信息收集之子域名收集
本次会议中我们对主域名收集的思路与方法进行了深入探讨。然而,在当前防护设备层出不穷的时代背景下, 收集到主DNS变得愈发困难。因此, 仅仅依靠直接获取主DNS显得力不从心。不过, 我们可以通过一种更为灵活的策略, 即从子DNS入手, 逐步接近目标DNS以达到目标。
子域名收集有助于识别出大量开放获取的资产;通过识别出一些未被重视或不在当前关注范围内的子域名,并将其作为突破点进行分析研究,则可能提升效率和效果。
子域名收集的途径多样;然而要最大限度地收集所有子域名并非易事;本次讲解将涵盖手工与工具两类方法
手工操作
证书透明度收集子域
介绍
为用户提供加密流量之前,请先向可信的证书授权中心 (CA) 申请相关加密密钥。随后,在用户访问相应网站时,在线认证流程将自动执行并发送密钥给浏览器以完成身份验证。近年来研究发现:因 HTTPS 证书系统的结构性缺陷导致其容易遭受攻击和操控风险。为此 Google 推出了'浏览器信任计划'这一开放平台旨在建立一个供第三方机构进行监控和评估的机制以确保整个体系的安全性
收集方法
可以通过以下链接进行在线查询:
crtsh
entrust
censys
spyse
certspotter(每小时免费查询100次)
facebook(需要登录)
输入域名,即可查询
DNS域传送
介绍
DNS服务器分为主服务器,备份服务器,缓存服务器。
域传送 是指从主服务器处复制数据到备份服务器后 更新自身数据库 以便实现数据同步的目的 这样的操作是为了增强系统的冗余度 当主 server 出现问题时 backup server 可直接承担起支持角色
而域泄露漏洞则源于DNS配置错误问题,在这种情况下无身份认证的用户能够访问该域名的所有记录信息,并由此暴露了整个网络架构细节给潜在威胁者利用。借助这份详细的技术蓝图,攻击者不仅大幅减少扫描所需的时间,还能显著提高对目标系统的识别准确性。
检测方法
nslookup
查询nameserver
nslookup -type=ns knownsec.com 119.29.29.29
指定nameserver,列举域名信息
nslookup
server f1g1ns1.dnspod.net
ls knownsec.com
如果提示无法列出域,那就说明此域名不存在域传送漏洞。
dig
axfr属于q-type类别的其中一种形式,在Authoritative Transfer机制中定义了其表示方式,并且表示请求传输指定区域内的所有相关信息。
通过欺骗DNS服务器发起一个AXFR请求,若该DNS服务器上存在此漏洞,则将返回所有解析记录值。
找到NS服务器
dig knownsec.com ns
发送axfr请求
dig axfr @f1g1ns2.dnspod.net knownsec.com
nmap
nmap的脚本dns-zone-transfer可以帮我们探测是否存在域传送漏洞
Scan for DNS zone transfers from knownsec.com using the configuration file 'dns-zone-transfer' with the domain argument and port 53 to target IP address f1g1ns1.dnspod.net.
DNS公开数据集
介绍
Rapid7开放源代码项目系统性地收集了广泛覆盖全球互联网各区域的多类型扫描数据。该平台允许所有用户免费获取这些资源。在本次研究重点分析的主要两个核心数据库集是FDNS和RDNS系列数据库包,在这两个数据库集中提供了丰富的子域名数据库资源。
收集方法
Find DNS Host Records (Subdomains)
netcraft
搜索引擎
介绍
搜索引擎通过大规模的互联网爬取动作后, 通常会积累大量子域名. 仅需提供相应的指令, 即可从中快速检索所需信息.
收集方法
普通搜索引擎
此处以Google为例,使用减号来排除不想收集到的子域名
site:knownsec.com -www
空间搜索引擎
此处以zoomeye为例
https://www.zoomeye.org/searchResult?q=site%3A knownsec.com
site: knownsec.com
信息泄露
网站爬虫
在许多网站的页面上通常会存在指向其他系统的功能,在常见的OA系统和电子邮件系统等场景下可能会出现这种情况。这些网页中可能还会包含与子域名相关的相关信息;此外,在部署内容安全策略(CSP)的网站中,在header头Content-Security-Policy部分也可能包含与域名相关的相关信息;可以选择性地使用Burp Suite或AWVS等工具来执行此分析。
文件泄漏
常见网站通常配置了跨站优先策略配置文件crossdomain.xml、站点地图sitemap.xml以及robots.txt等元数据文件,并且这些文件中也可能包含属于子域名的路径信息。
GitHub
通过在GitHub平台中进行精确搜索操作,在"Domain Name Search"功能下输入特定关键词后不仅可以筛选出包含敏感信息的安全漏洞报告还可以进一步识别出与该关键词相关的子域名资源
第三方在线平台
介绍
通过第三方在线平台提供的一些服务,可以快速发现部分子域名。
通过多种搜索引擎工具搜索关键词 "在线子域名查询" ,即可迅速找到官方或权威的在线查询平台
收集方法
Find DNS Host Records | Subdomain Finder | HackerTarget.com
DNSdumpster.com - dns recon and research, find and lookup dns records
virustotal
IP地址解析 IP地址查询网站 通过 IP地址反向查找对应的域名 通过 IP地址反向查找相关的网站 拥有相同 IP地址的网站 对应的 DNS名称查询 拥有相同 IP地址的多个网站 对应的 DNS名称 查询
threatminer
Subdomain Finder
threatbook(需要高级权限)
子域名查询 - 站长工具(需要登录)
子域名枚举爆破
介绍
即为一种特定的安全攻击手段,在网络安全领域中具有重要应用价值。具体而言,在这种攻击方法中, 通过对预先收集的大量潜在目标子域名集合进行持续地连接, 来完成对目标网站服务器下A记录的查询获取, 这种操作通常会采用类似将测试字符串与已知目标域结合的方式, 如将测试字符串连接到已知目标域形成新的尝试地址(例如 test.knownsec.com)。随后会对这些尝试地址进行验证检查, 以确定是否存在有效连接, 这种过程往往需要解决因多级访问带来的泛解析问题。
收集方法
收集若干典型子域名前缀并建立索引库,在浏览器中将主域名与这些子前缀组合后发送至服务器用于身份验证;也可通过DNS查询(nslookup)的方式完成验证过程
工具自动化
通过前面手工部分的讲解,在前面手工环节的讲解中可以看出多数收集环节均为重复性工作。若能将所有手工操作实现自动化集成成为一个工具,则必定能够显著提升整体效能。
OneForAll
https://github.com/shmilylty/OneForAll
针对诸多传统子域名收集工具存在功能不足、界面不友好以及维护不便的问题而设。该软件完美解决了上述所有问题,并以其卓越的性能卓越的一键式全能型子域采集平台著称。
ksubdomain
https://github.com/knownsec/ksubdomain
ksubdomain是一款基于无状态子域名快速扫描的安全工具。它适用于Windows、Linux及MacOS等多平台运行,并能够迅速完成DNS解析任务。其理论最高发包速率方面,在Mac和Windows系统中达到每秒30万次,在Linux系统中则能轻松突破每秒160万次。
Layer子域名挖掘机
https://github.com/euphrat1ca/LayerDomainFinder
Layer子域名挖掘机是一款用于收集子域名的工具软件,在界面设计上简洁直观,并提供友好的操作流程;它不仅支持通过服务接口进行查询功能,并且采用暴力枚举的方式快速定位潜在子域名;此外该工具还能够基于现有获取的域名进行深度挖掘与扩展分析。
