渗透测试-子域名发现

提示：提示：注意：网络安全环境需要大家共同维护，请大家共同遵守网络安全规章制度，仅供大家参考，造成的法律后果，不由本人承担

---

一、子域名信息

子域名就是父域名的下一级，例如“hello.xxx.com" 和 ”world.xxx.com“ 这两个域名是”xxx.com"的子域名
像“www.xxx.com"这样的域名一般都是企业的主站域名，企业对主站域名的防护是非常健全的，漏洞修复，安全设备部署等都非常到位，所以对主域名渗透测试是非常不容易的，但是企业有可能有几个或几十个子域名，当企业的子域名没有来得及进行防护的时候，可以对子域名寻找突破口，通过对子域名进行信息收集，然后通过子域名的渗透，进行迂回攻击

二、子域名信息收集

1. 枚举发现子域名

子域名收集可以通过枚举的方式进行域名收集，但是枚举大家都知道需要一个好的字典，把常见的子域名名字放到字典里面，可以大大提高成功率，当然也有相应的资子域名暴力破解常用的工具
如

a. Layer子域名挖掘机

layer子域名挖掘机是一个图形化工具，内置了常见的子域名字典，支持多线程，可以识别域名的真实IP，是枚举子域名常用的工具之一
界面如图所示

b. 使用subDomainBrute

使用subDomainBrute工具进行渗透测试的目标域名收集，可以实现高并发DNS暴力枚举，高频扫描每秒DNS请求数量超过1000次
常用语法：

python subDomainsBrute.py [option] target.com
#subDomainsBrute枚举的结果会存在xxx.com.txt文件中
1
2

如图所示：

2. 搜索引擎发现子域名

使用Google或者百度，通过搜索语法可以获取”xxx.com"子域名的信息
语法：

"site:xxx.com"
1

3. 通过第三方聚合服务发现子域名

许多公开的第三方聚合服务网站都可以进行信息收集，常见的网站有DNSdumpster、VirusTotal 和 Sublist3r
Sublist3r是用python编写的一款工具，使用公开来源情报OSINT枚举网站的子域名，可以帮助渗透测试人员对目标域名进行收集，获取子域名，这款工具使用了许多搜索引擎，如Google,Yahoo,Bing,Baidu,Ask等，同样也使用了Netcraft, VirusTotal, ThreatCrowd,Dnsdumper,ReverseDNS获取子域名
语法：

python sublist3r.py -d xxx.com
1

工具如图所示：

4. 通过DNS域传送漏洞发现子域名

DNS服务器分为主服务器，从服务器，缓存服务器
主服务器主要用于维护所负责解析的域的数据库，可以对数据库进行读写操作，数据库中存储了主机名相关的信息
从DNS服务器，是主DNS服务器的辅助服务器，可以从主服务器备份数据，从而减轻主服务器的负载
缓存DNS服务器，不负责解析域名，会将相应域名通过那个DNS服务器解析的对应关系，保存在本地，同一个域名在进行解析的时候，通过缓存DNS服务器就直接可以访问到解析该域名的DNS服务器，减少了查询时间
DNS区域传送是指主从DNS服务器的数据同步机制，当主服务器宕机的时候，从DNS服务器可以替代主DNS服务器进行域名解析，从DNS服务器的数据都是从主服务器复制而来，是只读的，使用的是DNS服务TCP协议的53端口
一般正常情况下，主DNS服务器的数据都是只备份给从DNS服务器，进行数据更新，但是有时候DNS服务器配置错误，就会导致任意区域的DNS传送请求都会进行数据库的同步，区域数据库的信息就会被别人非正常获取了，渗透测试人员可以通过这个办法获取数据库中 攻击域的子域名信息，甚至有时候会获取到一些测试域名，内网域名，这些域名的防护措施一般都比较弱，就可以轻松的进行渗透，并拿到服务器的权限，进而获得目标域名对应的控制权限
可以通过kali系统中的dig进行域相关信息的获取
相关命令

dig xxx.com ns //获取ns域内的数据库信息，可以知道相应的域名通过那台DNS服务器进行解析
1

dig axfr @dns xxx.com   //axfr代表全域信息，这样可以获取目标DNS服务器上所有域名信息
1