后呢,去搜集它这个APP和小。程序的这个网络请求小,我直接加到这个后面来。我直接去加到那个后面,然后。呃,下一个下一个基于证书的。基于这个证书的,我给大家去打开这个网站去查他的这个证书。嗯。嗯,卡吗?现在还卡吗?呃,卡了多久了?卡了几分钟吗?还是卡了很久了吗?两分钟,我靠。几秒呃。不知道是什么原因,我可能我这边的网络有一些波动。可能我这边的网络有一些波动,不好意思,不好意思。我没我没说话,我刚没说话。我刚我刚是没说话啊,不是可能不是卡了,是我刚没说话。是。打你看我现在这个可能是我。应该应该,现在好了吧?还没好吗?啊,又卡了吗?没有吧,我我刚没说话,我刚是没说话。我翻墙对对对,我现在演示的时候必须要翻墙。我知道了,我知道了。我知道了,兄弟们,我演示的时候要翻墙,我演示的时候要翻这个墙,可能是墙就是。开的这个腾讯会议,而且我知道了,而且我这个边录制就是边边边讲边录制,还要把这个视频去传到这个云上。还要顺便去传到这个云上,也可能会有点卡,可能会有点卡。OK OK,咱不讨论了,咱不讨论了呃,基于这个证书。基于。呃,证书绕过的方式绕过,然后呢,就从这两个网站里边去查。呃,基于证书的网站任务方式,基于这两个证书的时候任务方式呃。呃,邮件服务器,邮件服务器我给大家去讲一下啊,邮件服务器这个是呃。比较重要。邮件服务器这个东西是比较重要,就是啥邮件服务器它是不支持这个cdn的邮件服务器,它是不支持这个cdn的。所以说如果你能去找到它的邮件,服务器一般的公司呢的话,它会有邮件服务器,它会有邮件服务器。然后呢?它这个邮件服务器呢?它是不支持cdn的,所以说你只要找到它这个邮件服务器,那就是它的真实IP。对吧,通过找它这个邮件服务器。基于基于什么基于邮邮件服务器的包括。照顾因为啥?因为邮件服务器。邮件服务器不支持这个cdn对OK?不支持这个cdn,然后然后啥如果你找不到它这个邮件服务器没关系。对,也是租用的邮企业邮箱,对,不是绝对,我上面所说的这个所有的这个方式都不是绝对的,可能你需要把这几种方式都去结合,都去试一遍才行。都去结合都去试一遍才行,但不是这个东西都不是绝对的,都不是100%能查找找到的。然后呢,我给大家再去,就是说一个最关键的就是这个邮箱服务器,这这个东西了。给大家说个最艰就是这个,这个这个最关键的这个邮箱服务器的这个东西。哦,我没登录。呃,稍等稍等,我去登录一下。稍等,我去登录一下,然后我给大家去演示一个这个这个这个邮箱服务器的这个绕户。你看啊,我我我在社会工程学那里会给大家去讲这个邮箱的伪造就是伪造这个邮箱。你看啊,你看大家去看一下啊,这个东西就是我当时去给呃延安大学做的这个呃邮箱,因为我当时去护网去打过这个延安大学,然后我给延安大学发的这个雕邮箱。我给大家去发的这个钓鱼邮箱,大家可以看一下我这个封钓鱼邮箱的话就是呃,就是有啥不一样的地方,你能看出来吗?就是这封是伪造的,你可以看一下这个域名完全都是。延安大学的这个这个这个这个后缀。这我会在社会工程学那节课告教大家怎么去搞这个东西?去教大家怎么去搞这个邮箱的伪造?算了算了,我可能大家。呃,邮箱得了。邮箱的源码。呃,我我我等一下啊,我我那个啥?呃。不是cscs不支持这个样的,不是CS是不支持这样的,我看一下这个这个这个是怎么看源码来着?pf打印邮件原文OK OK,我给大家去讲的就是呃,这一块。给大家去讲的这一话,就是说邮件服务器呢,就是他给你发的这个邮件,你可以把这个邮件原文打开。这一第一行就是说这个邮件是从哪里发来的?从邮件哪里发来的?你看这里边就有一个IP地址,通过这种方式呢,就是说他可能就是他的业务里边可能,比如说邮箱注册,大家应该遇见过吧,就是那种邮箱注册。邮箱注册,邮箱注册大概这个业务应该大家遇见过,你用他那个邮箱注册呢,往你的邮箱里面去发一个邮件,然后把这个邮原文打开,第一条就是它这个。这个这个这个地址,这个俺就可以照顾它这个cdn明那个怎么伪造的?明天就是那个社会工程学会给大家讲到。我还是今天以今天的课为主,就是呃基于邮箱这个邮箱服务器支不支持这个cdn还是这一个类例子还是这?还是这个例子。就可以去看,然后呢?就是f查找网站的标题,去找它的真实IP。呃f的查询网站这个这个这个这个网站标题查找真实IP是这样回事的。这儿这儿这儿这儿是这儿就第一行嘛。第一行第一行我我接着往下讲了,我还是不耽误大家的时间,不耽误大家时间,可能有些人比较急。就是比如说百度,哎呀,这个东西其实只能查那种那种。就是你看哦,你我查一个这个这个这个。标题就是title的话,他会把这个就是呃IP会告诉我,我他会根据这个IP。诶,大家去看。大家去看哦。大家去看一下,你看我搜索这个百度的时候呢,你去把这个百度的这个。IP复制过来。会解析到,百度说明这个这个就是这一个IP,确确实实是百度的一个,就是呃,真实的站点。这样可能是它的,这个可能是它的,这个呃呃,分布式分布式的概念,这就是啥通过它这个title的这个标题去搜索它这个IP看哪个是它的真实IP。这个也是一种办法啊,就是呃什么cdn?基于这个这个网络测空间空间测绘测绘查找认识IP,然后。哦,还有一个,还有一个是目前市面上都没有去说的,还有一个方式是市面上都没有去说的,是我一直这些年都在用的,因为我是。之前是从事过三年的分布式全站开发。之前是从事过三年的分布式全站开发,之前是做的那个JAVA开发,然后呢?这个东西是我就是总结出来的,总结出来的一个绕过cdn的方式。这个东西是市面上都没有了,就是啥现在的网络架构,这个东西就需要聊一聊这个网络架构了。不是这个应用架构,应用架构,应用架构就是现在的这个应用技术呢它。采取了这个前后端分离,前后端分离呃,怎么区分这个前后端分离呢?像你以前的那些老的站点呢?它的前后端是不分离的。呃,很简单的例子,就是你访问这个接口的时候呢,它这个BP呢BP,它返回的包呢,它返回的包会返回这个返回这个HTML的源码。它会BP会返回这个htmi的源码,大家有没有见过这种情况?就是你BP抓一个返回包,它会返回这个htmi的源码,但是呢,这种新架构。新架构采取的这种前后端分离。对前后端分离。前后端分离,这种前后端分离呢?就是你会发现它这种返回包,它返回包不会返回这个。不会返回这个htm的源码,它只会返回数据,它只会返回数据,一般的数据都是借这种节省的形式。一般的数据都会返回这种json的形式,就是这样的格式。就是类似于这个大括括号中间包的那个数据,它只会返回数据,这样有个什么样的好处呢?就是它返回的这个字节小了之后呢?它这个加载不就快了吗?对吧?他的包里边的内容就少了,他的就是就是效率就比较高了嘛,然后呢,之所以这么做,是因为前端他用了一个这样的技术,叫做阿迪贾克斯。就是ajax,我不知道有没有听过阿贾克斯这个技术,就是前端我去调用的时候呢,我去再用阿贾克斯这个技术呢,去调用我后台的这个API。我前后端分离之后呢,我后台都是API的形式,我前端发这个阿贾克斯去调用我这个后台的这个API,所以说它这个gs的这个源码当中。就是所以说在它这个gs的这个源码当中。对voe是基本都是前后端分离的,在它这个spring这个掩码当中,这个JavaScript这个代码当中呢,它会写这个阿贾克斯的请求。他会写这个阿贾克斯的请求,就是我后台的,我他必须要指定我后台的地址。我后台的地址是哪一个?它去访问这个后台的这个地址。又卡了吧?喂,又卡了吧?好了好了,它会访问这个后台的这个地址。他会访问这个后台的地址,具体是具具体是怎么样子的?我还是给大家去看一下这个阿贾克斯,这个请求长长什么样子来?呃rg xr贾克斯。你看你看哦,这就是他的这个阿贾克斯最原生的方式,最原生的方式就是什么?他需要写一个这个get请求,他需要指定一个get请求,然后呢这?你去写它的服务器的地址,服务器的aip,比如说你这里是一一一点一一一点一一一点一一,然后它的这个try接口。它的踹接口这个阿贾克斯,这个这个这个这个ul它这里是必须要写一个这样的东西,但是这样的东西呢,它有可能是通过这个域名写的,有可能是根据IP写的。所以说有一些开发不严谨的人呢,他会使用这个阿贾克斯技术的时候,这里写的是IP,不是域名,这样就会暴露了他后端的这个真实IP。这样就会暴露它的后端的这个真实IP是这样的,然后我在这里去写一下就是什么?cdn,cdn.绕过之,阿贾克斯请求请求不规范。以什么以I以IP的方式进行调用?调用我只能这种情况多吗?不少这种情况是不少的,这种情况是不少的,就是在前端的代码当中呢?前端的代码JAVA的代码当中呢?他去调这个后台接口的时候是用的这个真实的IP去进行调用的。其真根据真实的IP去进行调用的,所以说就会存在这个什么存在这个cdn的绕过,知道吧?这暴露在它前端的源码当中的,这是我讲的这个cdn的绕过方式。是基于这个这个这个呃,第一个是他这个要钱的,所以说你打他这个旁站这些可能没有,第二种是基于解析的最早的DNS解析的,然后呢呃,不同的地区进行绕过,然后第二第三种呢是基于这个国内外的情况,有的cdn的厂商呢他。只支持国内,不支持国外,然后基于是证书的呢,就是查查这个证书记录,然后这都是这个网站啊,这都是网站,然后呢,还有个cdn的邮箱服务器,因为邮箱服务器不支持cdn。去查这个邮箱的这个源码,然后再有一种呢,就是cdn的,根据这个这个这个title去查他这个真实IP再有一种就是这个cdn的,这个阿贾克斯请求调用不规范。不会。不会不会不会,这个东西肯定不会。肯定不会。因为它这个前端页面在公网。它去调用它的内网IP,根本请求不到,不可能。不可能,不可能,确实确实不可能。确实不可能。然后呢?这里就是我给大家去讲的这个cdn的,绕过来这个cdn的这几种绕过方式来,你全听懂的扣个一我看一下。来进行下一段的知识。同学说证书的不太懂okay,我给大家百度一下证书的吧。看有没有真正的这个证书的?因为这个证书的话,我没有什么官方的数数据给你们说证书的这一块儿就是。我也不太会官方的去讲,我一般就是用这个网站去查就OK了。呃,我给你们去讲一下这个证书的,给你们百度一下这个证书的。给你们说一下是啥原理?呃,什么原理?我给你们说一下。小度,小度。你看啊,你看啊,是这么说的,说这个网址呢,会将互联网所有的APP进行连接,就是说。嗯。就是啥?就是说这个网就是这个网址哦,它会进行就专官官方数据啊,听着官方数据就是它就是说这个网址呢,会将互联网上所有的IP进行扫面和连接以及证书的检测入目标的证站点有ht PS的证书,因为大家。大家都知道https是肯定要有证书这个东西的,并且呢,默认的虚拟主机配了这个https的证书,我们就可以找所有的目标站点是该证书的。的站点。就什么意思呢?呃,我这个官方数据看完了,我给大家去讲一下这个是什么意思?就是说你域名去访问的时候,它肯定有https这个证书吧?然后呢?你用这个IP去访问的话,你用IP直接去访问的时候,它是不是也是有这个证书的?就是你不管用IP去访问还是用域名去访问,它都是要用到这个https的证书的。那么我就去比对,如果说你这个用用用这个域名去访问的这个呃证书。就是用域名去访问的这个证书,还有他搜索引擎去爬到的是跟这个IP,这个证书是一样的话,说明你俩就是一个站。说明你俩就是一个站,我这么讲能听懂吗?就是根据证书去做了一个关联,如果用域名的话,是用到这个证书了,如果他爬这个IP的话,这个IP也是用到这个证书了,那么你俩相同的证书说明你俩这个。域名和这个IP就是对应起来的。咳。这就是它的官方术语啊,我是用通俗的话给你解释了一遍。通过暴力枚举的方式呢?获取目标存在的资产接下来就是咱下一个知识点。大家要不要去休息十分钟?因为啥?因为我带的上一级同学,他说就是他直接讲两个多小时,他有点坚持不住,需不需要去休息十分钟?休息一下吧OK呃,给大家十分钟的时间去休息一下。十分钟的时间去休息一下。去吧去吧,十分钟啊,就十分钟。呃对20分说不定不到20分就十几分就开始了,反正就。上个厕所,然后吃个呃,这个这个啥,喝个水就赶紧来。来OK,都回来了吧?都回来,我看问问题,问的还挺多的啊,哎,我我简单说一下吧。嗯。怎么确定一个IP是cdn来拼你这句话的问题?可能是啥?你这句话的问题是如何确定一个?IP是。就是这个这个这个这个呃,这个域名的真实IP,你这句话得换句话法就是如何确定一个IP是这个?是这个域名的真实IP,你就用这个IP去访问。你就用这个IP去访问,如果说这个IP访问出来的结果和这个域名访问出来的结果是一样的,那么这个IP就是。域名的真实IP。是查这个证书吗?对对对。全球聘不是同一个IP,就一般是cdn吧,这个这个说法也是也对,就是看你是不是cdn,看你有没有cdn?一般cdn我说了,就是它是有多地解析的嘛,多地解析的,所以说你刚刚用我说的这个站长多地聘,然后去聘用这一个域名,这边出来的一堆结果都不一样。这边出来的结果都不一样,然后就呃说是cdn,然后再看一个老老信息收集完会给我们演示一下您的某个单位的收集思路嘛,就比如说我们指客户提供一个一个名称,我们该进行搜集嘛。你看啊,你看啊,首先我会告诉你,可以没问题,但是你就像昨天我说的这个作业,我是不是只告诉你一个百度?然后你就搜索了那么多,这其实就是我锻炼你们的一个过程,昨天我就只说了一个百度呀,你们不一样,搜索出来很多吗?其实我的思路就是你们常用的那些身体收集的思路。就是昨天布置的那个作业。然后IP啥就可以知道大家有什么没开始吧对,然后有好点好奇的时候是获取到了服务器的IP,但是直接访问IP跟域名访问的是不一样。这是获取错了,还是端口解析的问题?两种可能都有第一种可能,就是你确实是获取错了,你获确实是获取错了。第二种可能就是啥域名访问的,不一定是八零和四四三端口,有时候域名解析的端口是一些八零八零的端口都可以。因为这个东西域名解析到哪个端口,还是看一下域名咋配置的,所以说你要把这个。获取到的这个IP进行一个端口扫描,然后呢,每一个端口都去访问。看是不是说是它的真实IP。是不是它的真实ID,但是你说的这两种都有可能如何查看你是获取错了的,如何查看你是获取错了的,是因为啥?是因为一般我我在上面其实也讲了,就是说。来来来,稍等我,我翻一下这个这个这个,我说了,我说这个cdn呢,一般都是啥?你第三方的厂商给很多公司去提供。这意味着啥?这个cdn是开了一堆端口的,就是cdn你一般厂商,你开100个端口最多了吧?但是cdn就不一样了,cdn是开了一堆端口,可能几万个端口。你扫出一个IP,它开了几万个端口,一般就是它就是cdn。有时候域域名可以访问,但是IP加端口就访问不了,是因为你的端口是访问错了。端口访问错了,还有一种可能就是它说的这个host碰撞。cost碰撞的问题。嗯,就人家只允许域名去访问,不允许IP去访问,你就这么理解吧,只允许域名去访问,不允许IP去访问。o kay,o kay,咱继续讲吧,继续讲,不浪费时间了。嗯,内容还多着呢。是啥呃,通过暴率就是啥,第三个主动信息收集常见的手段,第一个是通过暴率枚举的方式寻找目标的重要资产。呃,工具通常带有字典等枚举的数据,字典可以自己写,但注意哪些问题构造完整的请求中,哪些是不变的,哪些是字典里的。咳咳咳。呃,这个就是我说的,就是说嗯,很多同学呢,跟我要这个dss的字典。这个确实是字典和字典,就是能不能挖到洞跟字典是有很大的关系的。因为你的字典,如果说有一些数据确确实实是比较常见,但是确实是。人家这个默认的不带的。那其实你能比别人强很多,你能比别人强很多。问题就在这块,这就是基于爆破,然后呢,我这边说一下,我就是用的默认的。偶尔呢,我会就是说找到几个就是字典里没有的,我会把它添加到字典里面,但就也就一两个吧,也就一两个,没有啥特别的,我的都是默认的。然后他说的注意的点是就是你要确保你这个字典里没有这个东西,不要重复添加,然后每一个枚举的数据结构。呃,数据构造请求或者交互。通过每一个枚举的数据构造请求,或者就是交互,就是可以说嗯,有DNS的,有hdp的,有IP的,有密码的,有参数的,这些都可以进行一个暴力枚举。然后判断这些参数中哪些交互的反馈是我们就是所需要的每一个对象的反馈特征,还有就是啥存储这些反馈并处理数据。OK OK,咱讲一下就是嗯,昨天没讲到的就是主域,就是这个域名的这个主动信息收集。昨天说的这个爆破,通过爆破的方式,这里介绍一个工具,叫做k sub domain。k sub domain。呃,你比如说我爆破这个京东的这个主域,然后呢,输出到这个TXT里边输到这个TXT里边,然后呢,它就会读取这个这个这个字典。读取到这个字典,然后呢?去暴力,去枚举暴力,去枚举。这怎么是百度的结果?这可能粘错了。啊,百度百度百度。百度就是百度啊呃,他去暴力这个暴力破解这个百度嗯,这个是啥原理?我说一下原理吧,这个东西其实你要自己写也能写得了。没啥难点,主要是说一下原理啊,就是基本原理是通过每一个。没有区别。没有区别,没有区别,真的完全没有区别。所以说呃,市面上出现了很多就是重复造车轮子的重复造车轮子的,这都能理解,因为大家就是都想用自己的嘛。觉得别人的不好,都想用自己的,但是其实这区别都不大,区别都不大呃,还是说一下原理,你们想用自己写也能自己写一个。就是通过每一个字母的子域名去查询那个cna me的解析记录,如果DNS的cna me体系记录存在,则就是返回这个结果。啥意思呢?啥意思呢?你看啊,你他现在告诉了你一个这个主域,他现在告诉了你一个主域,然后呢?你要有一个字典,比如说3w点。test点ABC点对吧?oa点就是你要有这样一个字典,然后呢?你把这个每一个这个字典里边的这个。一条记录都拼接到这个主域前面,然后呢去查询它这个cna me的这个记录,查询这个cna me的记录,如果说这个cna me的解解解析记录呢,不是空的话。就说明这个域名是存在的okay,这就是它的一个域名。这就是它的一个域名,懂了没?这个能不能听懂?就是去听到前面去查询它的cna me就OK,然后呢?这里我去只讲一个点吧,这个东西比较简单,我只讲一个比较特殊的点。就是一定一定要防止这个泛解析,一定一定要防止这个泛解析,就是不知道大家有没有碰到一个问题?就说比如说一个疫苗,就是还是拿百度举例吧。百度去举例哦,然后呢?不管你去访问它的ABC test还是r还有什么,反正各各个字母的组合,它都是存在的。它都是有cna me是有记记录的,这个东西叫做泛解析。半解性呃,遇到这种情况,遇到这种情况就是没有好的办法,根本没有好的办法去说。怎么绕过它?这个泛解析是没有的呃,唯一的就是说就是说,但是这个信息收集我们不能不做吧,就是不查它的子域名。就是你去利用这个呃第三方的平台,比如说这些搜法啦,通过这些关键字去查它。去查它呃,这个泛解析目前没有好的办法,所以说有的域名你就是它每一个这个子域都存在。这个是一种假的,就是它是有泛解析的。不要去相信呃,这个是目前我反正这么多长时间了,没有人能解决这个泛解析的问题。嗯。我目前为止没有好的那个绕过手手法。嗯。哎,没有办法,没有办法。没有办法的,这么多年,反正呃,网上是没有,我是没有看到。泛解析为什么返返回cna me这个原理我也不清楚,我也不清楚这个泛解析为啥可以?半解析情况不多不多的。我到现在为止碰到的这个泛解析的次数不超过20回。不超过20回也不是成本的问题,反正大家都不想用这个番茄系,我也不知道为啥,反正碰到这么多年了,反正就碰到不超过20回有这个番茄系的这个东西。很爽很爽。呃,然后是这个呃域名爆破的问题,到时候你们可以也自可以自己写一下,然后呃给你们说一个,就是比如说你们举一个例子啊,就拿p嘛。呃p查看域名呃cna me记录百度就行,cna me记录。name记录。唉,看代码都给你了。代码都给你了哦,代码都给你了,直接复制粘贴,直接用就行了。复制粘贴直接用就行了,但是我不建议你自己去写啊,因为就像这种重复造车轮子的这个东西,我觉得是没必要,人家都写好,你直接就去用就完了。没必要去重复照这个车轮子,然后第二册纸,第二册纸我昨天就给大家去讲了,其实这个是今天的主动信息收集这个课程。就是p3第二测试,然后呢?目标目标这个目录,然后呢?杠e就是你指定的这个脚本类型星是跑所有的字典。跑所有的字典,然后呢?呃,这个还是说一下,就是这个东西让大家写也非常好写,但是我还是把原理说一下。就还是一堆字典嘛,把这个常用的这些目录呢去拼到这个这个目标输入的这个后面斜杠去拼进去,拼进去之后呢,去给他发送这个htp或者ht PS的请求。如果说它这个网站返回了一个200,说明它这个网页又存在的,然后呢?返回这个,其他的就说明它是不存在的啊,就这么简单,就这么简单,扫描目录就这么简单,没有啥,然后呢,这里是一个简单的。大家可以去分析一下这个东西啊,就是呃,输入URL,然后呢,打开这个字典的文件,打开这个字典的文件,然后呢,把这个。呃,去看调用这个request,这个模块就是http模块或者https的模块,请求啥请求这个ul输入的这个uli加上斜杠,然后这个字典的这个。然后去匹配,如果说等于200的话,就说明它是存在的,不是200就pass掉,无所无所谓。这这就是自自自目录扫描的这个原理,还是就是说如果你想写自己写,不想写没必要重复造车轮子。然后呢,通过这个爬虫爬取的方式。通过这个爬虫爬取的方式,这个就是。呃,基本原理是啥工具?会模拟这个。浏览器做一个请求,然后呢,将收到的请求收集并筛选筛选什么东西链接按钮,只能做跳转的。筛选出来的处理呢,再次二次做请求并判断,然后呢,将判断后的数据呢,并处理。啊,这俩其实就是一这四步,其实就是两步呃,请求完了之后呢,筛选啊,筛选完了之后呢,再请求。它其实是一个递归的算法,就递归算法。一层套一层的这个,然后呢?经典的这个这个这个还挺好用的啊,这个这个gs finder finder我还是给大家去说一下,这个东西挺好用的。呃,我get up上给你们找吧,这个东西确实挺好用的,还是给你们介绍一下,加到工具类里面。js finder.嗯。你看啊呃gs finder是一款用作快速在网站中的gs文件中提取URL子域名的工具,提取URL政策部分使用的是这个。你看它这个东西输一个UI li,然后去模拟请求,请求完收集页面下的所有UI li,然后呢,分别普通的去爬取,然后就是说。嗯,它的意思就是我我处理一下,处理一下呢,然后我把它再去。把它这个爬到这个URL再去请求,然后呢,再去就是就是采集它,其实就是这样一个流程。然后使用方式呢,就是js finder,然后你要输的这个这个这个这个域名,然后呢,它就会把这个全部弄出来。深度爬取就是杠d,因为你看啊,它现在有个深度爬取和这个简单爬取它,这个区别是啥啊?它这个区别我不知道,大家就是知道递归算法不?有没有听过递归算法?啊来听过的扣个一吧。听没听过DV算法?呃,基本没有ook。呃,递归算法就是啥?就是。简单举个例子吧。哎,简单举个例子吧,还是有人没听过,就说我现在写了一个方法,我现在写了一个function,然后叉叉叉,然后呢?这是方法的内部的这个处理逻辑,这是处理逻辑啊。这处理逻辑。处理逻辑,然后呢呃,它先进行一个判断if呢,这个条件就是说不满足的话。这个条件是不满足的,不满足不满足是不是就不走if不走if的话,它就继续就是自己调自己。就你看他这个方法,名叫四个叉,然后他自己又去调自己,懂我意思吗?他在方法里面自己去调自己。自己去调自己。但这就是死循环了呀,这就是死循环了,所以说它需要有一个退出的条件,退出的条件就是说你每次进来一次你都要判断,就是说满足一个什么样的条件。哎,就是这个应该是一个满足,满足一个什么样的条件,然后我就去退出了。我就return了。我就一个return了。所以说这个东西通常就是说开发里面把这个东西叫做回归。回归这个东西叫做死,这个东西叫做循环,这个东西叫做回归自己调自己,自己调自己就叫做递归。懂了吧,自己就叫自己去做DV,然后呢,根据有这个例子之后呢,我去给你们讲一下这个深度爬取和这个普通爬取的一个区别。嗯,就说你看它这个,它深度查询是啥?这个东西就是啥?自己去调自己几回。自己去调自己几回,你看他经常这么这个东西就输ull爬取爬取完之后呢,把ull再进行爬取爬取完了之后呢,再收集再爬取再收集再爬取,这就一个DV嘛。然后这个东西不能一直套娃呀。你说你的旧的URL里边一直有新的URL,它就一直去套娃,这个东西永远都不会停下来了,永远都不会跳停下来了,所以说你需要有一个退出的条件,也就是我上回给你讲的这个条件。需要讲,需要有一个这样的条件,然后呢?可能它这个简单的爬取呢,它就往里面爬多少层,它就退出了,但是这个深度爬取呢,就是也就是你可以理解为就是这个if里面的条件呢比较大。就是这个,这个退出的条件呢?这个是比较小的,这个就是比较大的,就深度爬取,就是比较大的,就自己调自己的数量比较多。能能能懂我意思吧。能不能懂我意思,兄弟们?应该是可以可以懂的吧来大家就是上课的时候有点激情,行不行?我讲的在那,然后你们就一一都不说话,问一下你们就。懂了就说呗,反正咱们互动的时候,反正有的人就不互动就睡着了。上一期就遇到过这样的问题,说话没人响应,然后听着听着都睡着了。所以说这一期又有很多人来就是。你没看这个,这个班里面现在有上一期的人也在听,就是因为上一期听着听着睡着了,这一期又来重新听了。它就是一个这样的东西,然后呢,它这有带cookie去查找的,还有什么,还有等等等一系列的东西,然后我不知道大给大还给大家去演示不?那这个退出条件是啥呀?就是你说这个工具吗?这个工具就是你看嘛?这个深度爬取和这个普通爬取的条件,就是说当前的当前的层级,当前的层级就是说我爬的第一个ul。然后呢?爬完之后呢?爬完之后呢?再把这个爬的这个ul呢?再去请求这就是一层了,然后呢?我请求到的这个ul呢?我再去爬。爬完之后呢,把爬到了再去那个那个那个普通爬就是这是一个循环嘛,然后我第一遍的时候就是第一层,第二遍的时候就是第二层,第三层,第四层,第五层。然后这个退出的条件就是这个层数。退出的条件就是这个层数满足多少层了,那我就退出了,不往不往里边再爬了,不往里边再爬了,这就是它的退出条件。okay,我把这个工具下下来吧。给大家去简单演示一下吧。呃,master。呃,来。给大家去演示一下,我看我觉得还是给大家去演示一下吧。虽然就是这么用的,但是还是给大家去演示一下。呃,指定一个参数杠u百度吧,还是以百度为例。嗯。喂,我cmd了。走你你看完了。那这不行。还是不行。呃,就是它是它的意思,就是说在这个页面里边总共发现了这个86个ul地址。我记得来个深度爬取吧,我觉得还是来个深度爬取,要不然它这个确实不咋行。那个深度爬取。嗯。那这个时间就比较久了,你看它它这个东西就爬出来的东西比较多了,它一直在爬。等等就OK。对这样,它是多级的子域名式的。是的,懂我意思了吧,就是这么个用法,就这么用法,然后呢,你这个哎呀,退都退不了,然后呢,你可以指定一个杠OS去把它输出到哪一个TXT的文件夹里边。输上哪个TXT文件夹里边这个东西是比较好用的,这个当时工具是我当年喜欢用的。现在其实我不咋用这个东西了,有点早了,这个年代但挺好用的,是真的挺好用,你们建议去。呃,下面去试一试。没问题的,是okay的。嗯,这个是就是说。就是说呃,它的原理就通过原就原理就是请求页面并并获取页面里面的所有gs文件,筛选gs中的文件中的子域名。哦呃,然后又教你说怎么去实现这样一个工具,怎么样去实现这个呀?就是请求这个目标的这个ull地址,然后呢?把这个ull的地址的。交给a,然后返回去筛选的时候呢,就是把这个a就是根据它这个标签,把它这根据它这个标签呢,去去去,把这个目标给提出来。哎,其实就是一个很简单的爬虫,这个东西其实都是开发的,我这东西你们知道原理就行了,没必要没必要,确实没必要,就这其实就是开发了都。然后通过直接的交互获取收集目标的反馈,那基本原理是通过工具会带有目标直接交互的功能,二是啥?通过铺判断目标的反馈不同,做出不同的信息判断,我这个图解smp nn map的脚本编写这个就是。讲到这个。n map了,n map不知道大家平时用的多不多?不知道平时用的多不多呃,是这么的,就是说说这个n map的这个场景吧。就是n map,它的参数实在太多太多了,但是我去。去把它都讲一遍,也不切实际,就是是这么回事,就是我直接去给大家说,它在实战中的。这个这个这个应用场景就是说它当你去默,首先两点,第一点就是说你有一个手里有大批量的这个IP。手里你有大批量的IP,我不建议你用n map。手里你用大大批量的,就是很多很多的IP,你都要需要把这些IP做一个端口扫描,那我建议不建议你用这个n map,因为n map它算是已经老的工具。它的实现的这个这个这个语言应该是p吗?map应该是passion去写的,大家都知道这个passion的这个并发是非常低的。pation的这个多线程是假的,假多线程,所以说这个pation是不咋行的,就是并发这一方面啊,是不咋行的。它这个并发的这个方面方面是不咋行的,所以说如果你是很多的IP都要做这个端口扫描,不建议用iMap。如那建议用啥对对对,你说对了就用这个。呃,你少写了个a。诶哦,对mass can。用这个mass can这个也是git HUB上的一个东西,算了,我还是给你们搜一下吧,我我怕你们老有人,就是说我没把工具介绍到位。呃,没事,到时候这个东西还是会在我的文档里面去写的。就它它这个东西是用go去写的。构起来了,因为在并发这一块还得是构型够够可以,它这个号称是啥?就是十分钟扫一扫互联网,把互联网都能扫一遍。号称是十分钟可以扫一遍互联网,就是说如果你有很多的IP,建议用它扫。然后这个东西就是如果说你手里只有一个IP,就是说。你碰到一个IP的站了,然后呢?你就想扫呃发出来了呀?昨天上课之前就发出来了。如果你手里有一个站,有一个站的话,你就用这个n map,然后这个域名去访问域名呃,这个IP去扫就行了,有一个站,因为它这个比较慢嘛。然后呢?呃呃,唯一要讲的一点就是如果你用这个n map默认的命令就是ipn map这个默认的命令,它就是啥?只会扫几,就是说就是常用的那些端口,只会扫那些常用的端口,所以说它不会扫全端口,如果你想扫全端口的话,就是n MA pip,然后杠p1到六五五三五。要这样去写,这是它默认和这个指定的这个端口数量的区别,然后呢,这是第一个,第二个就是啥?第二个就是如果说你确定,因为因为说啥你这个呃,就是它扫描的这个端口协议是不同的。如果你啥都不指定。它默认扫的这个协议我也忘了是啥了,我也忘了啥呢,可能被这个防火墙拦截,你就理解为它可以被防火墙拦截。所以说你用这个杠pn这个参数的话,它这个东西就是即使就是你确定这个IP,它就是存活的,它不是死的情况下。用这个东西就会扫,就是它它的I它的端口,因为如果你不加这个参数的话,就它的协它有的网站就是它防火墙把拦了。他就认为这个我呃,这个IP不是存活的,就是这两个参数,只介绍这两个,一个是杠p,一个是杠pn。咳咳咳。它这个嗯,据我了解啊,据我了解就是它这个网站,它这个a map呢?就是默认的方式呢,是使用这个ping就是先去ping一下ping一下,如果有响应了之后呢,再去进行一个扫描,但是如果说有的网站它是禁ping的,就是不支持这个ping。然后呢ping不行了,之后呢,他再去就是你杠pn的话就是啥,我不用smp去探测你是否存活了,我直接去对你某一个端口建立这个sort,给它这个连接。应该是这个样子,我具体原理我也忘了。呃,然后。哦,这里讲的是啥啊?就是如何去编写一个map的脚本,这个没必要,没必要因为。哎,我刚也说了,就是这一这个东西已经是老家伙了,你就理解为这个东西是老家伙了呃,你用新一代的这个端口扫描,它已经确实是经典归经典,但确实已经是不好用了。呃,要用一些新的这个端口扫描,到时候我会再推荐几款端口扫描的这个工具。呃。然后还有这个基本原理发送网络请求,判断返回值或者信息,然后综合性的直接探测就是goby go by,我之前也说了这个go by。呃,这个go by没用过的,我建立你强烈的去安装一个,我是一直都在用go by这个东西,它不光能扫这个。就是呃端口,它也能扫这个漏洞,它也能扫这个漏洞呃,我一般就是说即使它出漏洞的几率是比较低的啊,我用这个go by它出漏洞的几率是比较低的。所以我在实战中进行一个渗透的时候呢,我会先用这个go by去把它的全端口过一遍。网站的全端口过一遍,过一段,过一遍之后呢,我会去导出它,这个扫完全端口之后的所有的外部的站。导出它所有的web的网站,导出来之后呢,我再去一个一个的去看。你可以理解为我用go by,就是做了个端口扫描判断它的这个外部网站。就是如果它能出动最好,那出一个出不了,无所谓的,我用它其实做的端口扫描多一点。咳咳咳。是不是又卡了?喂喂喂,能听见我说话不?卡了吗?应该没有吧?咳咳咳OK OK OK,我还以为又卡了。然后如何去编写一个基本的这个主动信息收集的工具呢?就是三次握手发送一个sim包呃,大家这个东西就是呃,跟你这个网络这一块东西有关了,不知道大家有没有网络基础啊,但是我可以简单去给大家说一下。就是三次握手这个东西呢,就是你给对方发一个sim包,对方返你一个sim+ack。这个应该都清楚吧,这个应该都都清楚,然后呢?呃不不不,go by它不是在git HUB上,因为go by它不开源,go by是不开源的呃,你要在这个百度上去搜go by,然后它有官网的这个东西,它是不开源的。第一个呃attack surface mapping。attack surface mapping第一个就是它的官网。我把这个翻墙关了,就这一个,然后download就okay。当了就OK,然后呢?它的这个网络交互呢?其实就是c+ack,还有一个呃,这样的一个事。所以说呢,如何去编写一个主动信息收集的这个工具呢?就是还说白了,就是你巧用这个c+ack就OK。是这样的,你用这个这个这个parsen parsen,它有一个包叫做s copy这个包。这个包就是专门负责这个网络协议的,然后呢呃调用它这些函数呢,你就可以发送这个这个这个。呃,比如说你看哦。它这里就指定了一个类型,是这个sim包。指定一个类型是信包往这个这个这个IP里边去发送这个信包。发送一个信包,然后超时时间呢,设置了一个十,如果说你这个呃返回的这个response是一个空的话。返回的,我罚了你一个s in,然后你没给我回话,或者说回了一个其他的东西,反正是空的,那我就判断你这个东西是关的。但是我发一个别的包,然后呢?你你嗯,你回了我一个这个这个这个。呃呃,零叉幺二零叉幺二这个表示一个c+ack,那么表示这个端口是就是哎,它怎么表示端口没开呢?这个应该是表示这个端口是开的哦,对,应该是它如果回你一个C加加ack表示端口是开的。然后呢?他如果就是回了你一个零叉幺四零叉幺四表示rast就是人家把你拒绝了,那你就是端口也没开。啊,就是一个这样的东西,然后呢?其实说呃,没必要用这个p写,就是说这一块我推荐用JAVA去写。因为JAVA它里边有一个socket请求嘛,你直接去跟他建立socket请求,然后如果这个socket请求超时了。就是一句话,就是面向对象一句话sorted so=1个。等于一个new,一个socket,然后呢IP这个地方写一个端口,然后呢设置一个超时时间,如果说它这个超时时间就是超时了,说明它这个端口就没开。就一句话的事,没必要这么麻烦。这个pation也能一样的思路啊。和poc编写的思路一样,分为两个部分,一个是请求的。对gold net包也确实强大,确实强大呃,所以说我现在还是那句话,就是我的课程里面会带你们用不同的语言去写。我前期去教的这个p,然后到poc编写那一块,我就换成这个JAVA了,然后到后面那个老师教,可能他就会用一些go和csr了,所以说。就是语言比较多,就是大家理解这个原理,然后用自己喜欢的语言去写,我尽量都涉及到。和poc的编写其实就是两个部分,第一个部分是请求,请求完了之后呢,就判断啊,根据返回值去判断。就是这两个部分,然后主动信息收集,收集到的这个信息要进行一个处理,第一个是分类将收集到的信息以资产的个体进行分类。第二个部分,拓扑将收集到的信息呢,再一做再一次的这个拓扑整合就是将收集到的信息呢,整合。合并,然后呢,再去放到这个呃,合并到这个之前的这个被动信息收集的这个结果当中,最后要做一个整合,然后要做一些去虫,还有啥的。这个是一些信息收集的后续处理。但是还是那句话,就是最终就是你要生成一个这样的表格。最终你是要生成这样一个表格,就是被动信息收集也好,主动信息收集也好,其实它都围绕不开这几个因素,围绕不开这几个因素。然后呢,实战中的信息收集都是怎么做的?分布式长时间不连续性的这三种特点下的主动信息收集,并且收集到信息会和被动信息收集的。做一个匹配和对应处理最常用的守光方式是模拟或者伪装正常的业务,做信息收集。呃,这里我说一下吧,就是和实实实际结果结合出来,因为。到这一步的话,就是这一章就是这今天这个课完了话信息收集就讲完了,所以就到现在我直接去给大家去讲讲实战中的信息收集我是怎么做的吧?嗯,就是实战中的信息收集分两点分,两点分两条路,第一条路是你想快速打点。快速的打点。就是不需要了解它所有的资产,你只需要了解它的脆弱资产。快速打点第二种方式是我了解你所有的资产,然后呢,就跟你在那就是就是对磕,就我一个点一点一个点的磕,你我还不信磕不进去。就是死磕到底就两两种,两种,第一种是快速打点,第二,第二种是死磕到底。然后呢?这两种怎么选择是基于你这个护网的这个时间的这个长短,基于你护网的这个时间的长短,如果说你这个护网可能就两三天结束了,那你肯定是基于这个快速打点的方式。那么快速打点的方式一定是基于这个被动的信息收集。多一点快速打点的方式一定是基于这个被动的信息收集多一点,因为你的时间有限,你必须要从第三方的平台上被动信息的收集的平台上。去拿到你这些信息。拿到你这些信息,你不能再主动性收集一个一个的去扫了,对吧?这是这是一个前提呃,我主要依赖的就是两个东西。一个是呃,一个是for法哦,一个是这个这个这个呃三六零的那个,还有一个是中辉之眼。就依赖这三个东西,如果说再有的话,那就是我昨天去讲的这个,这个这个呃搜索引擎搜索引擎。然后呢?然后呢?这三个东西我都会去过一遍,因为我昨天也说了,这三个东西虽然它都是网络空间测绘,但是它们的数据是略有不同的。是略有不同的,别让这三个不同的平台去让你错过一些东西去让你错过一些东西,然后呢,语法基本就是我昨天说的说的。就是地区地区。加加,你要打的这个目标。这个body。udy.打的这个body,然后呢?地区加你这个title。就这两点。就这两点,甚至你做的再那个啥一点,你甚至不需要做这个地区,你光做一个title,你光做一个title,其实就是这几点。就是这几点搜索引擎只用做一个什么,只用做一个set。还有一个什么entitle?你开头这就是这就是快速打点的所有方式就是这几种,然后呢,把这几种搜集到的这个IP进行一个指纹的识别。指纹识别。怎么识别?识别出它是一个什么指纹之后呢?打对应的ppoc打对应的工具上对应的工具去复现就OK。这就是最多最多这么哦,不对,这个还忘了一点,忘了一点就是什么,就是这个title。忘了一个语法,就是title and and什么,昨天说的这个APP就是你手里有这个洞的话,你只想打他的oa,那你就APP等于范围APP等于通达。APP等于支援,你只想打这些oa的这些突破口,就直接这样,这就是全部,这就是快速打点的全部,就是你就按照这样一个流程走在for三六零,还有romi这些平台上,还有搜索引擎。就这几个语法理出来,它的所有的这个数据填到这个表里面。填到表里边进行一个指纹的识别,打它的这个工具就行了,打它的工具就OK。然后呢?然后呢?我我刚才说了,这是第一条路,快速打点,但是这一条路。记住有个问题,有个问题。大家都这么玩。就是大家都这么玩,玩上几年之后。这样就玩不下去了。洞这样玩的洞基本就被修完了,基本就被修完了,所以你就得换个玩法了,就只能用主动信息,就是那个我说的那个主动信息收集了。你就是一个细节都不能放过,一个细节都不能放过,只能去什么用?我刚给你说的这个就是子域名的方式。one for all对吧?然后呢?这个搜索引擎是吧?搜法三六零zoomy对吧?然后还有什么?呃,第三方的什么微步对吧?就是把这些所有的机密,还有这个浏览器的这些爬虫,所有都用上,只为搜集它的这个什么。只会搜集它的这个子域名,还有它的这个IP。子域名还有这个IP,然后呢?把这些子域名和IP全部丢到这个我上文介绍的这个mass can里面快速过。扫它的全部端口或者扔到这个go by里边,扫它的全端口等上个一天一夜,他第二天会把这些端口列出来,然后呢,导出这个。所有的这个外部资产,导致他所有的外部资产,然后一个一个的去试他指纹,扫他目录,试他指纹。c段权重的意思就是说啥你看哦,你这个呃子域名不是对应的下来都是IP吗?对吧?子域名下来都对应的是这个IP。都对应到AP上面了,然后呢?你要看它这个AP大多数都散落在哪一个c段当中,比如说这个c段,它的IP都特别多,另一个c段,它的IP都比较少。就是你要做一个c段的权重,就就是说呃,你的大多数的IP都对应在哪个c段里头了?是这么回事,根据子域名去映射出来的这个c端权重。这就是我说的两种方式,两种方式,这就是快打点的这个信息收集的全部内容,第一个是你快速打,第二种是。一拉死磕到底,一堆子域名的工具,一堆这个端口扫描的工具,一堆目录扫描的东西,咱就一批量过。就OK,然后呢?这一系列的前提就是啥?前提就是你手里有很多的工具,红队其实比的就是谁手里的工具多,不可能说我到呃那个。比赛的时候了,我这工具不全,再去下载是肯定不可以不可以的,所以就是啥今天信息收集完就是这节课完了之后我给你们一个作业。就是啊,子域名的工具全给我列出来,端口扫描的工具,你知道全部给我列出来目录扫描的工具,你全部都给我列出来。懂我意思吗?就是把你这一系列知道的工具全部都给我列出来,然后这是作业之一,这是作业之一。咳咳咳。唉,工具之间的流动就是我刚给大家说的,上一个工具的输出变成下一个工具的输入。对吧,公司名称收集主机名,搜索引擎备案,备案网站什么APP info scanner这个工具?征集子域名SSL DNS记录搜索引擎威胁情报网站,这个威胁情报昨天说了一堆端口扫描。MS试看有没有a呀?我忘了。现场搜一下,我记得是有的呀。我记得是有的,有吧,我就记得是有。然后nma pn map还是我刚给你说的。还是我刚给你说的单个网站用的map,多个网站别用的map,还有go back。对对对呃,指纹识别就是找他用了什么中间件什么版本,然后百度搜有没有漏洞,这这个昨天说过了呀。就是看它用了什么指纹,然后呢,直接去百度搜查漏洞就行了。呃指纹识别what web what web这个东西也非常好用,这个昨天忘给你们说了,哎呀。这个东西有点哈。要翻墙。不用识别版本哎,你看这个东西,你思路就局限了啊,不用知道它的版本,不用知道它的版本。是这样的,我以前也很纠结,就这是新手过来的一条路,就我以前也很纠结,说你需要知道它的版本,然后你去打它的,这这对应的这个payload。但是你有没有想过一个问题,就是我不管你什么版本,我把它你已经公开的这个所有的配录的去打一遍,哪一个生效了就行了呀?我为什么要知道你所有的这个,我为什么要知道你的版本,我把所有的配漏的都打一遍,对对对,就是一把缩就行,我管你是什么版本,我直接一把缩。懂我意思吧,没必要知道版本,一把说就OK,我原先也有这个问题,这个问题很正常,我之前刚学的时候也是有这个问题的。呃,webs what what web什么呀?whats can?懵了都。这个啊,这个star three的三点五k ruby写的。呃,what web还有这个插件,这个插件我昨天也给你们说了,就这个插件昨天也说了,还有go by云溪对吧?think p是得得得一堆一堆一堆,对吧?目录扫描第二色是遇见。对吧,然后漏洞扫描AW VS插锐value map对吧?这些东西都可以get up搜到你百把这个东西。one for子域名就是one for哎,我这咋没写呢?奇了怪了。one for最好用的,我最常用的就是one for我最常用的就是one for all。然后还有for法,最长的就one for for法呃代理池,我刚刚也给大家去说了,然后呢呃子域名。我给你们是吧,然后你们赶紧去补充吧,就是我这个东西到时候要给你们,我我一般用的就是这些。OK可以没问题啊,后续的文档发一下,你们还有什么要补充的没?我直接补充进去就大家一块一填,然后给你们发下去,你们就。可以去用,但是把好用的说出来就行了,不好用的就不用说了,就这一方面的工具。你们到时候全部都一安装一那个啥一下就行了嗯。还有没有好用的茶水能用吗?这我这写了呀,插锐能用很好用的,插锐很好用。还有没有人要补充的?哦不不不呃,你看这就这就有问题了,这个插锐。这个插锐非常有必要。非常有必要,真的是非常有必要的,因为它这个好几年前的东西是,但是它是一直更新的,它是一直更新的,而且这个插这个这个poc库。是大家一直去完善的,不是说它不更新了,是大家一直去完完善的。这个这个对对对,这个我都忘写了。这个都我都忘记了,然后对指纹识别,还有个这个。用户glass。到时候我会把更新的发出来。呃,不用BP联动呃,插瑞不用和BP联动。查斯康。不行,插磁看不行,插磁看是不行的f4看端口探测不建议使用f4看端口探测不咋不咋地。fs can打内网还行。多的是好吧,这个万户的这个就能识别出来一哄。万户的这个一哄就能识别出来的呀。这个这个这个。这个多的很,这个和这个都可以go by,也可以云溪,也可以水泽,水泽的话。哎,所以说我其实我觉得它一般,但是别人说它好呢,这个大家褒贬不一,这个东西大家褒贬不一。这个我没听过啊,这个source link hacker,这我没听过。这个是干嘛的?哪一个哪一个步骤的?哪一个不着的?这个也可以目录扫描哎。停停停呃。停停停,这里说一句啊,就是目录扫描这里就大家用一个就行了。大家用一个就行了,我推荐用第二色尺。我推荐用dr search。为啥为啥?我刚刚说了这些,所有的目录扫描就是一个原理,对吧?拼到这个后面。就是这些目录扫描就一个原理,就是把这个前面这个东西拼到后面,对,关键是字典对喽,这个东西关键是字典就这个东西我推荐用第二色纸,可能你有一些好的字典,你替换就行了。关键是字典。这个东西无所谓。gs founder对对对,放到这个收集值域这个里边。哦,这个东西我还没用过,这个东西可以试一下啊,这个东西应该是放到哪一个?这个放进度扫描吧。对对对o kay o kay,那就这些那就这些。这就这些工具,大家下去都去把它安装上来,然后体验一下。体验一下就OK。然后针对性的扫描就这些,然后漏洞复现的工具,那大家需要自己去git HUB去搜了。然后在这里就是为明天做一个铺垫,为明天去做一个铺垫,就是搜集目标云人员的这个邮箱。就是因为你到时候去发这个呃,调邮箱的时候,你要知道你给谁发,你要知道你给谁发,所以你肯定要搜集到一些员工的这个邮箱。搜集到这些员工的邮箱,但是你哎呀,自己去网上一个一个去搜的话又太慢了,所以我这边写了一个脚本,我这边写了一个脚本。呃,我给你们演示一下吧,我这边写了一个脚本,自动去爬互联网上的这个这个这个。呃,我给你们看一下啊,稍等啊。这个。这个稍等啊,我我这个这个是我自己写的。就是为明天做个铺垫,不是明天去讲社工吗?好像是对吧?然后肯定要发一些调用邮箱啥的,我去把这个搜集目标的邮箱写了个工具。铺垫一下。这个我我刚布置了一个啥作业来着,我给忘了,就是在上面。布置了一个作业。明天带我们实操一个不行,真不行。不行,这个真不行,这个东西你知道吧?这个网有网络安全法的,是真的有网络安全法这个东西你我立马要教你们,隔天我就进去了。我隔天就进去了。不是说我不能去实操社工一个。就是你要知道我把这个事情一做,我真的就直接进去了这个东西。不是你社工这个东西,你跟靶机有什么这个这个这个。这个跟靶击没关系啊,这个是人的问题呀,对吧?我只能把方法教你,你让我直接带你去,你就类似于让我怎么去教你去实战那?那么那我进去了呀。我我他妈直接进去了呀,哥哥们,你不能这样呀。这样不好哦。然后你看我写了这样一个工具。呃,你看我写的这两个工具,大家先别管,这个工具是干嘛的?我先大家教怎么怎么用?社工一个,哈哈哈。呃,车工一般好使不好使。那好使,社工上非常好使,一般打不进去的话都用社工,一般打不进去都用社工,社工真的特别好使,我是感觉无敌。我是感觉无敌哦,对对对,哎呀,你看我今天上课的时候,我又说我,我又忘说了一件事,就是说啥咱们这个课程。还是那句话啊,就是说只是教你去使用,就是只是教你,就是说白了就是给你菜刀了,你怎么使用是你的事情。如果说你产生了任何违法的事情,和我这节课的。是没有关系的,和我们我们也不承担这个法律责任呃,菜刀给你了,怎么使用是你的问问题,我这个课程的本身的初衷就是。呃,帮企业做一些渗透测试,就是说其实是帮他们去修复漏洞的,但是如果你用这些东西去做了一些违法的行为。那么我这边是不承担任何法律,法律这个的。这个大家明白吗?如果你明白,你扣一个一你扣一个一,就是保证自己不会把这些技术用作这个犯法的这个行为。就是这东西都是你们去现场。那个啥的。真的真的,别别别瞎搞,别瞎别瞎搞。okay,既然这个没问题的话,那我就演示这个工具啦。我就演示这个工具了,然后我看看啊。我每天上课我都要强调一遍。呃,百度点。我搜谁呢?百度点com。嗯,我搜集谁呢?好家伙。我搜集的是我,我拿谁做李子呢?百度点com对at百度点com吧。哎。嗯哦,没写那个啥。没写参数是。那个啥杠t?嗯,怎么还不行?我都我好久都没用了,我都忘了啊,稍等啊。稍等,稍等。哎,我这个工具我写的我不会用啦。稍等啊。我写的我他妈不会用了,我靠呃,我当时是怎么想的来着?嗯,指定一个目标。呃,是杠u。哎,不对,不是杠u,是哦,对对对,要指定哦,这个是对接的第三方的,这个API嗯。哎呀,我不能给你们演示,要不然我的账号密码泄露了,是这么回事。哎呀,是这么回事,我我我不能演示,我演示了我账号密码泄露了,是这么回事,就是网上呢,它有一个这个这个邮箱的,这个采集平台。是一个国外的站,叫做snowy IO。这个是一个网上的,这个这个这个采集平台。稍等啊,然后呢?你需要去注册就是这样的一个平台,你需要去注册。懂我意思冇。你注册完之后呢?登录上去之后,它还会给你一个a呃,就是呃talking。你理解为是talking。你理解是一个talking。嗯。嗯,账户。呃。账户,然后API。嗯,那个API在哪呢?这个API在哪呢?我还没找到呢。稍等啊,大家我去找一下这个API。就是它会给你一个talking。哎,这有简体中文。不应该呀,就是在这块呀。哦,对哎,我我干嘛呢?我迷了,我迷瞪了,是这样的这样的。是这样的,你点这个。呃,你点这个API,然后点击这个查看API文档。稍等一下。别搞自己人哦,你们要搞我了,你们等着。你们要搞我了,以后不教你们了。就是,反正别搞自己人。别搞自己人,然后呢,它这个文文档就是你需要输入,就是你需要把你的账户名和你的密码。就是输过去之后呢,请求过去,它会返你一个token是这样一个原理,所以说我这个工具就是说你先去,你调我这个工具的时候,你需要给一个杠u的参数,再给一个杠p的参数,然后再给一个杠t的参数。再生成的钱是啥意思?不是不是不是,你只用记住你在上面注册一个账号就OK,你在上面注册一个账号就OK了,然后我会把我这个工具去发给你,我会把这个脚本去发给你,然后呢,你调用这个脚本的时候,你要杠u一下你注册的用户名。然后杠p一下这个密码,然后杠p一下,你查要查的这个域名的邮箱百度点com。然后呢,它就会在同级目录下呢,去生成一份就是搜集到的这个邮箱,类似于这样一个这样的东西。你看这数据是很多的,这样这么多的邮箱,就这样就把这个互联网上这个邮箱都搜集全了。搜集全了呃,这个它我其实是把它写成那个脚本的形式了。然后这个是每个月用户都有这个免费的条数,如果你再用就要付钱了呃,所以说这个东西其实用的也不不是很频繁,就打比赛的时候可能用一下。是有效的,是有效的,肯定是有效的,然后你们到时候我把这个脚本给你们,你们用的时候只需要填这三个参数就行了。user pass还有ter get就OK了。我说一下这个呃。就是对我接下来说一下,这个网站是怎么收集到的?呃,首先我说一下,这个网站是干嘛的吧?它这个网站其实不是给你这些安全人员使用的这个东西,其实是被玩坏了。这个东西其实是给这个销售用的,就是因为销售嘛,他要跑客户,他首先得知道他要联系谁吧,就是他要去有一个联系方式,他才能去跑客户,要不然他去跑谁呀?所以这个网站它提供了一些客,就是你,比如说你要去卖百度的东西,你搜到完之后呢,他把百度所有的人员的这个邮箱给你,之后呢,你去一个一个挨个的去查。就是说呃,去往里面卖东西,它是给销售服务的,最终就被玩成这样,然后这个它的原理就是说它定期会去爬这个网络上的互联网上的。比如说他去爬这个百度上的,你比如说我现在就去查,要百度我就百度点。点com就是搜索这个关键字,对吧?大家懂我意思吧?你看这样就会出现这个百度的这个这个这个这个大家懂我意思吗?它其实就是网网站,就是通过这些搜索引擎呢,它去爬到这个。这个这个,然后他通过很多搜索引擎,谷歌啦也好,百度的也好,还有什么git HUB git HUB这些网站,他通过这些关键字呢,去把这些。用正则表达式的东西呢,把这些就是油箱给爬出来,把这些油箱给爬出来,是通过这样一个形式去爬的。你可以理解为它整合了很多平台的这个爬虫。整合了很多平台的爬虫,专门去爬这个邮箱定居去爬。原理就是这么原理,然后今天的课程就这么多。今天课程就这么多。然后下节课去讲这个社会工程学的这个水坑攻击水坑攻击。OK,我把录屏给结束。哎呀,讲的累死了。那个cdn为什么不支持邮箱服务器啊?老师没搜到原理。来。你松,你把我还问住了,为什么这个东西我也不知道原理,说句实话,我也不是很清楚原理为什么,但是就是不不能用,为什么邮箱服务器?不能使用cdn,这大家有没有清楚的?我还真不清楚。又没人去解答这个问题。你看啊,现在这个问题百度上都他妈没回答的。好烦哦。哦,对呀。哎,靠。不不,我明白了,哎呀我我傻了,我傻了,你cdn是做静态资源访问的呀。对吧,你要清楚cdn的本质是啥呀?你cdn是做就是静态资源的,就是它你本来要访问一个网址。它做一个就近就是说你访问这个静态资源的话,你就近访问这个网址,它有一个缓存的这个对对对,哎呀我我。我都迷了,你cda是做的静态资源的这个呀。工厂主机这样的VPN发送邮件应用在天天天max记录到位置,因为c0级的max。反正第一个原理就是它根本就不能。就是。就是做这个邮箱服务器上用cdn,你cdn是做静态资源访问的呀。没没关系没关系,跟你那个没关系,你cdn是做静态资源访问的呀,你你你邮箱是邮箱,你这俩者完全就不牵扯,你肯定邮箱不能做,你cdn你本质是什么?就是为了静态资源做一些缓存就近访问呀。但是你邮箱这个东西怎么不又不是静态资源呀?对吧?就这个原因。应该是吧。你把我还问出来,突然我都懵逼了,你刚问的时候我还直接都懵逼了,我说为什么这个东西不能做那个啥,我都懵逼来是这样来,咱今天的课都听懂的,扣个一。是今天这个课都听懂了,来扣个一。今天课都听懂了,来扣个一我看一下。基本懂啊,为什么是基本懂呢?有哪不懂?没扣一的是已经睡着啦诶,上一期的学员吴佳明呢?得慢慢吸收OK,那肯定是要有一个过程的,吴佳明吴佳明在不?OK,我在的在的OK。吴家明哦听扣一了,一起来一你一起你哈哈。依然是一期的。那个带汉字的操你不是吧,1g的又跑来听了一遍。可以可以可以。OK,我看大家都扣一了,没扣一的是睡着了还是咋?反正应该大部分都扣了,然后说一下今天的作业就是。刚给大家说了啊,就是第一个就是把这个工具的整体就哪一个阶段用哪些工具?然后呢呃。呃,这个作业都是老的作业了,这个作业咋不说第一个作业就是说嗯,做一个那个整理。第二个作业是啥啊?第二个作业。呃,我想想啊,就是。OK OK,补充新东西没问题,第二个作业就是。百度今天百度今天咱不做,就是咱光去做这个。嗯,昨天的被动信息收集了,咱今天要把咱今天的新学的这个主动信息收集。主动进行收集。哎,算了,这个太简单了,我想想我想想嗯。我想想我想想今天去练一个啥啊呃。反正感觉也挺简单的呀,要不这样吧。嗯嗯。那个东西太简单了。就这样吧,大家今天把自己的这个武器库给完善了吧?社工别人那是犯法的呀,哥哥,你干嘛老要走那条路呀?你就你让我很难堪呀,哥哥,你不能那样呀,那百度ssc没到挖的时候呢?我不行,你作业你不能去社工,别人呀,社工别人是明天的。啊不不,明天也不能社工别人呀。反正这种话,你别课堂上说对吗?不不不,做完全的信息收集,这个东西有点简单,是这样吧,你们今天把你们这个。你今天把你这个武器库给我完善了,就是我现在说的这个每一个阶段的武器库。全部都给我完完善了每一个阶段的。我今天把这个五期库给我都完善了,就okay了。武器库啊,每一个阶段的武器库进行一个汇总,汇总完了之后呢,自己去武装一下自己的武器库。我就说发现你你你不是我发现你这个人思想很危险哦,就是你这个你猜啊,我感觉你就总想走犯法那条路。啊呃,专门搜c端的工具,就是我昨天讲的这个是昨天讲的,一哄一哄。还有glass,glass都是过c段的。给我个教育src的邀请码,这个我我我给了很多人了,我这边没有了。我给了太多人了,我这边没有了。我我给了很多人了,我早都不玩那个东西了,以前大概有几十积分,然后学员都跟我要,我都给别的学员了。现在手里没有这个了。自己去挖一个洞,然后去提交吧,也能获得OK,今天就是把这个每个阶段的这个武器武器都完善一下,然后把自己的就是东西都安装上完善一下。这个就今天作业,然后呃,今天作业就这样了,然后明天讲社会工程学。大家拜拜。
