毕业论文之信息收集阶段——域名发现
<p>信息收集之域名发现</p><p></p><div class="toc"><div class="toc-container-header">目录</div><ul><li>前言</li><li>枚举发现子域名</li><li>搜索引擎发现子域名</li><li>第三方聚合服务发现子域名</li><li>证书透明性信息发现子域名</li><li>dns域传送漏洞<ul><li>漏洞原理</li><li>漏洞利用</li></ul></li><li>域名泛解析问题</li><li>总结</li></ul></div><p></p>
<h1 id="前言">前言</h1>
<p>因为马上毕业了,给自身定位大概是红队这样的方向。所以现在学习目标以红队知识和毕业论文设计为主,最近star一个师傅的面试经https://github.com/vvmdx/Sec-Interview-4-2023,发现其中一些问题没有很好理解,现在正好系统学习一下,并把它集成到我的毕业论文里。</p>
<p><strong>域名发现</strong></p>
<p>在实际渗透测试中,企业对于www.xxx.com这样的主站防护措施健全,而对于子域名应用的防护不一定及时。攻击者在主站域名找不到突破口时,就可以进行子域名的信息收集,通过子域名进行迂回攻击</p>
<h1 id="枚举发现子域名">枚举发现子域名</h1>
<ul>
<li>使用Layer子域名挖掘工具</li>
</ul>
<p>将结果保存为txt中</p>
<p><img src="https://img2022.cnblogs.com/blog/1960851/202202/1960851-20220222113259215-1076152392.png" alt="" loading="lazy"></p>
<ul>
<li>使用subDomiansBrute</li>
</ul>
<p>https://github.com/lijiejie/subDomainsBrute</p>
<p>通过纯DNS爆破来找到子域名,同时可以最新更新增加-w参数强制扫描泛解析的域名</p>
<p><img src="https://img2022.cnblogs.com/blog/1960851/202202/1960851-20220222113310612-335216295.png" alt="" loading="lazy"></p>
<h1 id="搜索引擎发现子域名">搜索引擎发现子域名</h1>
<p>google hack</p>
<pre><code>site:xxx.com
</code></pre>
<p><img src="https://img2022.cnblogs.com/blog/1960851/202202/1960851-20220222113320403-1672179422.png" alt="" loading="lazy"></p>
<h1 id="第三方聚合服务发现子域名">第三方聚合服务发现子域名</h1>
<ul>
<li>sublist3r</li>
</ul>
<p>https://github.com/aboul3la/Sublist3r</p>
<p>使用公开来源情报和搜索引擎枚举子域名</p>
<p>python sublist3r.py -d xxx.com</p>
<p>聚合:</p>
<pre><code>supported_engines = {'baidu': BaiduEnum,
'yahoo': YahooEnum,
'google': GoogleEnum,
'bing': BingEnum,
'ask': AskEnum,
'netcraft': NetcraftEnum,
'dnsdumpster': DNSdumpster,
'virustotal': Virustotal,
'threatcrowd': ThreatCrowd,
'ssl': CrtSearch,
'passivedns': PassiveDNS
}
</code></pre>
<p>同时使用随机数判断是否泛解析,但是并不支持</p>
<h1 id="证书透明性信息发现子域名">证书透明性信息发现子域名</h1>
<ul>
<li>使用crt.sh对域名进行搜索</li>
</ul>
<p>https://crt.sh</p>
<p><img src="https://img2022.cnblogs.com/blog/1960851/202202/1960851-20220222113331642-834094677.png" alt="" loading="lazy"></p>
<ul>
<li>使用google对域名进行搜索</li>
</ul>
<p>https://transparencyreport.google.com/https/certificates</p>
<p><img src="https://img2022.cnblogs.com/blog/1960851/202202/1960851-20220222113339723-2028880276.png" alt="" loading="lazy"></p>
<h1 id="dns域传送漏洞">dns域传送漏洞</h1>
<h2 id="漏洞原理">漏洞原理</h2>
<p>正常情况下,主DNS服务器的DNS区域传送请求只会转发给从DNS服务器,进行 数据更新,但是很多DNS服务器由于错误配置导致任意DNS区域传送请求都会进行数据库同步,区域数据库的信息就会被非正常获取,此时即可搜集数据库中存储的攻击域下面的所有子域名相关信息</p>
<p>正确的配置包括</p>
<blockquote>
<p>allow-transfer {ipaddress;}; 通过ip限制可进行域传送的服务器</p>
<p>allow-transfer { key transfer; }; 通过key限制可进行域传送的服务器</p>
</blockquote>
<h2 id="漏洞利用">漏洞利用</h2>
<ul>
<li>windows下利用:</li>
</ul>
<ol>
<li>nslookup命令进入交互式shell</li>
<li>server命令 参数设定查询将要使用的DNS服务器</li>
<li>ls命令列出某个域中的所有域名</li>
</ol>
<p><img src="https://img2022.cnblogs.com/blog/1960851/202202/1960851-20220222113347856-781289457.png" alt="" loading="lazy"></p>
<ul>
<li>linux下利用:</li>
</ul>
<pre><code>dig xxx.com ns 判断DNS服务器
dig axfr @dns xxx.com 发起axfr请求,获取其域内所有域名
</code></pre>
<h1 id="域名泛解析问题">域名泛解析问题</h1>
<p>泛解析会导致,将本不存在的子域名被解析到某个ip上。为了验证是否存在泛解析的情况,我们可尝试请求随机字符串构造的子域名,若多次尝试的结果均可解析到某一ip,则放弃对其子域名的大量爆破,转由其他手段进行分析。</p>
<blockquote>
<p>这时通过DNS泛解析域名时返回的TTL相同。根据确切不存在的子域名记录(md5(domain).domain)获取黑名单 IP,对爆破过程的结果进行黑名单过滤。但这种宽泛的过滤很容易导致漏报,如泛解析记录为 1.1.1.1,但某存在子域名也指向 1.1.1.1,此时这个子域名便可能会被黑名单过滤掉。可以将 TTL 也作为黑名单规则的一部分,评判的依据是:在权威 DNS 中,泛解析记录的 TTL 肯定是相同的,如果子域名记录相同,但 TTL 不同,那这条记录可以说肯定不是泛解析记录。</p>
</blockquote>
<h1 id="总结">总结</h1>
<p>目前论文智能化渗透系统信息收集阶段思路是把OneForAll集成进去,同时和fofa接口对接,再把楞洞也集成进行,看看信息收集效果如何。一点一点搬砖ing,要学的太多啦!!!</p><br><br>
来源:https://www.cnblogs.com/karsa/p/15922412.html
頁:
[1]