附:完整笔记目录~
ps:本人小白,笔记均在个人理解基础上整理,若有错误欢迎指正!
2.1 域名信息收集
-
引子:上一章介绍了服务器的信息收集。本篇则介绍在面对存在Web资产企业时,其域名信息该如何收集。
-
域名信息
先简单介绍一下域名:往往使用简单易记的名称,去标识互联网中网站或服务的地址。也就是说域名信息,实际就是目标企业在互联网中所提供服务的地址信息。
那我们该怎样去收集目标的域名信息呢?
-
备案查询
几乎所有国内正规&商用Web服务,在上线前均需先进行备案,备案通过后才可正式使用。若已知目标备案信息,则可通过官方&第三方在线平台去查询其备案信息下所对应的所有Web服务。
以官方平台为例:
-
前提:需要得知备案信息
一般备案信息在Web服务最下方,主要通过备案号去查询。
-
官方备案查询平台:
https://beian.miit.gov.cn/#/Integrated/recordQuery -
在查询平台中输入备案号
附:第三方备案查询平台,
https://www.beianx.cn/search。 -
-
产权查询
企业往往会将其旗下在互联网中的服务(如Web、App、小程序)视为其知识产权。若已知企业名称,则可通过在线平台对其旗下互联网产权进行查询。
常见查询平台,如小蓝本,
https://sou.xiaolanben.com/pc、爱企查,https://aiqicha.baidu.com/等。我们以小米为例:- 在小蓝本中搜索:北京小米科技有限责任公司。
- 随后可以看到,其所记录小米公司的相关产权。
-
子域名信息
上文所说的域名信息收集,是指收集目标的主域名信息。但一个主域名下往往会存在很多子域名,用于区分不同内容&服务。而往往一个业务系统的很多功能,都是在其子域下实现的,很多功能意味者很多测试点,因此子域名信息收集也是Web信息收集很重要的一部分。
下面列举几种常见子域名信息收集的方法,
-
浏览器语法查询
若使用Google浏览器,则可通过浏览器语法对子域进行查询。
以百度为例,Google搜索:site:baidu.com ,其含义为搜索baidu.com的相关地址。
可以看到,搜索结果均为百度子站。
-
DNS查询
借助在线平台,通过其平台数据库存储的主域历史dns解析记录,去获取主域下的更多子域信息。
在线DNS查询平台:
https://dnsdumpster.com/,查询小迪上课案例(某车之家):
补:这里再补一个在线子域查询平台,
https://www.dnsgrep.cn/subdomain,实现原理应该同上。 -
子域名枚举
通过字典进行子域构造,再通过DNS服务器对这些子域进行查询,从而获取能够被解析的子域。
使用本地工具进行子域名枚举:
- TscanPlus
无影集成了子域名枚举功能,但默认线程速度较慢。
配置选项
部分枚举结果展示。 - ksubdomain(github:
https://github.com/boy-hack/ksubdomain)
内置字典10w余行,支持验证与枚举,且枚举速度极快。同样使用小迪上课案例:
可以看到,1分半爆了17w条子域。
Q:我们可以看到,无论是在线平台还是本地工具,都能获取到很多子域,那这些子域都是有效信息吗?
A:当然不是,这往往是由于DNS泛解析配置引起的,泛解析会使某一主域下所有未明确指定的子域(无论其子域是否存在)都指向同一ip。因此获取到这些能被DNS解析的子域后,还需借助工具依次对这些域名进行访问,进一步筛选出有价值的域名。
- TscanPlus
-
证书查询
当域名在使用Https协议时,需要配置证书,而同一主域下所使用的证书往往相同。因此可通过查询主域证书信息来获取更多的子域信息。
在线证书查询平台:
https://crt.sh/,案例同上
-
网络空间测绘&威胁情报感知
实际都是通过搜索在线资产测绘平台去获取主域下更多的子域。常见的测绘平台,fofa、hunter、quake等,情报感知平台,微步在线等。
-
JS提取
前端JS文件中会含有很多子域,这些子域往往用于API通信,但同样也是我们获取子域信息的一种途径。
可以手工搜索前端JS所存在子域,也可借助浏览器插件实现。这里以FindSomething插件为例,目标同上
