子域名探測方法

線上介面
暴力列舉
搜尋引擎
Certificate Transparency（證書透明）
Subject Alternate Name (SAN) - 主題備用名稱
Public datasets（公開資料集）
資訊洩露
內容解析（HTML，JavaScript，檔案）
DNS解析
區域傳送
DNS aggregators（DNS聚合器）
DNS Cache Snooping（域名快取偵測）
Alterations & permutations（換置 & 排序）
DNSSEC(Domain Name System Security Extensions)，DNS安全擴充套件，DNSSEC區域漫步
CSP HTTP首部
SPF記錄
虛擬主機爆破
ASN發現
爬蟲 Scraping（抓取）
 

子域名探測

通過收集子域名資訊來進行滲透是目前常見的一種手法。
子域名資訊收集可以通過手工，也可以通過工具，還可以通過普通及漏洞搜尋引擎來進行分析。
在挖SRC漏洞時，子域名資訊的收集至關重要！

為什麼要進行子域名探測？

子域名探測可以幫我們發現滲透測試中更多的服務，這將增加發現漏洞的可能性

查詢一些使用者上較少，被人遺忘的子域名，其上執行的應用程式可能會使我們發現關鍵漏洞

通常，同一組織的不同域名/應用程式中存在相同的漏洞

子域名中的常見資產型別一般包括辦公系統，郵箱系統，論壇，商城等，其他管理系統，網站管理後臺等較少出現在子域名中

子域名探測方法大全

線上介面

https://crt.sh/

https://censys.io/
https://transparencyreport.google.com/https/certificates
https://dnsdumpster.com/
https://hackertarget.com/find-dns-host-records/
https://x.threatbook.cn/
https://www.virustotal.com/gui/home/search
https://phpinfo.me/domain/
https://site.ip138.com/baidu.com/domain.htm
https://www.t1h2ua.cn/tools/
http://tool.chinaz.com/subdomain/

https://spyse.com/site/not-found?q=domain%3A"github"&criteria=cert

暴力列舉

Layer子域名爆破機 Layer是windows下的一款子域名探測工具，其工作原理是利用子域名字典進行爆破，使用簡單容易上手。

Amass 工具描述：爆破, google, VirusTotal, alt names
go get -u github.com/OWASP/Amass/...
amass -d target.com -o $outfile
Knock

工具描述：AXFR, virustotal, 爆破
apt-get install python-dnspython git clone https://xxx.com/guelfoweb/knock.git
cd knock
nano knockpy/config.json # <- set your virustotal API_KEY python setup.py install

搜尋引擎

•Google
intitle=公司名稱
過濾掉 -site:www.target.com
我們可以在Google搜尋中使用 site:運算子來查詢一個域的所有子域名
谷歌還額外支援減號運算子 site:*.wikimedia.org -www -store -jobs -uk 以排除我們不感興趣的子域名

•Bing
Bing搜尋引擎也支援一些高階搜尋運算子。
與Google一樣，Bing也支援site:運算子，可以幫助您檢查除Google搜尋之外的其他結果。
發現子域名: site:target.com

•百度
intitle=公司名稱

•鍾馗之眼
https://www.zoomeye.org/ site=域名

•FOFA
https://fofa.so/
語法：domain=”baidu.com”
提示：以上方法無需爆破，查詢速度快，需要快速收集資產時可以優先使用，後面再用其他方法補充。

Certificate Transparency（證書透明）

SSL/TLS證書

證書透明度(Certificate Transparency)是證書授權機構的一個專案，證書授權機構會將每個SSL/TLS證書釋出到公共日誌中。
一個SSL/TLS證書通常包含域名、子域名和郵件地址。
查詢某個域名所屬證書的最簡單的方法就是使用搜索引擎搜尋一些公開的CT日誌。

線上查詢：
https://crt.sh/
https://censys.io/
https://developers.facebook.com/tools/ct/
https://google.com/transparencyreport/https/ct/
https://transparencyreport.google.com/https/certificates

CTFR 工具描述：濫用證書透明記錄
git clone https://xxx.com/UnaPibaGeek/ctfr.git
cd ctfr
pip3 install -r requirements.txt
python3 ctfr.py -d target.com -o $outfile

Censys_subdomain_enum.py
工具描述：提取子域名，從Censys的SSL/TLS證書中收集子域名
pip install censys
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
python censys_enumeration.py target.com

Cloudflare_enum.py
工具描述：從Cloudflare提取子域名 dns聚合器
pip install censys
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
cloudflare_subdomain_enum.py [email protected] target.com

Crt_enum_web.py
工具描述：解析https://crt.sh/頁面的子域名
pip install psycopg2
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
python3 crtsh_enum_web.py target.com

San_subdomain_enum.py
工具描述：SSL/TLS證書中的SAN獲取子域名
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
./san_subdomain_enum.py target.com

Subject Alternate Name (SAN) - 主題備用名稱

SAN(Subject Alternate Name)主題備用名稱，主題備用名稱證書簡單來說，在需要多個域名，將其用於各項服務時，可使用SAN證書。
允許在安全證書中使用subjectAltName欄位將多種值與證書關聯，這些值被稱為主題備用名稱。名稱可包括：IP地址、DNS名稱等。

San_subdomain_enum.py
工具描述：SSL/TLS證書中的SAN獲取子域名 如上。

Public datasets（公開資料集）

有些專案收集了全網際網路範圍內的掃描資料，並將其提供給研究人員和安全社群。
該專案釋出的資料集是子域名資訊的寶庫。
雖然在這個龐大的資料集中找到子域名就像大海撈針，但卻值得我們去一試。

Rapid7 Forward DNS dataset (Project Sonar)
工具描述：來自rapid7 sonar專案的公共資料集
wget https://scans.io/data/rapid7/sonar.fdns_v2/20170417-fdns.json.gz cat 20170417-fdns.json.gz | pigz -dc | grep ".target.org" | jq`

Forward DNS(https://scans.io/study/sonar.fdns_v2) 資料集作為Project Sonar的一部分發布。
資料格式是通過gzip壓縮的JSON檔案。
我們可以解析資料集以查詢給定域名的子域名。
資料集很大(壓縮後：20+GB，壓縮前：300+GB）
Command to parse & extract sub-domains for a given domain $ curl -silent https://scans.io/data/rapid7/sonar.fdns_v2/20170417-fdns.json.gz | pigz -dc | grep ".icann.org" | jq

資料聚合網站
threatcrowd
https://scans.io/study/sonar.rdns_v2
https://opendata.rapid7.com/

資訊洩露

•資訊洩露
首先找到目標站點，在官網中可能會找到相關資產（多為辦公系統，郵箱系統等），關注一下頁面底部，也許有管理後臺等收穫。

•檔案洩漏
crossdomain.xml(跨域策略檔案cdx) robots.txt

•Git倉庫洩露

•從流量中分析提取

內容解析（HTML，JavaScript，檔案）

BiLE-suite
工具描述：HTML解析，反向dns解析
aptitude install httrack
git clone https://xxx.com/sensepost/BiLE-suite.git
perl BiLE.pl target.com

Second Order
工具描述：第二階段域名掃描 通過HTML提取子域名
go get xxx.com/mhmdiaa/second-order
cp ~/go/src/xxx.com/mhmdiaa/second-order/config.json
~/go/src/xxx.com/mhmdiaa/second-order/config-subs-enum.json
編輯修改LogCrawledURLs為True
second-order -base https://target.com -config config.json -output target.com

DNS解析

線上查詢:
VirusTotal(https://www.virustotal.com/)
ViewDNS(https://viewdns.info/)
DNSdumpster(https://dnsdumpster.com/)
Threatcrowd(https://www.threatcrowd.org/)

BiLE-suite
工具描述：HTML解析，反向dns解析 如上。

Massdns
工具描述：dns解析
git clone https://xxx.com/blechschmidt/massdns.git
cd massdns/
make
解析域名：/bin/massdns -r lists/resolvers.txt -t AAAA -w results.txt domains.txt -o S -w output.txt
爆破域名：./scripts/subbrute.py wordlist.txt target.com | ./bin/massdns -r lists/resolvers.txt -t A -o S -w output.txt
CT解析：./scripts/ct.py target.com | ./bin/massdns -r lists/resolvers.txt -t A -o S -w output.txt

區域傳送

域傳送是一種DNS事務，DNS伺服器將其全部或部分域檔案的副本傳遞給另一個DNS伺服器。
如果未安全地配置域傳輸送，則任何人都可以對指定名稱的伺服器啟動域傳送並獲取域檔案的副本。
根據設計，域檔案包含有關域和儲存在域中的大量主機資訊。

Windows：

1.nslookup命令進入互動式shell
2.server命令 引數設定查詢將要使用的DNS伺服器
3.ls命令列出某個域中的所有域名

Linux：
Dig
工具描述：dns區域傳送，dns反向解析，dns解析
dig +multi AXFR target.com
dig +multi AXFR $ns_server target.com

DNS aggregators（DNS聚合器）

Cloudflare_enum.py
工具描述：從Cloudflare提取子域名 dns聚合器
pip install censys
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
cloudflare_subdomain_enum.py [email protected][4] target.com

DNS Cache Snooping（域名快取偵測）

域名快取偵測（DNS Cache Snooping）技術
在企業網路中，通常都會配置DNS伺服器，為網路內的主機提供域名解析服務。
這些DNS不僅解析自己的私有域名，還會用遞迴方式，請求公網的DNS解析第三方域名，如baidu.com之類。
為了提升效能，通常會使用快取記錄，記錄解析過的域名，尤其是第三方域名。
域名快取偵測（DNS Cache Snooping）技術就是向這些伺服器傳送域名解析請求，但要求不使用遞迴模式。
這樣DNS只能解析私有域名和快取中儲存的域名。
藉助該項技術，滲透測試人員就知道哪些域名是否被過請求過。
例如，測試人員可以提交某安全軟體更新所使用的域名，如果有記錄，說明該網路使用該種安全軟體。

Alterations & permutations（換置 & 排序）

AltDNS
工具描述：通過換置&排序技術發現子域名
git clone https://xxx.com/infosec-au/altdns.git
cd altdns
pip install -r requirements.txt
./altdns.py -i subdomains.txt -o data_output -w words.txt -r -s results_output.txt

DNSSEC(Domain Name System Security Extensions)，DNS安全擴充套件，DNSSEC區域漫步

由於DNSSEC處理不存在域名的方式，您可以"遍歷"DNSSEC域並列舉該域中的所有域名。
您可以從這裡(https://info.menandmice.com/blog/bid/73645/Take-your-DNSSEC-with-a-grain-of-salt) 瞭解有關此技術的更多資訊。

Ldns-walk
工具描述：DNSSEC zone walking, 如果DNSSEC NSEC開啟，可以獲得全部域名。
aptitude install ldnsutils
ldns-walk target.com
ldns-walk @nsserver.com target.com
如果DNSSEC NSEC開啟，可以獲得全部域名。

CSP HTTP首部

Domains-from-csp
工具描述：從CSP頭提取子域名
git clone https://xxx.com/yamakira/domains-from-csp.git
pip install click
python csp_parser.py $URL
python csp_parser.py $URL -r

SPF記錄

SPF是通過域名的TXT記錄來進行設定的，SPF記錄列出了所有被授權代表域名傳送電子郵件的主機

Assets-from-spf
工具描述：SPF域名記錄
git clone https://xxx.com/yamakira/assets-from-spf.git
pip install click ipwhois
python assets_from_spf.py target.com

虛擬主機爆破

vhost-brute
工具描述：虛擬主機爆破
aptitude install php-curl git clone https://xxx.com/gwen001/vhost-brute.git

Virtual-host-discovery
工具描述：虛擬主機爆破
git clone https://xxx.com/jobertabma/virtual-host-discovery.git
ruby scan.rb --ip=1.1.1.1 --host=target.com --output output.txt

ASN發現

通過域名查詢到 ASN，再通過 ASN 查詢到所屬的所有 ip 範圍

爬蟲 Scraping（抓取）

泛解析問題

目前最好的解決方式是通過先獲取一個絕對不存在域名的響應內容，再遍歷獲取每個字典對應的子域名的響應內容，通過和不存在域名的內容做相似度比對，來列舉子域名，但這樣的實現是以犧牲速度為代價

•https://www.freebuf.com/news/133873.html
•https://xz.aliyun.com/t/5509

Tools

OneForAll

https://github.com/shmilylty/OneForAll
工具也有很多厲害的，平時我一般使用 OneForALL + ESD + JSfinder 來進行蒐集，（ESD 可以載入 layer 的字典，很好用）

Sublist3r

https://github.com/aboul3la/Sublist3r
- 強大的快速子域列舉工具 評分: