1. Whois 信息查询
- Whois 是用于查询域名注册信息的公共数据库。
- 可获取信息:域名所有人、注册商、注册时间、邮箱地址等。
- 这些信息有助于推断域名归属、查找关联资产。
2. 搜索引擎搜索
- 使用
site:domain搜索语法,查询搜索引擎中已索引的域名和子域名信息。 - 例子:
site:example.com
3. 第三方子域名查询平台
常用的平台包括:
- DNSDumpster
- VirusTotal
- CrtSearch
- ThreatMiner
- Censys
更多工具可参考专门的工具列表章节(如8.1)。
4. ASN 信息关联
ASN(Autonomous System Number,自治系统编号)可用于查找与某组织相关的 IP 段。
常用命令示例:
whois -h whois.radb.net -- '-i origin AS111111' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq
nmap --script targets-asn --script-args targets-asn.asn=15169
5. 域名相关性分析
通过注册邮箱、备案号、注册人等信息,可以推测出同一实体注册的多个域名。
基本流程:
- 查询域名注册邮箱。
- 根据备案号反查更多域名。
- 反查注册邮箱/注册人信息。
- 循环反查,进一步扩展关联域名与子域名。
- 注意甄别不同 TLD(如
.com和.cn)可能归属不同实体的情况。
6. 网站信息挖掘
- 网站中经常隐含其他子域或服务域名的信息,出现在:
- JavaScript 文件
- 资源链接
- 页面源码
- 还可以分析网站设置的跨域策略(CORS)、内容安全策略(CSP)等,提取关联域名。
7. HTTPS证书分析
7.1 证书透明度(CT)
- 所有可信的 HTTPS 证书都需登记在公开透明日志中。
- 可通过查询 CT 日志,收集相关的域名和子域名。
7.2 SAN 字段
- SAN(Subject Alternative Name)允许证书绑定多个域名。
- 分析 SAN 字段,可快速发现同证书下的其他域名。
8. DNS 域传送漏洞
- DNS Zone Transfer 是主服务器向备份服务器同步数据的机制。
- 若授权配置错误,攻击者可直接下载完整的域名记录列表。
- 检测方式可使用工具如
dig:
dig axfr @ns.example.com example.com
9. Passive DNS(被动 DNS)
- Passive DNS 记录了域名解析历史。
- 可查到:
- 某域名绑定过哪些 IP
- 某 IP 曾关联过哪些域名
- 常用平台:
- VirusTotal
- PassiveTotal
- CIRCL
10. 泛解析(Wildcard DNS)
- 泛解析将
*.example.com所有子域解析到同一 IP。 - 在子域爆破或探测中,需要排除因泛解析带来的大量无效记录。
11. 重要 DNS 记录解析
- CNAME(Canonical Name) 域名别名记录,常用于 CDN 服务或其他指向。
- MX(Mail Exchange) 邮件交换服务器记录,可发现企业 SMTP 邮件服务器。
- NS(Name Server) 指定域名解析所使用的 DNS 服务器。
- SPF(Sender Policy Framework) 登记外发邮件服务器 IP 列表,可通过
dig example.com txt查看。
12. CDN 与真实 IP 获取技巧
12.1 CDN 验证
- 通过多地 Ping 测试,判断 IP 是否为 CDN 节点。
- 推荐工具:
12.2 父/子域查找
- 主域名使用 CDN,不代表所有子域名也使用 CDN。
- 可针对未使用 CDN 的子域名寻找真实 IP。
12.3 历史解析记录
- 查询 DNS 解析历史,找到 CDN 上线前的真实 IP。
12.4 邮件信息利用
- 通过社会工程学获取邮件头信息,从中提取发送端的真实 IP 地址。
13. 子域名爆破
- 在受限环境(如内网)或希望发现最新上线子域时,采用子域爆破技术。
- 通过大量常见子域词典,批量探测有效域名。
14. DNS缓存探测技术(Cache Snooping)
- 向目标 DNS 服务器发送非递归查询,判断特定域名是否存在缓存。
- 应用场景:
- 探测企业是否访问过特定域名(如特定软件服务器)。
- 判断某些安全产品的使用情况。
Comments NOTHING