【Linux】Kali Linux 渗透安全学习笔记（2） - OneForAll 简单应用

OneForAll （以下简称"OFA"）是一个非常好用的子域收集工具，可以通过一级域名找到旗下的所有层级域名，通过递归的方式我们很容易就能够知道此域名下的所有域名层级结构，对于进一步通过域名推测站点功能起到非常重要的作用。

声明：

本文测试的站点为自家站点仅做学习使用，不存在侵犯网络信息安全问题；

本文只介绍工具的使用并不鼓吹任何非法活动，请各位看官三思而后行一切后果自负；

本文测试中结果虽然是真实的，但涉及的敏感信息都将采用"化名"进行脱敏；

1. 安装 OneForAll

OFA 安装其实非常简单，我们只需到 github（或 gitee）中进行下载即可。

bash 复制代码

┌──(root💀b8ef6c2abc47)-[/home]
└─# git clone https://github.com/shmilylty/OneForAll.git

由于之前我们已经安装了 kali linux（以下简称"kali"）的 everything 版本，因此 python2 和 python3 都已经安装完成了，此时切换到 OFA 根目录就可以通过 python 命令执行。

注意：OFA 需要使用 python3 来运行。在运行过程中或许会出现"cannot import name 'sre_parse' from 're'"的错误，这是因为 kali 在安装 everything 的时候直接安装了高版本的 python3 了，在高版本中 sre_parse 模块已经被独立移出了，因此需要修改一下 exrex.py 文件，那这个 exrex.py 文件究竟在哪呢？

从报错信息我们可以找到是在"/usr/local/lib/python3.11/dist-packages/exrex.py"路径下，那么进去修改即可，如下图：

bash 复制代码

try:
    from future_builtins import map, range
except:
    pass
import sre_parse
from re import U
#from re import sre_parse, U
from itertools import tee
from random import choice, randint
from types import GeneratorType

还好要修改的部分还算是比较好找，如上图所示，将"from re import sre_parse, U"给注释掉，然后额外添加"import sre_parse"和"from re import U"就可以了。

2. 根据域名收集子域

在开始之前我们先找到目标域名，假设域名为"yzhcs.io"。接下来我们有两种方式可以将这个域名提供给 OFA 使用，

2.1 读取文件（适合多域名）

将域名写到一个 txt 文件里面（domain.txt，明名字随便起就可以），如下图：

bash 复制代码

┌──(root💀b8ef6c2abc47)-[/home/OneForAll]
└─# vim domain.txt

┌──(root💀b8ef6c2abc47)-[/home/OneForAll]
└─# cat domain.txt 
yzhcs.io

这里如果要扫描多个域名的情况下，可以在 txt 文档里面分多行来填写，每一行一个域名。接下来使用的时候只需要通过 --targets 参数将文件路径写上即可，如下图：

bash 复制代码

┌──(root💀b8ef6c2abc47)-[/home/OneForAll]
└─# python oneforall.py --targets domain.txt

2.2 直接提供（适合单域名）

除了文件方式，也可以通过 --target 参数直接将域名提供给 OFA，如下图：

bash 复制代码

┌──(root💀b8ef6c2abc47)-[/home/OneForAll]
└─# python oneforall.py --target yzhcs.io

2.3 执行扫描

除了提供域名外，我还使用了以下几个参数：

--port：端口扫描范围，这里采用 large 参数代表大范围的端口扫描
--alive：是否只导出存活子域
--takeover：是否启用子域劫持测试

当然了，只需使用"python oneforall.py -h"命令就能查看帮助文档，更多的参数可以在里面找到。需要提一嘴的是，目前网上大部分关于 OFA 文章的参数已经不太适用于最新的 OFA 程序了，建议各位在使用之前先看看帮助文档。命令执行如下图所示：

bash 复制代码

┌──(root💀b8ef6c2abc47)-[/home/OneForAll]
└─# python oneforall.py --target yzhcs.io --port large --alive True --takeover True run

OneForAll is a powerful subdomain integration tool
             ___             _ _ 
 ___ ___ ___|  _|___ ___ ___| | | {v0.4.5 #dev}
| . |   | -_|  _| . |  _| .'| | | 
|___|_|_|___|_| |___|_| |__,|_|_| git.io/fjHT1

OneForAll is under development, please update before each use!

[*] Starting OneForAll @ 2023-08-02 11:49:44

11:49:44,634 [INFOR] utils:532 - Checking dependent environment
11:49:44,634 [INFOR] utils:544 - Checking network environment
11:50:12,250 [ERROR] utils:520 - (ReadTimeoutError("HTTPSConnectionPool(host='www.akamai.com', port=443): Read timed out. (read timeout=27)"),)
11:50:12,252 [ALERT] utils:521 - Unable to access Internet, retrying for the 1th time
11:50:14,102 [INFOR] utils:555 - Checking for the latest version
11:50:15,109 [INFOR] utils:579 - The current version v0.4.5 is already the latest version
11:50:15,113 [INFOR] oneforall:241 - Start running OneForAll
... 此处省略 1w 字
11:53:19,143 [ALERT] takeover:161 - Takeover module takes 0.1 seconds, There are 0 subdomains exists takeover
11:53:19,144 [INFOR] takeover:163 - Subdomain takeover results: /home/OneForAll/results/takeover_check_result_1690977199.csv
11:53:19,144 [INFOR] takeover:164 - Finished Takeover module
11:53:19,144 [INFOR] oneforall:255 - Finished OneForAll

扫描结果如下所示， app.yzhcs.io 域名是没有 SSL 保护且显示可以被爆破获取，这个是需要注意的。

访问地址	域名	是否有 CDN 加速	端口	扫描状态	扫描结果	扫描返回	证书供应商
https://app.yzhcs.io	app.yzhcs.io	有	443	200	OK		Brute
http://app.yzhcs.io	app.yzhcs.io	有	80	200	OK		Brute
http://def.yzhcs.io	def.yzhcs.io	无	80	401	Unauthorized	'{"message":"认证信息异常！"}'	MySSLQuery
https://def.yzhcs.io	def.yzhcs.io	无	443	401	Unauthorized	'{"message":"认证信息异常！"}'	MySSLQuery

另外，"/home/OneForAll/results/"路径下的 takeover_check_result_1690977199.csv 文件中并没有任何信息反馈，因此可以认定该域名下没有发现子域劫持漏洞。

3. 根据域名爆破收集子域

除了通过 python oneforall.py 的方式获取子域外，OFA 还提供了单独的 brute.py 脚本进行爆破获取。所谓"爆破"据我理解就是通过字典方式进行碰撞匹配，说白了就是多线程的穷举碰撞获取所有子域（没有看过源码瞎猜而已）。

值得注意的是 brute.py 脚本中以下几个参数的使用：

--concurrent：此为并发数默认 2000，不要设置太高会影响到目标服务器的使用；
--recursive：是否开启递归扫描模式，若设置为 True，这会根据 --depth 参数中提供的层级深度进行扫描。需要注意的是一旦扫描出错这不会继续扫描下去，譬如：depth 递归层级设置为 3 级，那么 yzhcs.io 域名就应该扫描到三级域名，若扫描到其中一个二级域名中出现 Error 后，之后的其他二级域名将不会被扫描，扫描程序也会停留在 Error 层级；
--depth：递归深度，默认为 2 级；
--word：是否启用单词模式生成词典；

至于其他的参数像 --fuzz 、--rule 等参数都比较少用，这里就不介绍了各位可以上网搜一下能够找到的。

由于 yzhcs.io 也最多只有二级域名，因此并不需要那么多参数参与扫描，执行结果如下图所示：

bash 复制代码

┌──(root💀b8ef6c2abc47)-[/home/OneForAll]
└─# python brute.py --target yzhcs.io --word True run

Processed queries: 1721
Received packets: 1721
Progress: 100.00% (00 h 00 min 03 sec / 00 h 00 min 03 sec)
Current incoming rate: 25 pps, average: 797 pps
Current success rate: 25 pps, average: 797 pps
Finished total: 1721, success: 1721 (100.00%)
Mismatched domains: 0 (0.00%), IDs: 0 (0.00%)
Failures: 0: 53.86%, 1: 33.12%, 2: 9.88%, 3: 2.91%, 4: 0.23%, 5: 0.00%, 6: 0.00%, 7: 0.00%, 8: 0.00%, 9: 0.00%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 
Response: | Success:               | Total:
Processed queries: 95247
Received packets: 95266
Progress: 100.00% (00 h 00 min 22 sec / 00 h 00 min 22 sec)
Current incoming rate: 2 pps, average: 4239 pps
Current success rate: 2 pps, average: 4239 pps
Finished total: 95247, success: 95247 (100.00%)
Mismatched domains: 19 (0.02%), IDs: 0 (0.00%)
Failures: 0: 61.23%, 1: 22.92%, 2: 9.18%, 3: 3.82%, 4: 1.60%, 5: 0.68%, 6: 0.31%, 7: 0.15%, 8: 0.05%, 9: 0.03%, 10: 0.01%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 
Response: | Success:               | Total:
OK:       |            2 (  0.00%) |            2 (  0.00%)
NXDOMAIN: |        68172 ( 71.57%) |        68174 ( 71.56%)
SERVFAIL: |        27073 ( 28.42%) |        27090 ( 28.44%)
REFUSED:  |            0 (  0.00%) |            0 (  0.00%)
FORMERR:  |            0 (  0.00%) |            0 (  0.00%)
11:21:59,613 [INFOR] brute:197 - Counting IP cname appear times
11:21:59,616 [INFOR] brute:238 - Processing result
11:21:59,618 [ALERT] brute:451 - Brute module takes 22.8 seconds, found 2 subdomains of yzhcs.io
11:21:59,649 [INFOR] brute:489 - Finished Brute module to brute yzhcs.io
11:21:59,655 [ALERT] export:66 - The subdomain result for yzhcs.io: /home/OneForAll/results/yzhcs.io.csv

访问地址	子域名	端口	爆破结果	证书来源
http://app.yzhcs.io	app.yzhcs.io	80	OK	Brute
http://def.yzhcs.io	def.yzhcs.io	80	OK	Brute

结果显示，app 和 def 两个域名都可以被爆破获取。

4. 修复建议

既然OFA 这类工具能够通过子域劫持（Subdomain Takeover）从 DNS 记录中找到第三方服务或托管平台从而接管子域，那么可以试试从源头 DNS 那边做一些防御措施：

设置 DNS 查询频率限制：在 DNS 服务器上设置查询频率限制，以防止过多的 DNS 查询。这可以阻止恶意用户使用暴力破解方式来获取子域信息；
使用 DNSSEC：使用 DNSSEC（Domain Name System Security Extensions）来增强 DNS 的安全性。DNSSEC 可以保护 DNS 解析过程，防止数据篡改和欺骗攻击；
限制子域查询权限：只允许授权用户或合作伙伴查询子域信息。使用访问控制列表（ACL）或防火墙来限制 DNS 查询的来源；
合理设置 DNS TTL：合理设置 DNS 记录的 Time-to-Live（TTL），较短的 TTL 可以更快地更新 DNS 记录，但会增加 DNS 查询的频率；

但一般人大多是租用云服务供应商的机器进行部署，基本不可能接触到基于网络层面的 DNS 防御，这时只能尽力而为：

使用 HTTPS：确保您的项目使用 HTTPS 加密协议来保护数据传输；
配置防火墙和安全组：在云服务器控制台中，配置防火墙规则和安全组，以限制对服务器的访问；
使用安全的数据库连接：可以的话使用加密连接和凭证管理去连接数据库；