子域名搜集攻略来啦！快来pick一下！

子域名是域名系统（DNS）层次结构的一部分，合理使用可以令 站中的不同内容以一种更简单的方法被记住，业务较大的公司使用多个子域名也能够更便捷地管理 站的不同功能。

众所周知，渗透测试的本质是信息搜集，在做渗透测试和挖SRC漏洞的过程中，子域名数量越多则发现漏洞的可能性越大。当目标业务范围较大时，很难保证每个子域名的安全性，因此子域名的搜集至关重要。

本期安仔课堂，ISEC实验室的杨老师将为大家介绍几种适用于不同途径的子域名搜集工具，帮助大家尽可能的覆盖目标站存活的子域名。

一、利用搜索引擎被动搜集

1.谷歌搜索语法—site

当使用site提交查询时，Google会将查询限制在某个 站/某个域下面进行，此时配合其他指令效果更佳，如使用减 “-”来排除不想要搜集到的域名。

图1

Bing.com

图2

使用谷歌搜索语法不仅可以搜集子域名，还可以对搜索出的内容进行筛选。

补充指令:

“intitle”：搜索关键词“intitle:admin”，只搜索 页标题含有关键词的页面。

“inurl”：搜索关键词“inurl:admin”，只搜索 页链接含有关键词的页面。

“intext”：搜索关键词“intext:admin”，只搜索 页“body”标签中文本含有关键词的页面。

“Index of/”：直接进入 站首页下的所有文件和文件夹。

“filetype”：搜索关键词“filetype:cfm”，只搜索指定后缀为“cfm”页面的内容。

“cache”：搜索Google里关于某些内容的缓存。

C段

图3

Site:x.x.x.* (目标IP)

当已获取某些子域名真实IP时，可在搜索引擎中使用“Site:x.x.x.* (目标IP) ”进行横向搜索，会有一些意想不到的收获。

1.Rapid7实验室

图4

Rapid7实验室向研究人员和 区成员开放Sonar项目数据的访问权限，该项目通过互联 在全球范围内展开调查，深入调研全球常见漏洞。

图5

Rapid7实验室搜集并公开了庞大的互联 扫描数据，通过以下指令可删选数据，查找目标站信息。

图6

三、证书透明度

通过证书透明度搜索引擎来搜集一些其他工具遗漏的子域名，尽可能覆盖目标所有存活的子域名，以下为几个比较常用的在线搜索引擎：

图7

图8

四、集成工具

我们可以使用集成了多种技术进行子域名搜集的工具来提高子域名的发现效率，以下几款是较为常见的集成工具：

1.Enumeration sub domains子域名枚举工具

域名泛解析是爆破类工具的难题，开启泛解析之后会将不存在的子域名解析到一个存在的域名（如主页）上，此时字典越大爆破的结果就越多，但大部分为无效子域名。

ESD枚举工具可基于aioHTTP获取一个不存在子域名的响应内容，并将其与字典子域名响应进行相似度对比（超过阈值为同个页面，低于阀值则为可用子域名），最后再对最终子域名进行响应相似度对比。该工具可以有效避免搜集到的子域名大部分为无效子域名。

项目地址如下：

图9

图10

2.Sublist3r

Sublist3r是最受欢迎的开源工具之一，同时支持Python 2.x和Python 3.x版本。除常见搜索引擎外，Sublist3r还使用Netcraft、Virustotal、ThreatCrowd、DNSdumpster和ReverseDNS枚举子域名。

图11

项目地址如下：

图12

五、在线子域名搜集接口

有时需要快速获取目标子域名等信息，此时可使用在线接口进行子域名查询，该操作方便快捷，可以摆脱工具、环境的束缚。

图13

图14

六、域名备案搜集资产

在对一些大型的目标进行信息搜集时，还可以通过查找域名备案信息来发现同备案的其他域名资产。如搜集百度的子域名时，最常见的即为对baidu.com进行子域名搜集，此时就会遗漏其余顶级域名资产。

图15

如上图通过查询baidu.com的 站备案/许可证 ，再对其进行反查，即可发现百度同备案的其他顶级域名资产。

通过域名备案查找同备案的其他域名资产，能够更全面的搜集目标资产信息，提升发现漏洞的概率。

站备案查询地址如下：

图16