快捷搜索:  出现  蜜蜂授粉  as  test  www.ymwears.cn  fmmsreizbejmk  ??  ????

电银付官网(dianyinzhifu.com):子域名探测方式大全

子域名探测

通过网络子域名信息来举行渗透是现在常见的一种手法。
子域名信息网络可以通过手工,也可以通过工具,还可以通过通俗及破绽搜索引擎来举行剖析。
在挖SRC破绽时,子域名信息的网络至关重要!

为什么要举行子域名探测?

  • 子域名探测可以帮我们发现渗透测试中更多的服务,这将增添发现破绽的可能性
  • 查找一些用户上较少,被人遗忘的子域名,其上运行的应用程序可能会使我们发现要害破绽
  • 通常,统一组织的差别域名/应用程序中存在相同的破绽
  • 子域名中的常见资产类型一样平常包罗办公系统,邮箱系统,论坛,商城等,其他治理系统,网站治理后台等较少出现在子域名中

子域名探测方式大全

在线接口

https://crt.sh/
https://censys.io/
https://transparencyreport.google.com/https/certificates
https://dnsdumpster.com/
https://hackertarget.com/find-dns-host-records/
https://x.threatbook.cn/
https://www.virustotal.com/gui/home/search
https://phpinfo.me/domain/
https://site.ip138.com/baidu.com/domain.htm
https://www.t1h2ua.cn/tools/
http://tool.chinaz.com/subdomain/
https://spyse.com/site/not-found?q=domain:"github"&criteria=cert

暴力枚举

Layer子域名爆破机
Layer是windows下的一款子域名探测工具,其事情原理是行使子域名字典举行爆破,使用简朴容易上手。

Amass
工具形貌:爆破, google, VirusTotal, alt names

go get -u github.com/OWASP/Amass/...
amass -d target.com -o $outfile
Knock

工具形貌:AXFR, virustotal, 爆破
apt-get install python-dnspython
git clone https://xxx.com/guelfoweb/knock.git
cd knock
nano knockpy/config.json , <- set your virustotal API_KEY
python setup.py install

搜索引擎

  • Google
    intitle=公司名称
    过滤掉 -site:www.target.com
    我们可以在Google搜索中使用 site:运算符来查找一个域的所有子域名
    谷歌还分外支持减号运算符 site:*.wikimedia.org -www -store -jobs -uk 以清扫我们不感兴趣的子域名

  • Bing
    Bing搜索引擎也支持一些高级搜索运算符。与Google一样,Bing也支持site:运算符,可以帮助您检查除Google搜索之外的其他效果。
    发现子域名: site:target.com

  • 百度
    intitle=公司名称
  • 钟馗之眼
    https://www.zoomeye.org/
    site=域名
  • FOFA
    https://fofa.so/
    语法:domain=”baidu.com”
    提醒:以上方式无需爆破,查询速率快,需要快速网络资产时可以优先使用,后面再用其他方式弥补。

Certificate Transparency(证书透明)

SSL/TLS证书

证书透明度(Certificate Transparency)是证书授权机构的一个项目,证书授权机构会将每个SSL/TLS证书公布到公共日志中。一个SSL/TLS证书通常包罗域名、子域名和邮件地址。查找某个域名所属证书的最简朴的方式就是使用搜索引擎搜索一些公然的CT日志。

在线查询:
https://crt.sh/
https://censys.io/
https://developers.facebook.com/tools/ct/
https://google.com/transparencyreport/https/ct/
https://transparencyreport.google.com/https/certificates

CTFR
工具形貌:滥用证书透明纪录

git clone https://xxx.com/UnaPibaGeek/ctfr.git
cd ctfr
pip3 install -r requirements.txt
python3 ctfr.py -d target.com -o $outfile

Censys_subdomain_enum.py
工具形貌:提取子域名,从Censys的SSL/TLS证书中网络子域名

pip install censys
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
python censys_enumeration.py target.com

Cloudflare_enum.py
工具形貌:从Cloudflare提取子域名
dns聚合器

pip install censys
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
cloudflare_subdomain_enum.py your@cloudflare.email target.com

Crt_enum_web.py
工具形貌:剖析https://crt.sh/页面的子域名

pip install psycopg2
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
python3 crtsh_enum_web.py target.com

San_subdomain_enum.py
工具形貌:SSL/TLS证书中的SAN获取子域名

git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
./san_subdomain_enum.py target.com

Subject Alternate Name (SAN) - 主题备用名称

SAN(Subject Alternate Name)主题备用名称,主题备用名称证书简朴来说,在需要多个域名,将其用于各项服务时,可使用SAN证书。允许在平安证书中使用subjectAltName字段将多种值与证书关联,这些值被称为主题备用名称。名称可包罗:IP地址、DNS名称等。

San_subdomain_enum.py
工具形貌:SSL/TLS证书中的SAN获取子域名

如上。

Public datasets(公然数据集)

有些项目网络了全互联网局限内的扫描数据,并将其提供给研究职员和平安社区。该项目公布的数据集是子域名信息的宝库。虽然在这个重大的数据集中找到子域名就像大海捞针,但却值得我们去一试。

Rapid7 Forward DNS dataset (Project Sonar)
工具形貌:来自rapid7 sonar项目的公共数据集

wget https://scans.io/data/rapid7/sonar.fdns_v2/20170417-fdns.json.gz
cat 20170417-fdns.json.gz | pigz -dc | grep ".target.org" | jq`

Forward DNS(https://scans.io/study/sonar.fdns_v2) 数据集作为Project Sonar的一部门公布。
数据格式是通过gzip压缩的JSON文件。我们可以剖析数据集以查找给定域名的子域名。
数据集很大(压缩后:20 GB,压缩前:300 GB)
Command to parse & extract sub-domains for a given domain
$ curl -silent https://scans.io/data/rapid7/sonar.fdns_v2/20170417-fdns.json.gz | pigz -dc | grep ".icann.org" | jq

数据聚合网站
threatcrowd
https://scans.io/study/sonar.rdns_v2
https://opendata.rapid7.com/

信息泄露

  • 信息泄露
    首先找到目的站点,在官网中可能会找到相关资产(多为办公系统,邮箱系统等),关注一下页面底部,也许有治理后台等收获。
  • 文件泄露
    crossdomain.xml(跨域计谋文件cdx)
    robots.txt
  • Git堆栈泄露
  • 从流量中剖析提取

内容剖析(HTML,JavaScript,文件)

BiLE-suite
工具形貌:HTML剖析,反向dns剖析

aptitude install httrack
git clone https://xxx.com/sensepost/BiLE-suite.git
perl BiLE.pl target.com

,

电银付

电银付(dianyinzhifu.com)是官方网上推广平台。在线自动销售电银付激活码、电银付POS机。提供电银付安装教程、电银付使用教程、电银付APP使用教程、电银付APP安装教程、电银付APP下载等技术支持。面对全国推广电银付加盟、电银付大盟主、电银付小盟主业务。

,

Second Order
工具形貌:第二阶段域名扫描
通过HTML提取子域名

go get xxx.com/mhmdiaa/second-order
cp ~/go/src/xxx.com/mhmdiaa/second-order/config.json ~/go/src/xxx.com/mhmdiaa/second-order/config-subs-enum.json
编辑修改LogCrawledURLs为True
second-order -base https://target.com -config config.json -output target.com

DNS剖析

在线查询:
VirusTotal(https://www.virustotal.com/)
ViewDNS(https://viewdns.info/)
DNSdumpster(https://dnsdumpster.com/)
Threatcrowd(https://www.threatcrowd.org/)

BiLE-suite
工具形貌:HTML剖析,反向dns剖析

如上。

Massdns
工具形貌:dns剖析

git clone https://xxx.com/blechschmidt/massdns.git
cd massdns/
make
剖析域名:/bin/massdns -r lists/resolvers.txt -t AAAA -w results.txt domains.txt -o S -w output.txt
爆破域名:./scripts/subbrute.py wordlist.txt target.com | ./bin/massdns -r lists/resolvers.txt -t A -o S -w output.txt
CT剖析:./scripts/ct.py target.com | ./bin/massdns -r lists/resolvers.txt -t A -o S -w output.txt

区域传送

域传送是一种DNS事务,DNS服务器将其所有或部门域文件的副本传递给另一个DNS服务器。若是未平安地设置域传运送,则任何人都可以对指定名称的服务器启动域传送并获取域文件的副本。凭据设计,域文件包罗有关域和保留在域中的大量主机信息。

Windows:

  1. nslookup下令进入交互式shell
  2. server下令 参数设定查询将要使用的DNS服务器
  3. ls下令列出某个域中的所有域名

Linux:
Dig
工具形貌:dns区域传送,dns反向剖析,dns剖析

dig multi AXFR target.com
dig multi AXFR $ns_server target.com

DNS aggregators(DNS聚合器)

Cloudflare_enum.py
工具形貌:从Cloudflare提取子域名
dns聚合器

pip install censys
git clone https://xxx.com/appsecco/the-art-of-subdomain-enumeration.git
cloudflare_subdomain_enum.py your@cloudflare.email target.com

DNS Cache Snooping(域名缓存侦测)

域名缓存侦测(DNS Cache Snooping)手艺
在企业网络中,通常都市设置DNS服务器,为网络内的主机提供域名剖析服务。这些DNS不仅剖析自己的私有域名,还会用递归方式,请求公网的DNS剖析第三方域名,如baidu.com之类。为了提升性能,通常会使用缓存纪录,纪录剖析过的域名,尤其是第三方域名。
域名缓存侦测(DNS Cache Snooping)手艺就是向这些服务器发送域名剖析请求,但要求不使用递归模式。这样DNS只能剖析私有域名和缓存中保留的域名。借助该项手艺,渗透测试职员就知道哪些域名是否被过请求过。例如,测试职员可以提交某平安软件更新所使用的域名,若是有纪录,说明该网络使用该种平安软件。

Alterations & permutations(换置 & 排序)

AltDNS
工具形貌:通过换置&排序手艺发现子域名
git clone https://xxx.com/infosec-au/altdns.git
cd altdns
pip install -r requirements.txt
./altdns.py -i subdomains.txt -o data_output -w words.txt -r -s results_output.txt

DNSSEC(Domain Name System Security Extensions),DNS平安扩展,DNSSEC区域闲步

由于DNSSEC处置不存在域名的方式,您可以"遍历"DNSSEC域并枚举该域中的所有域名。您可以从这里(https://info.menandmice.com/blog/bid/73645/Take-your-DNSSEC-with-a-grain-of-salt) 领会有关此手艺的更多信息。

Ldns-walk
工具形貌:DNSSEC zone walking, 若是DNSSEC NSEC开启,可以获得所有域名。

aptitude install ldnsutils
ldns-walk target.com
ldns-walk @nsserver.com target.com
若是DNSSEC NSEC开启,可以获得所有域名。

CSP HTTP首部

Domains-from-csp
工具形貌:从CSP头提取子域名

git clone https://xxx.com/yamakira/domains-from-csp.git
pip install click
python csp_parser.py $URL
python csp_parser.py $URL -r

SPF纪录

SPF是通过域名的TXT纪录来举行设置的,SPF纪录列出了所有被授权代表域名发送电子邮件的主机

Assets-from-spf
工具形貌:SPF域名纪录
git clone https://xxx.com/yamakira/assets-from-spf.git
pip install click ipwhois
python assets_from_spf.py target.com

虚拟主机爆破

vhost-brute
工具形貌:虚拟主机爆破

aptitude install php-curl
git clone https://xxx.com/gwen001/vhost-brute.git

Virtual-host-discovery
工具形貌:虚拟主机爆破

git clone https://xxx.com/jobertabma/virtual-host-discovery.git
ruby scan.rb --ip=1.1.1.1 --host=target.com --output output.txt

ASN发现

通过域名查询到 ASN,再通过 ASN 查询到所属的所有 ip 局限

爬虫 Scraping(抓取)

泛剖析问题

现在最好的解决方式是通过先获取一个绝对不存在域名的响应内容,再遍历获取每个字典对应的子域名的响应内容,通过和不存在域名的内容做相似度比对,来枚举子域名,但这样的实现是以牺牲速率为价值

  • https://www.freebuf.com/news/133873.html
  • https://xz.aliyun.com/t/5509

tools

OneForAll

https://github.com/shmilylty/OneForAll
工具也有许多厉害的,平时我一样平常使用 OneForALL ESD JSfinder 来举行搜集,(ESD 可以加载 layer 的字典,很好用)

Sublist3r

https://github.com/aboul3la/Sublist3r - 壮大的快速子域枚举工具
评分:


发表评论
诚信在线声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
发表评论
诚信在线声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: