渗透测试的第一步就是收集目标信息,如果只知道目标的名字,可以先收集尽可能多的目标资产。域名是非常重要的资产,一个目标暴露在互联网上的资产,大部分都是通过域名来访问的。本文介绍了一些收集域名的方法,可能不是很全面,如果有更好的方法,欢迎交流。
1. 找到目标主域名
第一步是确定目标的主域名,我们可以通过搜索引擎直接搜索目标的名字,比如百度、(推荐),一般可以直接获取目标的官网,这样就可以获取目标的主域名了,有了主域名,我们就可以开始下一步了,以百度为例,搜索之后,我们可以确定百度的官网地址是,主域名是
2. 查找目标的所有关联域
一个目标可能会申请多个顶级域名,比如百度的顶级域名就包括 等多个,只有尽可能的找到所有相关域名,才能更全面的收集资产。
查找关联域的方法有很多种,下面逐一介绍:
2.1 记录查询
首先我们可以取一个主域名进行备案查询,这样就可以得到这个域名所属的公司名称。备案查询的网站有很多,可以使用以下网址
#//指数
首先通过主域名查看注册,获取域名赞助商为“”
然后搜索发起组织名称“”,就可以得到该组织注册的所有域名。
2.2 企业关系查询
目标公司可能有很多子公司,尤其是全资子公司,子公司名称与母公司不同,注册的域名也不同,子公司有时候是一个很好的切入点,可以在天眼查、爱奇查、奇查等平台上进行关系查询。
您可以通过查看股权渗透图来查找子公司,然后查看子公司的域名,重复此操作,直到获得所有子公司的域名。
2.3 Whois反向查询关联域名
您可以使用whois信息反向查询域名,例如,同一家公司的域名可能通过同一个电子邮件地址注册
2.4 通过官网查看关联域名
在目标公司的官网上,有时会有其子公司的介绍以及官网的链接,如中国电信官网上的公司架构图:
3. 收集子域名
获取目标公司所有关联域名后,我们就可以开始收集其子域名了。收集子域名的方式有:
3.1 利用证书透明度收集子域名
证书透明度是一个开放的系统,用于记录、审计和监控互联网上公开信任的 TLS 证书。由于很多企业域名使用 https 协议,TLS 证书一般包含域名信息、公司组织名称等。子域名中的证书信息一般相同。所有子域名都可以通过证书透明度进行查询。
常见的证书透明度查询网站包括:
3.2 通过在线子域名查询网站收集子域名
网上有很多子域名查询网站可以使用,输入域名就可以得到子域名,下面列举一些网站。
3.3 通过威胁情报平台收集子域名
子域名可以通过一些威胁情报平台进行收集,常用的网站如下:
3.4 通过搜索引擎收集子域名
可以直接通过搜索引擎收集子域名,例如hook
例如,使用 上的语法站点:
3.5 通过爬取网站获取子域名
您可以使用爬虫爬取该域名上网站页面的所有链接,以及网站上的.txt文件、.xml文件等文件,并过滤掉该网站的子域名。
3.6 通过查询DNS记录收集子域名
可以通过 等工具查询域名的srv、ns、mx、txt记录等信息来收集域名,但是这些方法收集到的域名是有限的。
3.7 通过域名传输的漏洞
域名转移漏洞可以直接获取所有域名,不过现在一般不存在这个漏洞
挖@axfr
3.7 通过工具自动收集子域名
上面提到的收集子域名的技巧已经被一些工具自动化了,你可以直接使用工具来完成域名的自动收集。这些工具会通过多个 API 获取域名,并通过字典枚举域名,我比较喜欢使用它们,因为收集速度比较快。如果想要收集更多,可以全部用上,然后对收集到的域名进行汇总,去重。常用的工具有:
:
:
层子域挖掘机
3. 结论
以上介绍了信息收集中一些域名收集的方法,一般的流程是先收集所有与公司相关的顶级域名,然后再收集所有顶级域名的子域名。而收集子域名最好的方式就是利用工具自动收集子域名。虽然现在有很多自动化的域名收集工具,但是整体的流程工具还不能很好的覆盖,这时候就需要我们自己开发工具来完善了。总之,全面收集目标的域名可以帮助我们扩大目标的攻击面。
扫一扫在手机端查看
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。