域名查询反向查询_信息收集系列(一)——域名收集

渗透测试的第一步就是收集目标信息，如果只知道目标的名字，可以先收集尽可能多的目标资产。域名是非常重要的资产，一个目标暴露在互联网上的资产，大部分都是通过域名来访问的。本文介绍了一些收集域名的方法，可能不是很全面，如果有更好的方法，欢迎交流。

1. 找到目标主域名

第一步是确定目标的主域名，我们可以通过搜索引擎直接搜索目标的名字，比如百度、（推荐），一般可以直接获取目标的官网，这样就可以获取目标的主域名了，有了主域名，我们就可以开始下一步了，以百度为例，搜索之后，我们可以确定百度的官网地址是，主域名是

2. 查找目标的所有关联域

一个目标可能会申请多个顶级域名，比如百度的顶级域名就包括 等多个，只有尽可能的找到所有相关域名，才能更全面的收集资产。

查找关联域的方法有很多种，下面逐一介绍：

2.1 记录查询

首先我们可以取一个主域名进行备案查询，这样就可以得到这个域名所属的公司名称。备案查询的网站有很多，可以使用以下网址

＃//指数

首先通过主域名查看注册，获取域名赞助商为“”

然后搜索发起组织名称“”，就可以得到该组织注册的所有域名。

2.2 企业关系查询

目标公司可能有很多子公司，尤其是全资子公司，子公司名称与母公司不同，注册的域名也不同，子公司有时候是一个很好的切入点，可以在天眼查、爱奇查、奇查等平台上进行关系查询。

您可以通过查看股权渗透图来查找子公司，然后查看子公司的域名，重复此操作，直到获得所有子公司的域名。

‍

2.3 Whois反向查询关联域名

您可以使用whois信息反向查询域名，例如，同一家公司的域名可能通过同一个电子邮件地址注册

2.4 通过官网查看关联域名

在目标公司的官网上，有时会有其子公司的介绍以及官网的链接，如中国电信官网上的公司架构图：

3. 收集子域名

获取目标公司所有关联域名后，我们就可以开始收集其子域名了。收集子域名的方式有：

3.1 利用证书透明度收集子域名

证书透明度是一个开放的系统，用于记录、审计和监控互联网上公开信任的 TLS 证书。由于很多企业域名使用 https 协议，TLS 证书一般包含域名信息、公司组织名称等。子域名中的证书信息一般相同。所有子域名都可以通过证书透明度进行查询。

常见的证书透明度查询网站包括：

3.2 通过在线子域名查询网站收集子域名

网上有很多子域名查询网站可以使用，输入域名就可以得到子域名，下面列举一些网站。

3.3 通过威胁情报平台收集子域名

子域名可以通过一些威胁情报平台进行收集，常用的网站如下：

3.4 通过搜索引擎收集子域名

可以直接通过搜索引擎收集子域名，例如hook

例如，使用 上的语法站点：

3.5 通过爬取网站获取子域名

您可以使用爬虫爬取该域名上网站页面的所有链接，以及网站上的.txt文件、.xml文件等文件，并过滤掉该网站的子域名。

3.6 通过查询DNS记录收集子域名

可以通过 等工具查询域名的srv、ns、mx、txt记录等信息来收集域名，但是这些方法收集到的域名是有限的。

3.7 通过域名传输的漏洞

域名转移漏洞可以直接获取所有域名，不过现在一般不存在这个漏洞

挖@axfr

3.7 通过工具自动收集子域名

上面提到的收集子域名的技巧已经被一些工具自动化了，你可以直接使用工具来完成域名的自动收集。这些工具会通过多个 API 获取域名，并通过字典枚举域名，我比较喜欢使用它们，因为收集速度比较快。如果想要收集更多，可以全部用上，然后对收集到的域名进行汇总，去重。常用的工具有：

：

：

层子域挖掘机

3. 结论

以上介绍了信息收集中一些域名收集的方法，一般的流程是先收集所有与公司相关的顶级域名，然后再收集所有顶级域名的子域名。而收集子域名最好的方式就是利用工具自动收集子域名。虽然现在有很多自动化的域名收集工具，但是整体的流程工具还不能很好的覆盖，这时候就需要我们自己开发工具来完善了。总之，全面收集目标的域名可以帮助我们扩大目标的攻击面。