网络安全信息收集之域名探测

磨刀不误砍柴工当我们要对一个站点进行渗透测试之前，一般渗透测试人员常见方法是直接通漏洞扫描器来对指定目标站点进行扫描渗透，如果指定的目标站点无漏洞情况，渗透测试员就需要进行信息收集工作来完成后期的渗透。下面就跟随安全君来看下域名信息是如何收集的吧。根据主域名，可以获取二级域名、三级域名、......主要姿势可以有：

【1】DNS域传送漏洞如果存在，不仅能搜集子域名，还能轻松找到一枚洞，这样子的好事百试不厌。如果SRC一级域名不多，直接在kali下 dnsenumhttp://anquanba.cn。

工具说明及用法可参考如下：dnsenum的目的是尽可能收集一个域的信息，它能够通过谷歌或者字典文件猜测可能存在的域名，以及对一个网段进行反向查询。它可以查询网站的主机地址信息、域名服务器、mx record（函件交换记录），在域名服务器上执行axfr请求，通过谷歌脚本得到扩展域名信息（google hacking），提取自域名并查询，计算C类地址并执行whois查询，执行反向查询，把地址段写入文件。参数说明：-h 查看工具使用帮助--dnsserver 指定域名服务器--enum 快捷选项，相当于"--threads 5 -s 15 -w"--noreverse 跳过反向查询操作--nocolor 无彩色输出--private 显示并在"domain_ips.txt"文件结尾保存私有的ips--subfile 写入所有有效的子域名到指定文件-t, --timeout tcp或者udp的连接超时时间，默认为10s（时间单位：秒）--threads 查询线程数-v, --verbose 显示所有的进度和错误消息-o ,--output 输出选项，将输出信息保存到指定文件-e, --exclude 反向查询选项，从反向查询结果中排除与正则表达式相符的PTR记录，在排查无效主机上非常有用-w, --whois 在一个C段网络地址范围提供whois查询-f dns.txt 指定字典文件，可以换成 dns-big.txt 也可以自定义字典【2】备案号查询这算是奇招吧，通过查询系统域名备案号，再反查备案号相关的域名，收获颇丰。网站备案查询地址：

【3】SSL证书通过查询SSL证书，获取的域名存活率很高，这应该也是不错的思路。查询网址:

和

【4】google搜索C段这招用的比较少，国内没条件的就用bing或百度吧（国内站点足矣），在没什么进展的时候或许会有意外惊喜。方法一：参考GoogleHack用法方法二：用k8工具，前提条件记得注册bing接口什么是C段：比如在：127.127.127.4 这个IP上面有一个网站 127.4 这个服务器上面有网站我们可以想想..他是一个非常大的站几乎没什么漏洞！但是在他同C段 127.127.127.1~127.127.127.255 这 1~255 上面也有服务器而且也有网站并且存在漏洞,那么我们就可以来渗透 1~255任何一个站 之后提权来嗅探得到127.4 这台服务器的密码 甚至3389连接的密码后台登录的密码 如果运气好会得到很多的密码…【5】APP提取反编译APP进行提取相关IP地址，此外在APP上挖洞的时候，可以发现前面招式找不到的域名，在APP里面有大量的接口IP和内网 IP，同时可获取不少安全漏洞。

【6】微信公众号

企业的另一通道，渗透相关公众号，绝对会有意外收获：不少漏洞+域名，有关Burp如何抓取微信公众号数据可参考 Burp APP抓包。

【7】字典枚举法

字典枚举法是一种传统查找子域名的技术，这类工具有 DNSReconcile、Layer子域名挖掘机、DirBuster等。

【8】公开DNS源

Rapid7下Sonar项目发布的：

DNS历史解析：

【9】威胁情报查询

华为安全情报

转载自：

喜欢就关注我吧，有问题也可以私信我哦。