挖掘二级域名的一些思路

發表於 2017-06-16   |   分類於 信息安全   |  

参考资料

渗透测试前期探测之子域名IP收集 - 印象笔记 Jumbo

http://blkstone.github.io/2017/04/28/pentest-recon/

论二级域名收集的各种姿势 - wx - 信安之路(myh0st_wxgzh)

快速总结

总结一下大致的思路。

  1. zone transfer
  2. wild dns
  3. 字典枚举
  4. 搜索引擎来源
  5. sitemap
  6. robots.txt
  7. crossdomain.xml
  8. 查询各种 passive DNS 库 censys等 (包括历史数据)
  9. 爬虫爬取网站所有超链接(注意登陆),提取子域名
  10. ssl证书
  11. github等开源平台代码泄露二级域名
  12. 乌云等平台的历史漏洞暴露二级域名
  13. 想办法搞定那台DNS服务器 (难度较大且容易暴露)

passive DNS 服务列表

dnsdb.io
微步在线
白帽汇NoSec
censys.io
5118

爬虫的实际案例

利用 burpsuite spider 自动抓取子域名。

内网视角的挖掘

1
ipconfig /displaydns

或是查看 收藏夹 浏览器记录

分享一个内网渗透中蛮实用的技巧。(内网中找存在web的机器)
现处于某渗透项目的实战中,想找存在内网里面机器上部署了web的机器,不想惊动管理员,去扫描之类的,去吐司搜集了一些技巧,蛮不错的,跟大家分享一下
1.查看dns服务器,一般dns记录和二级域名很像。
2.写个脚本,在内网获取二级域名的全部解析ip,部分域名会显示出内网ip
3.导出机器名,看机器名 。
4.telnet 80 443 8000 8080 。
5.ipc$ 个人机,看收藏夹 cookie等。

t00ls技巧
技巧1
把子域名都整理一下,自己写个扫描器,扫web端口的,数据包发给内网的每个ip地址,但是http头的Host参数指定为子域名,如果网站存在,则会返回首页。这个比直接扫web端口的准确率要高,因为很多网站是跟特定的域名绑定的,如果直接扫端口,返回的可能只是默认站点。
技巧2

  1. ADExplorer/adfind -> SPN
  2. adfind ->数据库机器->netstat -ano
  3. 机器名:oa,web,app,vpn,mail,moss ex.
  4. 域段内扫端口
#渗透测试 #信息收集
常见Web源码信息泄露漏洞总结
手工检测 Web应用指纹(Web Application Fingerprinting)的一些技巧