子域名信息搜集

前言

每次渗透测试都需要对目标资产进行信息搜集，其中子域名信息是非常重要的一部分。在主域防御措施严密且无法直接拿下的情况下，可以先通过拿下子域名，然后再一步步靠近主域。发现的子域名越多，意味着目标系统被渗透的可能性也越大。

0x01 在线搜集

一些可以快速在线搜集子域名的网站

1. http://z.zcjun.com/
2. https://phpinfo.me/domain/
3. http://tool.chinaz.com/subdomain/
4. https://www.aizhan.com/cha/
5. http://www.dnsscan.cn/
6. https://www.webscan.cc/
7. https://ipchaxun.com/
8. https://ruo.me/
9. https://chaziyu.com/
10. https://securitytrails.com/
11. https://findsubdomains.com/
12. https://dnslytics.com/domain
13. https://dnsdumpster.com/
14. http://tools.bugscaner.com/subdomain/
15. https://seo.juziseo.com/
16. https://fofa.so/
17. https://www.shodan.io
18. https://www.zoomeye.org
19. https://www.virustotal.com/gui/

0x02 工具搜集

一些比较好用的子域名搜集工具

1. Layer子域名挖掘机：点击下载 提取码10et
2. Sublist3r：点击下载 star: 6k
3. subfinder：点击下载 star: 3.9k
4. OneForAll：点击下载 star: 3.6k
5. subdomainsbrute：点击下载 star: 2.4k
6. Findomain：点击下载 star: 2k
7. massdns：点击下载 star: 1.9k
8. wydomain：点击下载 star: 1.3k
9. ksubdomain：点击下载 star: 1.1k
10. ESD：点击下载 star: 802
11. Subdomain3：点击下载 star: 621
12. shuffledns：点击下载 star: 556
13. Turbolist3r：点击下载 star: 245
14. dnsprobe：点击下载 star: 232
15. dnsub：点击下载 star: 219

0x03 更多途径

1. DNS 域传送搜集

域传送（DNS zone transfer）漏洞是由于对 DNS 服务器的配置不当导致的信息泄露，通过该漏洞可以搜集更多的子域名信息。

方法一： 利用nmap检测域传送漏洞，如果存在漏洞将有大量域名信息显示。

nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=nwpu.edu.cn -p 53 -Pn dns.nwpu.edu.cn

参数：
–-script：表示加载nmap文件夹下的脚本
–-script-args： 向脚本传递参数
-p：设置扫描端口
-Pn：设置通过Ping发现主机是否存活

方法二： 利用Kail下面的工具Dnsenum检测该漏洞

dnsenum --enum domain.com

方法三： 利用nslookup检测域传送漏洞 　　

> nslookup
> server xxx.edu.cn
> ls xxx.edu.cn

更多详细操作，点击查看域传送漏洞

2. 域名备案搜集

备案号是网站是否合法注册经营的标志，可以用网页的备案号反查出该公司旗下的资产。

• http://www.beian.gov.cn/
• https://beian.miit.gov.cn/
• http://icp.chinaz.com/

3. 证书透明度搜集

Certificate Transparency(CT)是一个项目，在这个项目中，证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中。SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。

查找一个域名证书的最简单方法是使用搜索引擎来收集计算机的CT日志，并让任何搜索引擎搜索它们。下面仅列出了比较常用的几种：

• https://censys.io/
• https://crt.sh/
• https://developers.facebook.com/tools/ct/
• https://google.com/transparencyreport/https/ct/

通过脚本简化使用CT日志搜索引擎查找子域名的过程。

• https://github.com/appsecco/bugcrowd-levelup-subdomain-enumeration

Findomain不使用子域名寻找的常规方法，而是使用证书透明度日志来查找子域，并且该方法使其工具更加快速和可靠。

• Findomain：点击下载 star: 2k

4. 搜索引擎被动搜集

• www.google.com
• www.bing.com
• www.baidu.com

谷歌搜索语法：

“Site”：当使用site提交查询时，Google会将查询限制在某个网站/某个域下面进行。
“intitle”：搜索关键词“intitle:admin”，只搜索网页标题含有关键词的页面。
“inurl”：搜索关键词“inurl:admin”，只搜索网页链接含有关键词的页面。
“intext”：搜索关键词“intext:admin”，只搜索网页“body”标签中文本含有关键词的页面。
“Index of/”：直接进入网站首页下的所有文件和文件夹。
“filetype”：搜索关键词“filetype:cfm”，只搜索指定后缀为“cfm”页面的内容。
“cache”：搜索Google里关于某些内容的缓存。

参考文章

• https://mp.weixin.qq.com/s/U6lcaKG91oRDCLEUj8VBIw
• https://zhuanlan.zhihu.com/p/60031968
• https://www.cnblogs.com/cjz12138/p/13977317.html
• https://blog.csdn.net/c465869935/article/details/53444117
• https://mp.weixin.qq.com/s/iq5vnNAFhLj6O6OYHVH8tA