概述
在渗透测试或SRC漏洞挖掘中,安全测试人员通常会得到一些域名资产。为了更好地进行渗透测试,通常都需要进行子域名收集。
声明:本文在FreeBuf首发,首发链接为:https://www.freebuf.com/vuls/328801.html
为什么需要进行子域名收集?
- 扩大资产范围,可以增加漏洞发现的概率
- 众所周知,一般情况下主站的安全性可能相对较高,而一些不常用的子站或者上线不久的站点,可能安全方面的考虑还没有很周全,可能成为目标系统的脆弱点
- 通常情况下,同一组织采用相同应用搭建多个服务的可能性很大,以及补丁的情况也可能大致相同,因此,存在相同漏洞的概率非常大
子域名收集通常分为两种方式,分别为被动收集和主动收集。
被动收集是指,在不与目标系统进行交互的情况下,通过第三方进行收集。这种方式有着明显的优势,因为不需要和目标系统进行交互,所以不会对目标系统造成任何影响,更不会触发任何安全产品的告警。
被动子域名收集的方式:
- 信息泄露
- 搜索引擎
- 网络空间测绘引擎
- 证书透明
- 第三方DNS服务
- AS 号码查询
- SAN 收集
- 使用公共数据集
主动收集是指,通过与目标系统进行交互,对子域名进行收集。因为需要和目标系统进行交互,很可能出现高频访问等情况,有触犯安全产品告警的风险。
主动收集子域名的方式:
- 字典枚举
- 置换扫描
- 域传送漏洞
- DNSSEC
- DNS缓存
被动子域名收集
信息泄露
-
corssdomain.xml
跨站策略文件,主要是为web客户端(如Adobe Flash Player等)设置跨域处理数据的权限,里面可能包含部分域名信息。
-
Github 、Gitee等代码仓库中,可能有相关子域名的信息
-
抓包分析获取,如一些静态资源的请求、一些APP或者小程序接口、邮件服务器等等
搜索引擎
常用的搜索引擎有Google和百度,基础的搜索语法:
site:*.baidu.com
一般用作工具搜集的补充,也可以编写脚本进行批量操作
网络资产搜索引擎
常见的空间测绘引擎:
直接在搜索框使用语法进行搜素,基础语法:
domain=Your_domain
也可以利用API进行搜索
echo 'domain="baidu.com"' | base64 - | xargs -I{
} curl "https://fofa.info/api/v1/search/all?email=${Your_Mail}&key=${Your_Key}&page=1&qbase64={}"
再编写个脚本,对返回的数据进行简单的处理,即可获得一个子域名列表。
import requests
from base64 import b64encode
import json
# 配置信息
domain = 'domain="baidu.com"'
domain = str(b64encode(domain.encode("utf-8")), "utf-8")
email = "Your_email"
key = "Your_key"
# end
url = "https://fofa.info/api/v1/search/all?email={email}&key={key}&
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
