子域名收集

免责声明:由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本篇文章作者不为此承担任何责任,一旦造成后果请自行承担!

简介

在安全测试或渗透测试过程中,收集的资产越多越容易找到入口点,同时一般主域的防护性比较高,子站或不常用的站点防护性偏弱或没有防护。
子域名收集大多分为两种方式,被动收集和主动收集。

被动收集:指在不与目标站点进行交互的情况下,通过第三方进行收集。这种方式有着明显的优势,因为不需要和目标系统进行交互,所以不会对目标系统造成任何影响,更不会触发任何安全产品的告警。

主动收集:指通过与目标系统进行交互,对子域名进行收集。因为需要和目标站点进行交互,有触犯安全产品告警的风险。

被动收集

搜索引擎

使用百度、谷歌等搜索引擎的高级语法进行查询如
site:*.baidu.com

网络资产搜索引擎

常见的空间测绘:

[fofa](http://fofa.info/ "fofa")

[shodan](https://www.shodan.io/ "shodan")

[zoomeye](https://www.zoomeye.org/ "zoomeye")

[quake](https://quake.360.cn/ "quake")

[hunter](https://hunter.qianxin.com/ "hunter")

直接使用搜索语法进行查询,以fofa为例

domain="baidu.com"

第三方DNS服务

virustotal

直接选择search 然后输入要搜索的域名

image
查询结果点击relations

image

微步

在首页中输入要查询的域名

image

查询结果中点击子域名进行查看

image

rapiddns

https://rapiddns.io/subdomain

首页输入域名点击搜索
image

dnsdumpster

https://dnsdumpster.com/

image

其他

https://decoder.link/

https://searchdns.netcraft.com/

https://pentest-tools.com/information-gathering/find-subdomains-of-domain

https://www.pkey.in/tools-i/search-subdomains

https://hackertarget.com/find-dns-host-records/

https://findsubdomains.com/

https://spyse.com/

证书

证书:当通过HTTPS访问web时,网站向浏览器提供数字证书,此证书用于识别网站的主机名,由证书颁发机构(CA,Certificate Authority)颁发。

证书透明: 证书透明(CT)是证书颁发机构(CA)必须将其发布的每个SSL/TLS证书发布到公共日志的项目。SSL/TLS证书通常包含域名,子域名和电子邮件地址等信息。

当目标网站访问是通过https时可以通过这种方法收集子域名,直接搜索主域名即可。因为这种方法的原理是根据日志信息收集,只增不减,所以可能会出现一些失效的子域名。

cst.sh

https://crt.sh/

image

其他

censys:https://censys.io/certificates
myssl:https://myssl.com/
spyse:https://spyse.com/search/certificate
certspotter:https://sslmate.com/certspotter/api/
entrust:https://www.entrust.com/ct-search/
facebook:https://developers.facebook.com/tools/ct
google:https://developers.facebook.com/tools/ct

ASN

AS 号码帮助识别属于组织的网络块,而该网络快又可能具有有效域

ip 查询:https://asn.cymru.com/cgi-bin/whois.cgi

域名搜索:https://bgp.he.net/

image

把搜索结果使用搜索引擎进行查询

image

也可以把asn结果使用nmap进行查询

https://nmap.org/nsedoc/scripts/targets-asn.html

nmap --script targets-asn --script-args targets-asn.asn=23724 > aa.txt

主动子域名收集

字典枚举

字典枚举即利用常见的子域名字典,进行暴力破击,最终获得有效的子域名。

常用工具

https://github.com/shmilylty/OneForAll

https://github.com/aboul3la/Sublist3r

https://github.com/knownsec/ksubdomain

https://github.com/yunxu1/dnsub

https://github.com/euphrat1ca/LayerDomainFinde

https://github.com/infosec-au/altdns

https://github.com/blechschmidt/massdn

https://github.com/projectdiscovery/subfinder

https://github.com/gwen001/github-subdomains

公开数据集

利用已有公开的扫描数据集,对子域名信息进行收集。推荐常用的两个:

https://scans.io/study/sonar.rdns_v2
https://opendata.rapid7.com/

这些数据过大,不推荐

域传送漏洞

DNS区域传输是将DNS数据库或DNS记录从主名称服务器复制到辅助名称服务器的过程。如果DNS服务器没有进行严格的配置,只要收到AXFR请求就进行域传送,便造成了该漏洞。域传送过程中,传递的信息除了子域外,还有电子邮件地址、电子邮件服务器等信息,可用于钓鱼攻击。其实,域传送漏洞本身就是一个高危漏洞。

域传送漏洞的即常见验证方式:

nslookup

输入nslookup进入交互式shell
$ nslookup

2.server命令 参数设定查询将要使用的DNS服务器
$ server xxx.com

如果漏洞存在的话,可以使用ls命令列出所有域名
$ ls

$ exit

综合工具

ARL
https://github.com/TophantTechnology/ARL

fofohub
https://hub.fofa.info/

参考文章

https://www.freebuf.com/vuls/328801.html

https://www.freebuf.com/articles/191363.html

posted @ 2022-10-12 23:18  axing的星空  阅读(1467)  评论(0编辑  收藏  举报