子域名收集
<p><strong>免责声明:由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本篇文章作者不为此承担任何责任,一旦造成后果请自行承担!</strong></p><h2 id="简介">简介</h2>
<p>在安全测试或渗透测试过程中,收集的资产越多越容易找到入口点,同时一般主域的防护性比较高,子站或不常用的站点防护性偏弱或没有防护。<br>
子域名收集大多分为两种方式,被动收集和主动收集。</p>
<p>被动收集:指在不与目标站点进行交互的情况下,通过第三方进行收集。这种方式有着明显的优势,因为不需要和目标系统进行交互,所以不会对目标系统造成任何影响,更不会触发任何安全产品的告警。</p>
<p>主动收集:指通过与目标系统进行交互,对子域名进行收集。因为需要和目标站点进行交互,有触犯安全产品告警的风险。</p>
<h2 id="被动收集">被动收集</h2>
<h3 id="搜索引擎">搜索引擎</h3>
<p>使用百度、谷歌等搜索引擎的高级语法进行查询如<br>
<code>site:*.baidu.com</code></p>
<h3 id="网络资产搜索引擎">网络资产搜索引擎</h3>
<p>常见的空间测绘:</p>
<pre><code>(http://fofa.info/ "fofa")
(https://www.shodan.io/ "shodan")
(https://www.zoomeye.org/ "zoomeye")
(https://quake.360.cn/ "quake")
(https://hunter.qianxin.com/ "hunter")
</code></pre>
<p>直接使用搜索语法进行查询,以fofa为例</p>
<pre><code>domain="baidu.com"
</code></pre>
<h3 id="第三方dns服务">第三方DNS服务</h3>
<h4 id="virustotal">virustotal</h4>
<p>直接选择search 然后输入要搜索的域名</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230408312-1365677815.png" alt="image" loading="lazy"><br>
查询结果点击relations</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230424968-776849185.png" alt="image" loading="lazy"></p>
<h4 id="微步">微步</h4>
<p>在首页中输入要查询的域名</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230448399-1226717103.png" alt="image" loading="lazy"></p>
<p>查询结果中点击子域名进行查看</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230500590-1397254592.png" alt="image" loading="lazy"></p>
<h4 id="rapiddns">rapiddns</h4>
<p>https://rapiddns.io/subdomain</p>
<p>首页输入域名点击搜索<br>
<img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230520609-522164634.png" alt="image" loading="lazy"></p>
<h4 id="dnsdumpster">dnsdumpster</h4>
<p>https://dnsdumpster.com/</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230537147-1234803963.png" alt="image" loading="lazy"></p>
<h4 id="其他">其他</h4>
<pre><code>https://decoder.link/
https://searchdns.netcraft.com/
https://pentest-tools.com/information-gathering/find-subdomains-of-domain
https://www.pkey.in/tools-i/search-subdomains
https://hackertarget.com/find-dns-host-records/
https://findsubdomains.com/
https://spyse.com/
</code></pre>
<h3 id="证书">证书</h3>
<p>证书:当通过HTTPS访问web时,网站向浏览器提供数字证书,此证书用于识别网站的主机名,由证书颁发机构(CA,Certificate Authority)颁发。</p>
<p>证书透明: 证书透明(CT)是证书颁发机构(CA)必须将其发布的每个SSL/TLS证书发布到公共日志的项目。SSL/TLS证书通常包含域名,子域名和电子邮件地址等信息。</p>
<p>当目标网站访问是通过https时可以通过这种方法收集子域名,直接搜索主域名即可。因为这种方法的原理是根据日志信息收集,只增不减,所以可能会出现一些失效的子域名。</p>
<h4 id="cstsh">cst.sh</h4>
<p>https://crt.sh/</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230828126-80464783.png" alt="image" loading="lazy"></p>
<p>其他</p>
<pre><code>censys:https://censys.io/certificates
myssl:https://myssl.com/
spyse:https://spyse.com/search/certificate
certspotter:https://sslmate.com/certspotter/api/
entrust:https://www.entrust.com/ct-search/
facebook:https://developers.facebook.com/tools/ct
google:https://developers.facebook.com/tools/ct
</code></pre>
<h4 id="asn">ASN</h4>
<p>AS 号码帮助识别属于组织的网络块,而该网络快又可能具有有效域</p>
<p>ip 查询:https://asn.cymru.com/cgi-bin/whois.cgi</p>
<p>域名搜索:https://bgp.he.net/</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230908089-710851315.png" alt="image" loading="lazy"></p>
<p>把搜索结果使用搜索引擎进行查询</p>
<p><img src="https://img2022.cnblogs.com/blog/2558377/202210/2558377-20221012230918958-910622317.png" alt="image" loading="lazy"></p>
<p>也可以把asn结果使用nmap进行查询</p>
<p>https://nmap.org/nsedoc/scripts/targets-asn.html</p>
<p>nmap --script targets-asn --script-args targets-asn.asn=23724 > aa.txt</p>
<h2 id="主动子域名收集">主动子域名收集</h2>
<h3 id="字典枚举">字典枚举</h3>
<p>字典枚举即利用常见的子域名字典,进行暴力破击,最终获得有效的子域名。</p>
<p>常用工具</p>
<pre><code>https://github.com/shmilylty/OneForAll
https://github.com/aboul3la/Sublist3r
https://github.com/knownsec/ksubdomain
https://github.com/yunxu1/dnsub
https://github.com/euphrat1ca/LayerDomainFinde
https://github.com/infosec-au/altdns
https://github.com/blechschmidt/massdn
https://github.com/projectdiscovery/subfinder
https://github.com/gwen001/github-subdomains
</code></pre>
<h3 id="公开数据集">公开数据集</h3>
<p>利用已有公开的扫描数据集,对子域名信息进行收集。推荐常用的两个:</p>
<pre><code>https://scans.io/study/sonar.rdns_v2
https://opendata.rapid7.com/
</code></pre>
<p>这些数据过大,不推荐</p>
<h3 id="域传送漏洞">域传送漏洞</h3>
<p>DNS区域传输是将DNS数据库或DNS记录从主名称服务器复制到辅助名称服务器的过程。如果DNS服务器没有进行严格的配置,只要收到AXFR请求就进行域传送,便造成了该漏洞。域传送过程中,传递的信息除了子域外,还有电子邮件地址、电子邮件服务器等信息,可用于钓鱼攻击。其实,域传送漏洞本身就是一个高危漏洞。</p>
<p>域传送漏洞的即常见验证方式:</p>
<p>nslookup</p>
<pre><code>输入nslookup进入交互式shell
$ nslookup
2.server命令 参数设定查询将要使用的DNS服务器
$ server xxx.com
如果漏洞存在的话,可以使用ls命令列出所有域名
$ ls
$ exit
</code></pre>
<h2 id="综合工具">综合工具</h2>
<p>ARL<br>
https://github.com/TophantTechnology/ARL</p>
<p>fofohub<br>
https://hub.fofa.info/</p>
<h2 id="参考文章">参考文章</h2>
<p>https://www.freebuf.com/vuls/328801.html</p>
<p>https://www.freebuf.com/articles/191363.html</p><br><br>
来源:https://www.cnblogs.com/xinga/p/16786500.html
頁:
[1]