渗透测试就是不断的收集目标组织的资产,发现弱点,获得权限的过程。因此信息搜集是渗透测试的灵魂,而域名/主域名又是灵魂的核心。
主域名就是域名所有者自己申请的二级域名,比如jianshu.com就是主域名,www.jianshu.com就是子域名
组织对外提供服务,需要一台机器,一个公网IP,一个服务(web服务居多)即端口, 用户需要访问组织对外的IP才能使用组织的服务,但由于IP不方便记忆,因此出现了域名,可以说域名是IP的便于记忆的别名,衍生出域名服务器一些基础服务和概念。
简单说组织对外提供服务,就需要对外暴露域名,因此主域名是否组织对外服务的入口。有了主域名,进而可以查找到组织其他的子域名(真正对外服务要使用的域名)
小的组织一个主域名就够了,多了反而不好管理
中大型组织可能有很多很多很多主域名,原因就是业务需要
每个主域名可能就是一个公司产品/产品线,是一个品牌,为啥每个品牌需要一个主域名,域名需要容易记忆,与公司产品名称相关,比如jianshu.com方便记忆,一听就是写文章的,如果用jianshu.com做视频站,就让用户百思不得其解,而且流失比较大
每个主域名是一个子公司或收购的分支机构,非常容易理解,收购来之前就存在的域名
主要是依赖主域名自身信息,类似爬虫一样不断的进行关联分析,获得越来越多的主域名
主域名都需要申请注册,才能生效使用,注册的时候需要域名所有者提交自己的,邮箱,姓名,手机号等等信息,多个域名的所有者一般都用一套信息进行申请,主要是方便管理,并且如果域名所有者没有购买隐私保护服务(域名注册的一项服务) 任何人可以查询到这些域名信息,因此通过主域名whois就可以找到比较多的主域名。
但由于最近几年域名注册商默认就不在显示whois信息了,因此查询whois越来越难,whois的历史信息也许会越来越有价值。
使用中国境内的服务器,对外提供服务的域名,都需要进行备案,管理机构会给你发个备案号,并且这个备案号,会同步到IDC服务商,才允许你把服务器放到国内各种云上。 与whois关联类似,一个组织多个域名的备案,往往也是一个备案信息,通过备案信息就可以关联到更多主域
感觉这个是能关联出最多的主域,而且不容易自动化,因此很多信息搜集都会在这个位置遗漏掉。域名的价值就是为组织对外提供服务,而组织一般都是以注册的公司进行存在的。公司这个组织就比较复杂,直接目的就是为了赚钱/盈利,怎样才能盈利?流入企业的钱多,流出企业的钱少,余下的就会多,企业就赚得多。
企业注册,按照我国的法律,需要提交法人,股东,手机号,邮箱,域名等信息,因此每项信息都能关联出很多同一所有者的企业名,有很多组织自己都搞不清楚自己所有的企业名列表,一般法务部门会有个专门管理的人,进行统一收口。
问题来了,组织搞那么多主体,搞死自己干嘛呢?
有了新组织名,可以发现新的备案号,通过备案号在找主域名,但是天眼查,企查查,都要花钱 才能查到更多,费钱呀。
域名只是别名,最终对应的是IP地址,一般IDC分给一个公司的IP是成段的,估计是方便记录吧。因此IP及IP相邻C段,反查域名会关联到新的主域名,这种方式是传统的C段旁注(使用虚拟主机的时候,多人的多个域名共用一个IP地址,搞定一个域名就可以搞定别的域名)
域名后面对应的IP,进而对应的是服务,每个组织的服务有时候是存在指纹的,比如特定的cookie 的名字,特定的返回头,一样的favicon,一样的定制错误页面等等,通过这个一般就能找到组织的IP或者主/子域名
服务有很多种形式,比如PC软件、App客户端,通过搜集这些信息,找到里面与服务后台进行通信的域名,也许能够挖掘到新的主域名
这个比较有意思,比如你注册了一个jianshu.com,你会不会想有一天业务做得像google一样知名,那别人抢注了jianshu.cn会导致损失很多流量,而一个域名的注册费用一年只有几十、几百,基于此你会不会将jianshu.cn,jianshu.com.cn,jianshu.org全都注册上? 注册又不用 是不是会浪费? 那就在一些边缘业务上,使用上。
发现公司的邮箱后缀与主域名不同,是不是找到了新主域名?
OWASP 测试指南 2008中文版
GB/T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法