在進(jìn)行Web滲透時(shí),我們常常需要對(duì)其子域名進(jìn)行收集。相對(duì)于主站來說,分站的安全會(huì)做的差一些。子域名收集大抵可以通過手工、工具或者分析搜索引擎等等方法來實(shí)現(xiàn)。接下來讓我們看看具體可以怎么做
1.子域名猜測(cè)與測(cè)試訪問
這是最簡(jiǎn)單也是比較笨的一種方法,對(duì)于 Web 子域名進(jìn)行猜測(cè),然后去瀏覽器訪問查看是否真實(shí)存在。比如 baidu.com,猜測(cè)其可能有
fanyi/tieba/pay/bbs.baidu.com 等;csdn.NET,猜測(cè)其可能的子域名有 blog/download/mail/bbs.csdn.net 等,這種方法對(duì)于常見的子域名測(cè)試效果還可以。
2.搜索引擎指令查詢
在搜索引擎通過搜索 “site:csdn.net” 來搜索其主要域名 csdn.net 下的子域名。利用搜索引擎查找子域名可能會(huì)有很多重復(fù)的頁面和結(jié)果,我們可以利用下面的指令來進(jìn)行更精確的查找:
在使用指令之前,我們先將搜索引擎做一些基本設(shè)置,將搜索結(jié)果設(shè)置一頁顯示 50 條,
allintext: = 搜索文本,但不包括網(wǎng)頁標(biāo)題和鏈接。
allinlinks: =搜索鏈接,不包括文本和標(biāo)題。
related:URL =列出與目標(biāo) URL 地址相關(guān)的網(wǎng)頁。這個(gè)命令對(duì)一些小眾網(wǎng)站不適用,會(huì)偶爾搜不出東西來。
link:URL =列出某個(gè)站點(diǎn)的大概的外鏈情況.
使用“-”去掉不想看的結(jié)果,如 sitecsdn.net - blog.csdn.net
3.查詢 DNS 的解析記錄
查詢其域名下的 mx、cname 記錄,主要通過 nslookup 命令,如:
nslookup -qt=mx 163.com //查詢郵箱服務(wù)器,其 mx 可以換成以下的一些參數(shù)進(jìn)行查詢
1
A:地址記錄(Ipv4)
AAAA:地址記錄(Ipv6)
AFSDB Andrew:文件系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器記錄
ATMA ATM:地址記錄。
CNAME:別名記錄。
HINFO:硬件配置記錄,包括CPU、操作系統(tǒng)信息。
ISDN:域名對(duì)應(yīng)的ISDN號(hào)碼。
MB:存放指定郵箱的服務(wù)器。
MG:郵件組記錄。
MINFO:郵件組和郵箱的信息記錄。
MR:改名的郵箱記錄。
MX:郵件服務(wù)器記錄。
NS:名字服務(wù)器記錄。
PTR:反向記錄。
RP::負(fù)責(zé)人記錄。
RT:路由穿透記錄。
SRV TCP:服務(wù)器信息記錄。
TXT:域名對(duì)應(yīng)的文本信息。
X25:域名對(duì)應(yīng)的 X.25 地址記錄。
4.基于DNS查詢的暴力破解
目前有很多開源的工具支持子域名暴力破解,通過嘗試字典+“.”+“主域名”進(jìn)行測(cè)試,如字典中有 bbs/admin/manager.對(duì)baidu.com進(jìn)行嘗試,則會(huì)爬取 bbs baidu.com、admin baidu.com. manager.baidu.com,通過訪問其地址,根據(jù)共相應(yīng)狀態(tài)關(guān)鍵字來判斷是否開啟和存在。
5.手工分析
通過在看主站主頁及相關(guān)頁面,從html代碼及友情鏈接的地方去手工發(fā)現(xiàn),作為其主域名或其他域名下的 crossdomim.xml 文件會(huì)包含一些子域名信息。