【網(wǎng)絡(luò)安全】信息收集系列|子域名收集姿勢總結(jié)

時間：2023-02-09 00:24:01 | 來源：建站知識

時間：2023-02-09 00:24:01 來源：建站知識

聲明：本文初衷為分享網(wǎng)絡(luò)安全知識，請勿利用技術(shù)做出任何危害網(wǎng)絡(luò)安全的行為，由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負責

概述

在滲透測試或SRC漏洞挖掘中，安全測試人員通常會得到一些域名資產(chǎn)。為了更好地進行滲透測試，通常都需要進行子域名收集。

為什么需要進行子域名收集？

擴大資產(chǎn)范圍，可以增加漏洞發(fā)現(xiàn)的概率
眾所周知，一般情況下主站的安全性可能相對較高，而一些不常用的子站或者上線不久的站點，可能安全方面的考慮還沒有很周全，可能成為目標系統(tǒng)的脆弱點
通常情況下，同一組織采用相同應(yīng)用搭建多個服務(wù)的可能性很大，以及補丁的情況也可能大致相同，因此，存在相同漏洞的概率非常大

子域名收集通常分為兩種方式，分別為被動收集和主動收集。

被動收集是指，在不與目標系統(tǒng)進行交互的情況下，通過第三方進行收集。這種方式有著明顯的優(yōu)勢，因為不需要和目標系統(tǒng)進行交互，所以不會對目標系統(tǒng)造成任何影響，更不會觸發(fā)任何安全產(chǎn)品的告警。

被動子域名收集的方式：

信息泄露
搜索引擎
網(wǎng)絡(luò)空間測繪引擎
證書透明
第三方DNS服務(wù)
AS 號碼查詢
SAN 收集
使用公共數(shù)據(jù)集

主動收集是指，通過與目標系統(tǒng)進行交互，對子域名進行收集。因為需要和目標系統(tǒng)進行交互，很可能出現(xiàn)高頻訪問等情況，有觸犯安全產(chǎn)品告警的風險。

主動收集子域名的方式：

字典枚舉
置換掃描
域傳送漏洞
DNSSEC
DNS緩存

被動子域名收集

信息泄露

• corssdomain.xml
  跨站策略文件，主要是為web客戶端(如Adobe Flash Player等)設(shè)置跨域處理數(shù)據(jù)的權(quán)限，里面可能包含部分域名信息。
• Github 、Gitee等代碼倉庫中，可能有相關(guān)子域名的信息
• 抓包分析獲取，如一些靜態(tài)資源的請求、一些APP或者小程序接口、郵件服務(wù)器等等

【→所有資源關(guān)注我，私信回復(fù)“資料”獲取←】
1、網(wǎng)絡(luò)安全學習路線
2、電子書籍（白帽子）
3、安全大廠內(nèi)部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經(jīng)典題目解析
7、全套工具包
8、應(yīng)急響應(yīng)筆記

搜索引擎

常用的搜索引擎有Google和百度，基礎(chǔ)的搜索語法：

site:*.baidu.com一般用作工具搜集的補充，也可以編寫腳本進行批量操作

網(wǎng)絡(luò)資產(chǎn)搜索引擎

常見的空間測繪引擎：
Shodan
Zoomeye
Fofa

直接在搜索框使用語法進行搜素，基礎(chǔ)語法：

domain=Your_domain也可以利用API進行搜索

echo 'domain="baidu.com"' | base64 - | xargs -I{} curl "https://fofa.info/api/v1/search/all?email=${Your_Mail}&key=${Your_Key}&page=1&qbase64={}"再編寫個腳本，對返回的數(shù)據(jù)進行簡單的處理，即可獲得一個子域名列表。

import requestsfrom base64 import b64encodeimport json# 配置信息domain = 'domain="baidu.com"'domain = str(b64encode(domain.encode("utf-8")), "utf-8")email = "Your_email"key = "Your_key"# endurl = "https://fofa.info/api/v1/search/all?email={email}&key={key}&qbase64={domain}".format(email=email, key=key, domain=domain) + "&page={page}"page = 1subdomain = list()while True: url = url.format(page=str(page)) req = requests.get(url=url).text result = json.loads(req)['results'] if result: tmp = [i[0] for i in result] subdomain += tmp else: break page += 1print(set(subdomain)) # 去重

注：這里的代碼僅僅是展現(xiàn)處理的邏輯，暫未考慮優(yōu)化處理，

第三方DNS服務(wù)

VirusTotal

VirusTotal會運行DNS復(fù)制功能，通過存儲用戶訪問URL時執(zhí)行的DNS解析來構(gòu)建數(shù)據(jù)庫。

其他在線DNS工具匯總：
https://decoder.link/
https://searchdns.netcraft.com/
https://dnsdumpster.com/
https://pentest-tools.com/information-gathering/find-subdomains-of-domain
https://www.pkey.in/tools-i/search-subdomains
https://hackertarget.com/find-dns-host-records/
https://findsubdomains.com/
https://spyse.com/

證書透明

• 證書
  當通過HTTPS訪問web時，網(wǎng)站向瀏覽器提供數(shù)字證書，此證書用于識別網(wǎng)站的主機名，由證書頒發(fā)機構(gòu)(CA,Certificate Authority)頒發(fā)。
• 證書透明
  證書透明（CT）是證書頒發(fā)機構(gòu)（CA）必須將其發(fā)布的每個SSL/TLS證書發(fā)布到公共日志的項目。SSL/TLS證書通常包含域名，子域名和電子郵件地址等信息。

常用證書透明查詢網(wǎng)站
censys：https://censys.io/certificates
crtsh：https://crt.sh/
spyse：https://spyse.com/search/certificate
certspotter：https://sslmate.com/certspotter/api/
entrust：https://www.entrust.com/ct-search/
facebook：https://developers.facebook.com/tools/ct
google：https://developers.facebook.com/tools/ct

使用也是比較簡單，直接搜索主域名即可。因為這種方法的原理是根據(jù)日志信息收集，只增不減，所以可能會出現(xiàn)一些失效的子域名。

ASN

AS 號碼幫助識別屬于組織的網(wǎng)絡(luò)塊，而該網(wǎng)絡(luò)快又可能具有有效域

查找ASN

• 基于IP查找：https://asn.cymru.com/cgi-bin/whois.cgi
• 基于域名查找：https://bgp.he.net/

1. 使用nmap進行查找

nmap --script targets-asn --script-args targets-asn.asn=Your_asn > netblocks.txt像fofa這類的網(wǎng)絡(luò)空間測繪引擎也支持ASN查找

SAN

SAN(Subject Alternative Name) 是 SSL 標準 x509 中定義的一個擴展。使用了 SAN 字段的 SSL 證書，可以擴展此證書支持的域名，使得一個證書可以支持多個不同域名的解析。

允許在安全證書中使用 subjectAltName字段將多種值與證書關(guān)聯(lián)，這些值被稱為主題備用名稱。名稱可包括：IP地址、DNS名稱等。

這里用火狐瀏覽器作為例子：

























也可以使用 appsecco 提供的shell腳本：

sed -ne 's/^/( */)Subject://1/p;/X509v3 Subject Alternative Name/{ N;s/^.*/n//;:a;s/^/( */)/(.*/), //1/2/n/1/;ta;p;q; }' < <( openssl x509 -noout -text -in <( openssl s_client -ign_eof 2>/dev/null <<<$'HEAD / HTTP/1.0/r/n/r' / -connect baidu.com:443 ) )公開數(shù)據(jù)集

利用已有公開的掃描數(shù)據(jù)集，對子域名信息進行收集。推薦常用的兩個：

https://scans.io/study/sonar.rdns_v2
https://opendata.rapid7.com/

通常這些數(shù)據(jù)集都是比較大，可以使用命令進行快速查找

wget https://scans.io/data/rapid7/sonar.fdns_v2/20170417-fdns.json.gzcat 20170417-fdns.json.gz | pigz -dc | grep ".Your_Target.org" | jq

主動子域名收集

字典枚舉

字典枚舉即利用常見的子域名字典，進行暴力破擊，最終獲得有效的子域名。這種方法有比較大的局限，能收集到多少子域，取決于字典的覆蓋程度，同時還有比較致命的缺點，即會造成較大的流量，可能會讓目標系統(tǒng)的安全產(chǎn)品造成告警。

常用工具：

• Aquatone
• Bluto-Old
• DNS-Discovery
• Dnssearch
• Amass
• Subbrute
• subDomainBrute
• Sublist3r
• OneForAll
• DNSBrute

部分工具可能長時間沒更新，字典可能比較老舊，可以根據(jù)需求修改成自己的字典

置換掃描

使用已知域/子域名的排列組合來識別新的子域名，使得字典有一定的針對性，提高準確率

比較常用的工具是 altdns（具體的工具使用見下一節(jié)）

域傳送漏洞

DNS區(qū)域傳輸是將DNS數(shù)據(jù)庫或DNS記錄從主名稱服務(wù)器復(fù)制到輔助名稱服務(wù)器的過程。如果DNS服務(wù)器沒有進行嚴格的配置，只要收到AXFR請求就進行域傳送，便造成了該漏洞。域傳送過程中，傳遞的信息除了子域外，還有電子郵件地址、電子郵件服務(wù)器等信息，可用于釣魚攻擊。其實，域傳送漏洞本身就是一個高危漏洞。

域傳送漏洞的即常見驗證方式：

nslookup

# 1.nslookup命令進入交互式shell$ nslookup# 2.server命令 參數(shù)設(shè)定查詢將要使用的DNS服務(wù)器$ server xxx.com# 3.如果漏洞存在的話，可以使用ls命令列出所有域名$ ls# 4.退出$ exitdig

在Linux下，可以使用dig命令來發(fā)送DNS請求，這里只需要發(fā)送axfr類型的DNS請求，如果存在該漏洞，則會返回所有解析記錄。

dig @Target_DNS_Server_IP axfr 查詢的域名dnswalk

在Kali中已經(jīng)預(yù)裝的工具，這里需要注意的是，要使用域名的完整形式，即 .不能省略

dnswalk your_domain.nmap

namap 中也有域傳送漏洞的檢測腳本：

nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=Your_domain -p 53 -Pn dns.xxx.yyy.comDNSSEC

DNSSEC，即域名系統(tǒng)安全擴展，主要功能是通過建立信任鏈來保護DNS中數(shù)據(jù)的完整性和真實性。由于DNSSEC處理不存在域名的方式，可以遍歷DNSSEC域并枚舉該域中的所有域名

常用的工具：

• ldns-walk
  可以使用 apt-get 安裝

apt-get install ldnsutils

• nsec3walker
• nsec3map

DNS緩存

在常見的企業(yè)網(wǎng)絡(luò)中，通常都會配置DNS服務(wù)器，為網(wǎng)絡(luò)內(nèi)的主機提供域名解析服務(wù)。DNS服務(wù)器除了解析私有域名外，還會用遞歸方式，向公網(wǎng)的DNS服務(wù)器請求解析第三方域名。為了提升性能，通常會使用緩存記錄，記錄解析過的域名，尤其是第三方域名。

域名緩存?zhèn)蓽y（DNS Cache Snooping）技術(shù)就是向這些服務(wù)器發(fā)送域名解析請求，但要求不使用遞歸模式。這樣DNS只能解析私有域名和緩存中保存的域名。借助該項技術(shù)，滲透測試人員就知道哪些域名是否被過請求過。

./dnsrecon.py -t snoop -n Sever -D <Dict>

自動化工具

OneForAll

OneForAll是一款比較綜合的子域名掃描工具，擁有多個模塊和接口掃描，收集子域信息很全，包括子域、子域IP、子域常用端口、子域Title、子域Banner、子域狀態(tài)等。

• Download
• 使用
  這里用Docker方式演示

git clone https://gitee.com/shmilylty/OneForAll.gitdocker pull shmilylty/oneforalldocker run -it --rm -v ~/results:/OneForAll/results -v ~/OneForAll/config:/OneForAll/config shmilylty/oneforall --target baidu.com run

掃描結(jié)果路徑：~/results
置文件路徑：~/OneForAll/config
目標域名：http://baidu.com

ksubdomain

ksubdomain是一款基于無狀態(tài)子域名爆破工具，支持在Windows/Linux/Mac上使用，它會很快的進行DNS爆破，在Mac和Windows上理論最大發(fā)包速度在30w/s,linux上為160w/s的速度。
TIPS：在linux下，還需要安裝libpcap-dev,在Windows下需要安裝WinPcap，mac下可以直接使用。

• Download
• 使用

# 使用內(nèi)置字典爆破ksubdomain -d baidu.com# 使用字典爆破域名ksubdomain -d baidu.com -f subdomains.dict# 字典里都是域名，可使用驗證模式ksubdomain -f dns.txt -verify# 爆破三級域名ksubdomain -d baidu.com -l 2Sublist3r

Sublist3r使用許多搜索引擎（如Google，Yahoo，Bing，Baidu和Ask）進行子域名探測。
Sublist3r還使用Netcraft，Virustotal，ThreatCrowd，DNSdumpster和ReverseDNS進行子域名探測。

• Download
• 使用

python sublist3r.py -b -d baidu.com

-d -domain要枚舉子域的域名
-b -bruteforce啟用subbrute bruteforce模塊
-p -ports根據(jù)特定的tcp端口掃描找到的子域
-v --verbose啟用詳細模式并實時顯示結(jié)果
-t -threads用于subbrute bruteforce的線程數(shù)
-e - 引擎指定逗號分隔的搜索引擎列表
-o -output將結(jié)果保存到文本文件
-h -help顯示幫助信息并退出

altdns

Altdns是一款運用置換掃描技術(shù)的子域發(fā)現(xiàn)工具，它可以幫助我們查找與某些排列或替換匹配的子域。AltDNS接受可能存在于域下的子域中的單詞(例如測試，開發(fā)，分期)，以及獲取你知道的子域列表。
使用者只需提供兩個輸入列表，altdns就可以為我們生成輸出大量可能存在的潛在子域并保存。這些保存好的子域列表，用作DNS爆破字典是個不錯的選擇。

• Download
• 使用

python altdns.py -i subdomains.txt -o data_output -w words.txt -r -s results_output.txt

subdomains.txt 文件包含了目標的已知子域
data_output文件將包含大量的更改和置換的子域列表
words.txt是需要置換子域的單詞列表（即admin，staging，dev，qa）- 單詞以行分隔
results_output.txt 將包含被發(fā)現(xiàn)有效的且具有DNS記錄的排列后子域的最終列表。
-r命令解析每個生成的已排列的子域
-s命令用于指定altdns在哪保存已解析的排列子域結(jié)果。
-t命令用于指定解析器同時使用的線程數(shù)

當然，優(yōu)秀的工具還有許多，這里僅僅是舉了幾個我個人覺得比較常用工具的使用方法。只有合理地使用，才能把工具的作用發(fā)揮到最大。常見的工具還有：

• Aquatone
• Bluto-Old
• DNS-Discovery
• Dnssearch
• Amass
• Subbrute
• subDomainBrute
• Sublist3r
• OneForAll
• DNSBrute
• Layer
• ……

總結(jié)

在滲透測試中，介于項目的周期，大部分測試人員都是使用自動化工具進行收集。然而，當對于已經(jīng)收集到的資產(chǎn)束手無策時，嘗試多種手段進一步擴大資產(chǎn)的范圍也不失為一種方法。因此，本文較為系統(tǒng)地整理了一些常見的收集方法，希望對各位師傅有所幫助~