在进行Web渗透时,我们常常需要对其子域名进行收集。相对于主站来说,分站的安全会做的差一些。子域名收集大抵可以通过手工、工具或者分析搜索引擎等等方法来实现。接下来让我们看看具体可以怎么做
1.子域名猜测与测试访问
这是最简单也是比较笨的一种方法,对于 Web 子域名进行猜测,然后去浏览器访问查看是否真实存在。比如 baidu.com,猜测其可能有
fanyi/tieba/pay/bbs.baidu.com 等;csdn.NET,猜测其可能的子域名有 blog/download/mail/bbs.csdn.net 等,这种方法对于常见的子域名测试效果还可以。
2.搜索引擎指令查询
在搜索引擎通过搜索 “site:csdn.net” 来搜索其主要域名 csdn.net 下的子域名。利用搜索引擎查找子域名可能会有很多重复的页面和结果,我们可以利用下面的指令来进行更精确的查找:
在使用指令之前,我们先将搜索引擎做一些基本设置,将搜索结果设置一页显示 50 条,
allintext: = 搜索文本,但不包括网页标题和链接。
allinlinks: =搜索链接,不包括文本和标题。
related:URL =列出与目标 URL 地址相关的网页。这个命令对一些小众网站不适用,会偶尔搜不出东西来。
link:URL =列出某个站点的大概的外链情况.
使用“-”去掉不想看的结果,如 sitecsdn.net - blog.csdn.net
3.查询 DNS 的解析记录
查询其域名下的 mx、cname 记录,主要通过 nslookup 命令,如:
nslookup -qt=mx 163.com //查询邮箱服务器,其 mx 可以换成以下的一些参数进行查询
1
A:地址记录(Ipv4)
AAAA:地址记录(Ipv6)
AFSDB Andrew:文件系统数据库服务器记录
ATMA ATM:地址记录。
CNAME:别名记录。
HINFO:硬件配置记录,包括CPU、操作系统信息。
ISDN:域名对应的ISDN号码。
MB:存放指定邮箱的服务器。
MG:邮件组记录。
MINFO:邮件组和邮箱的信息记录。
MR:改名的邮箱记录。
MX:邮件服务器记录。
NS:名字服务器记录。
PTR:反向记录。
RP::负责人记录。
RT:路由穿透记录。
SRV TCP:服务器信息记录。
TXT:域名对应的文本信息。
X25:域名对应的 X.25 地址记录。
4.基于DNS查询的暴力破解
目前有很多开源的工具支持子域名暴力破解,通过尝试字典+“.”+“主域名”进行测试,如字典中有 bbs/admin/manager.对baidu.com进行尝试,则会爬取 bbs baidu.com、admin baidu.com. manager.baidu.com,通过访问其地址,根据共相应状态关键字来判断是否开启和存在。
5.手工分析
通过在看主站主页及相关页面,从html代码及友情链接的地方去手工发现,作为其主域名或其他域名下的 crossdomim.xml 文件会包含一些子域名信息。
