域名收集工具

時(shí)間：2023-02-24 14:54:01 | 來源：建站知識(shí)

時(shí)間：2023-02-24 14:54:01 來源：建站知識(shí)

域名收集工具：本次主要講的是如何使用域名收集工具，另外如何利用工具收集更多信息，為下一步滲透做好充足準(zhǔn)備。啰嗦這么多，下面進(jìn)入正題。

網(wǎng)站及服務(wù)器信息

如果知道目標(biāo)的域名，你首先要做的就是通過Whois數(shù)據(jù)庫查詢域名的注冊(cè)信息，Whois數(shù)據(jù)庫是提供域名的注冊(cè)人信息，包括聯(lián)系方式，管理員名字，管理員郵箱等等，其中也包括DNS服務(wù)器的信息。

默認(rèn)情況下，Kali已經(jīng)安裝了Whois。你只需要輸入要查詢的域名即可：

利用以上收集到的郵箱、QQ、電話號(hào)碼、姓名、以及服務(wù)商，可以針對(duì)性進(jìn)行攻擊，利用社工庫進(jìn)行查找相關(guān)管理員信息，另外也可以對(duì)相關(guān)DNS服務(wù)商進(jìn)行滲透，查看是否有漏洞，利用第三方漏洞平臺(tái)，查看相關(guān)漏洞。

Nslookup用法

nslookup是站長較為常用的工具之一，它甚至比同類工具dig的使用人數(shù)更多，原因是它的運(yùn)行環(huán)境是windows，并且不需要我們?cè)倭硗獍惭b什么東西。dig是在linux環(huán)境里運(yùn)行的命令，不過也可以在windows環(huán)境里使用，只是需要安裝dig windows版本的程序。

Nslookup命令以兩種方式運(yùn)行:非交互式和交互式。本文第一次提到“交互式”的概念，簡單說明：交互式系統(tǒng)是指執(zhí)行過程中允許用戶輸入數(shù)據(jù)和命令的系統(tǒng)。而非交互式系統(tǒng)，是指一旦開始運(yùn)行，不需要人干預(yù)就可以自行結(jié)束的系統(tǒng)。因此，nslookup以非交互式方式運(yùn)行，就是指運(yùn)行后自行結(jié)束。而交互式，是指開始運(yùn)行后，會(huì)要求使用者進(jìn)一步輸入數(shù)據(jù)和命令。

最常用的DNS記錄有以下幾類

A記錄 IP地址記錄,記錄一個(gè)域名對(duì)應(yīng)的IP地址

AAAA記錄 IPv6 地址記錄，記錄一個(gè)域名對(duì)應(yīng)的IPv6地址

CNAME記錄 別名記錄，記錄一個(gè)主機(jī)的別名

MX記錄 電子郵件交換記錄，記錄一個(gè)郵件域名對(duì)應(yīng)的IP地址

NS記錄 域名服務(wù)器記錄 ,記錄該域名由哪臺(tái)域名服務(wù)器解析

PTR記錄 反向記錄，也即從IP地址到域名的一條記錄

TXT記錄 記錄域名的相關(guān)文本信息

非交互式下命令的語法是是:

nslookup [-option] [hostname] [server]

上面是幫助信息，注意兩點(diǎn)：1) 使用type參數(shù)可以設(shè)置記錄類型。 2) 使用ls命令，可以列出一個(gè)域下面所有的域名。

Hostname選項(xiàng)指定需要查詢的主機(jī)名，比如http://www.sec-redclub.com。Server選項(xiàng)指定DNS服務(wù)器。為了查詢結(jié)果的準(zhǔn)確，可選用幾個(gè)常用的公共DNS服務(wù)器：8.8.8.8是Google提供的DNS服務(wù)，114.114.114.144和114.114.115.115是114DNS提供的免費(fèi)DNS服務(wù)。

下面的例子通過114.114.114.114查詢域名http://www.sec-redclub.com的IP地址：

nslookup主要是用來查詢dns服務(wù)器信息，不過，nslookup的作用絕非僅此而止，利用nslookup命令，還可以查到更多有關(guān)域名的服務(wù)器信息，IP、CNAME、TLL等等。

可以看到http://sec-redclub.com對(duì)應(yīng)地址是121.42.173.26.

下面的例子查詢http://sec-redclub.com使用的DNS服務(wù)器名稱:

上述結(jié)果顯示，外部主DNS服務(wù)器有6個(gè)。下面的例子展示如何查詢郵件交換記錄：

查看網(wǎng)站cname值。

Dig使用

可以使用dig命令對(duì)DNS服務(wù)器進(jìn)行挖掘

Dig命令后面直接跟域名，回車即可

不使用選項(xiàng)的dig命令，只返回一個(gè)記錄。如果要返回全部的記錄，只需要在命令添加給出的類型：

【Dig常用選項(xiàng)】

1 -c選項(xiàng)，可以設(shè)置協(xié)議類型（class），包括IN(默認(rèn))、CH和HS。

2 -f選項(xiàng)，dig支持從一個(gè)文件里讀取內(nèi)容進(jìn)行批量查詢，這個(gè)非常體貼和方便。文件的內(nèi)容要求一行為一個(gè)查詢請(qǐng)求。來個(gè)實(shí)際例子吧：

3 -4和-6兩個(gè)選項(xiàng)，用于設(shè)置僅適用哪一種作為查詢包傳輸協(xié)議，分別對(duì)應(yīng)著IPv4和IPv6。

4 -t選項(xiàng)，用來設(shè)置查詢類型，默認(rèn)情況下是A，也可以設(shè)置MX等類型，來一個(gè)例子：

5 -q選項(xiàng)，其實(shí)它本身是一個(gè)多余的選項(xiàng)，但是它在復(fù)雜的dig命令中又是那么的有用。-q選項(xiàng)可以顯式設(shè)置你要查詢的域名，這樣可以避免和其他眾多的參數(shù)、選項(xiàng)相混淆，提高了命令的可讀性，來個(gè)例子：

6 -x選項(xiàng)，是逆向查詢選項(xiàng)?？梢圆樵僆P地址到域名的映射關(guān)系。舉一個(gè)例子：

【跟蹤dig全過程】

dig非常著名的一個(gè)查詢選項(xiàng)就是+trace，當(dāng)使用這個(gè)查詢選項(xiàng)后，dig會(huì)從根域查詢一直跟蹤直到查詢到最終結(jié)果，并將整個(gè)過程信息輸出出來

【精簡dig輸出】

1 使用+nocmd的話，可以節(jié)省輸出dig版本信息。

2 使用+short的話，僅會(huì)輸出最精簡的CNAME信息和A記錄，其他都不會(huì)輸出。就像這樣：

DNS枚舉工具DNSenum

DNSenum是一款非常強(qiáng)大的域名信息收集工具

它能夠通過谷歌或者字典文件猜測可能存在的域名，并對(duì)一個(gè)網(wǎng)段進(jìn)行反向查詢。它不僅可以查詢網(wǎng)站的主機(jī)地址信息、域名服務(wù)器和郵件交換記錄，還可以在域名服務(wù)器上執(zhí)行axfr請(qǐng)求，然后通過谷歌腳本得到擴(kuò)展域名信息，提取子域名并查詢，最后計(jì)算C類地址并執(zhí)行whois查詢，執(zhí)行反向查詢，把地址段寫入文件。本小節(jié)將介紹使用DNSenum工具檢查DNS枚舉。

在終端執(zhí)行如下所示的命令：

輸出的信息顯示了DNS服務(wù)的詳細(xì)信息。其中，包括主機(jī)地址、域名服務(wù)地址和郵件服務(wù)地址。如果幸運(yùn)的話，還可以看到一個(gè)區(qū)域傳輸。

使用DNSenum工具檢查DNS枚舉時(shí)，可以使用dnsenum的一些附加選項(xiàng)，如下所示。

--threads [number]：設(shè)置用戶同時(shí)運(yùn)行多個(gè)進(jìn)程數(shù)。 -r：允許用戶啟用遞歸查詢。 -d：允許用戶設(shè)置WHOIS請(qǐng)求之間時(shí)間延遲數(shù)（單位為秒）。 -o：允許用戶指定輸出位置。 -w：允許用戶啟用WHOIS請(qǐng)求。

subDomainsbrute二級(jí)域名收集

二級(jí)域名是指頂級(jí)域名之下的域名，在國際頂級(jí)域名下，它是指域名注冊(cè)人的網(wǎng)上名稱；在國家頂級(jí)域名下，它是表示注冊(cè)企業(yè)類別的符號(hào)。我國在國際互聯(lián)網(wǎng)絡(luò)信息中心（Inter NIC） 正式注冊(cè)并運(yùn)行的頂級(jí)域名是CN，這也是我國的一級(jí)域名。在頂級(jí)域名之下，我國的二級(jí)域名又分為類別域名和行政區(qū)域名兩類。類別域名共7個(gè)，包括用于科研機(jī)構(gòu)的ac；國際通用域名com、top；用于教育機(jī)構(gòu)的edu；用于政府部門的gov；用于互聯(lián)網(wǎng)絡(luò)信息中心和運(yùn)行中心的net；用于非盈利組織的org。而行政區(qū)域名有34個(gè)，分別對(duì)應(yīng)于我國各省、自治區(qū)和直轄市。（摘自百度百科）

因?yàn)橹饔蛎烙容^強(qiáng)，而二級(jí)域名可能更好欺負(fù)些。

Usage: subDomainsBrute.py [options] http://target.com

Options:

-h, --help show this help message and exit

-t THREADS_NUM, --threads=THREADS_NUM Number of threads. default = 30

-f NAMES_FILE, --file=NAMES_FILE Dict file used to brute sub names

-i, --ignore-intranet Ignore domains pointed to private IPs.

-o OUTPUT, --output=OUTPUT Output file name. default is {target}.txt

以上為工具默認(rèn)參數(shù)，如果是新手，請(qǐng)直接跟主域名即可，不用進(jìn)行其它設(shè)置。

Python subDomainsbrute.py http://sec-redclub.com

就可以直接運(yùn)行，等待結(jié)果，最后在工具文件夾下面存在txt文件，直接導(dǎo)入掃描工具就可以進(jìn)行掃描了。

layer子域名檢測工具

layer子域名檢測工具主要是windows一款二級(jí)域名檢測工具，利用爆破形式。

工具作者：http://www.cnseay.com/4193/

域名對(duì)話框直接輸入域名就可以進(jìn)行掃描了，工具顯示比較細(xì)致，有域名、解析ip、cnd列表、web服務(wù)器和網(wǎng)站狀態(tài)，這些對(duì)于一個(gè)安全測試人員，非常重要。

如下操作：

回顯示大部分主要二級(jí)域名。