信息收集 | 子域名收集及其利用方式

• 2020 年 2 月 16 日
• 筆記

声明：文章仅供学习参考，请勿用作非法途径，否则后果自负。

02

简单介绍

子域名：域名按照层级可以分为顶级域、主域名、子域名等 。例如.net 是顶级域，主域名是sony.net，子域名则是在主域名的前面添加自定义名称，例如像 sony.net 、mail.sony.net 这一类都可统称为子域名。

例如：很多人都误把带www当成一级域名，把其他前缀的当成二级域名；或者把二级域名当成一级域名。这些都是错误的。以sony.net为例，正确的域名划分为：.net 顶级域名/一级域名，sony.net 二级域名，s.sony.net 三级域名，s.s.sony.net 四级域名

02

收集方式

1

OneForAll

地址： https://github.com/shmilylty/OneForAll 调接口+爆破

2

Google语法

例如：*.sony.net

3

空间探测

例如：Fofa：domain:sony.net

其他搜索引擎：ZoomeyeShodan

Fofa搜索子域名如下图：

4

爬虫

推荐工具：burp、awvs

5

IP反查

地址：https://tools.ipip.net

https://dns.bugscaner.com

6

证书

地址：https://censys.io/

https://crt.sh/

例如：crt.sh搜索四级域名%.%.sony.net

7

人工查看https证书

证书 — 详细信息 — 使用者可选名称

8

DNS A记录

地址：https://hackertarget.com/find-dns-host-records/

9

APEX_DOMAIN 记录

地址：

https://securitytrails.com/list/apex_domain/sony.net

10

DNS 流量

地址：https://dnsdumpster.com

11

DNS域传送漏洞

原理：DNS服务器配置不当，导致匿名用户利用DNS域传送协议获取某个域的所有记录。通过可以实现DNS域传送协议的程序，尝试匿名进行DNS域传送，获取记录。

可以用Nmap检测，还可以用nslookup、dig检测

12

枚举爆破（在线、本地）

在线爆破

地址：https://blast.uixsj.cn/

https://z.zcjun.com/

https://phpinfo.me/domain/

本地爆破

工具都大同小异，主要看字典质量

地址：

https://github.com/lijiejie/subDomainsBrute

https://github.com/yanxiu0614/subdomain3

02

利用方式

1. 子域名可以扩大攻击范围，同一个域名下的二级域名都属于相同资产，一般而言都有相关的联系