OSINT:发现子域名 | 网络罪与安全
网络罪与安全 - Rishi Narang的博客
许多从事安全咨询、漏洞赏金或网络情报工作的人,时常需要查找子域名。这一需求可能来自双方:顾问评估客户的互联网存在,或公司验证自身的数字足迹。十多年来,这种情况屡见不鲜,人们往往不清楚自己运行着哪些旧资产,这些资产可能被利用来损害品牌形象或实际网络,甚至作为代理或跳板访问本以为防护严密的数据。
到目前为止,我最常用的搜索子域名的方法是传统的Google搜索配合dork语法:site:example.com。为了深入挖掘,可以对结果中所有可见子域名进行迭代,例如site:example.com -www或site:example.com -www -test。这将排除example.com、www.example.com和test.example.com等。后来我发现了一些工具,如[Pentest Tool Subdomain]¹、[DNS Dumster]²、[Cloudpiercer]³、[Netcraft]⁴等。但这些工具要么昂贵,要么效果不佳。唉!
最终,在与[SPYSE团队]⁵([CertDB项目]⁶背后的杰出团队)交流时,我了解到他们的新项目——[FindSubDomains]⁷,一个免费且出色的工具/项目,用于查找给定域名的子域名。上次我详细介绍了他们的[CertDB项目]⁸,现在对FindSubDomains印象深刻,是时候评测并分享这个优秀工具了!它不仅列出子域名,还提供大量智能信息,如:
- IP地址
- DNS记录
- 国家
- 子网
- AS块
- 组织名称等
这些参数中的任何一个都可以用于过滤子域名列表或搜索——我的意思是,这太棒了!
但与其他常见工具相比,它表现如何?让我们来找出答案。为了测试,我们以apple.com为例,尝试用不同工具/媒介查找子域名。首先从传统的Google搜索开始:
图:Google搜索结果
仅经过4-5次搜索/迭代,过程就变得繁琐。当你尝试自动化时,Google只会弹出re-captcha挑战。总的来说,搜索少数目标域名是值得的,但查询大量子域名则毫无价值。不推荐用于此类任务!
使用pentest-tools工具怎么样?首先,它不是免费服务,需要购买积分。我刚刚进行了一次免费搜索,结果并不令人信服:
搜索后,它只找到了apple.com的87个子域名,详细信息包括子域名和相应的IP地址。Netcraft和DNSDumster的结果同样令人失望——前者找到了180条记录,但无法下载或过滤;后者上限为150条结果,且UI/UX糟糕。总之,没有工具能提供直接且智能的子域名列表。
FindSubDomains有什么不同?更好吗?
直接回答——当然!向[SPYSE团队]⁹致敬,它比我之前使用的工具好得多。
通过[FindSubDomains]¹⁰进行的相同apple.com子域名搜索产生了1900多条结果。这非常了不起!
我的意思是,当其他工具连200条结果都提供不了时,[FindSubDomains]¹¹以1900多条结果完美解决。太棒了!
所有1900多条结果都可以免费使用,没有弹出广告、积分或上限等。你不仅可以在UI上列出这些结果,还可以将它们下载为TXT文件。此外,你还可以查看每个子域名的IP地址、地理区域、IP段和相应的AS块详细信息。这简直是在一瞬间获得了一些卓越的开源情报,无需脚本或无休止的迭代!
对我来说,[SPYSE团队]¹² 100%证明了他们的项目目标:
FindSubDomains旨在自动化子域名发现。这一任务通常出现在系统安全专家面前,他们以黑盒形式研究公司以搜索漏洞,以及营销人员和企业家,他们的目标是竞争性分析市场其他参与者,希望快速了解竞争对手发展中的新动向,以及获取内部基础设施信息。
搜索和过滤
除了搜索,他们的过滤器非常出色,如果你需要在域名、子域名或其相应字段中搜索特定信息。他们还有一些预过滤结果或琐事点:
- 前100个网站及其子域名:[https://findsubdomains.com/world-top]
- 子域名数量最多的网站:[https://findsubdomains.com/top-subdomain-count]
- 子域名数量最多的国家:[https://findsubdomains.com/countries]
- 美国:[https://findsubdomains.com/world-top?country=US]
- 印度:[https://findsubdomains.com/world-top?country=IN]
- 中国:[https://findsubdomains.com/world-top?country=CN]
- 子域名最常见名称(我的最爱):[https://findsubdomains.com/top-subdomain-name-count]
最后一个在网络调查客户或震惊客户其数字足迹时非常方便。
仪表板和自定义任务
现在,当我登录(注册很容易)时,会看到一个仪表板,显示总任务、进行中任务和剩余任务。我可以通过使用域名或单词搜索来启动新任务。单词搜索在我不知道完整域名时非常有用。此任务执行能力可以补充你在主页或现有数据库(相信我,它很大)中找不到的任何内容。对于每个任务,它可以列出最多50,000个子域名,大约需要6分钟(你可以设置警报,平台会在完成后通过电子邮件通知你)。
为了执行查找子域名的任务,它使用了各种技术:
- 许多子域名可以通过网站爬虫和分析其页面以及资源文件来定义;
- 对某些域名的AXFR(DNS区域传输)请求通常揭示大量有价值信息;
- 搜索和分析历史数据通常与搜索词匹配。
虽然该工具令人印象深刻,我无法重复足够多次;但我希望有能力通过API执行任务,并通过命令行/终端以某种可编程方式自动化。我知道我可能用curl找到方法,但API密钥会使事情更舒适和方便。
使用场景
以下是一些我可以使用此工具的场景:
- 在渗透测试侦察阶段,收集目标网络信息。
- 作为收集公司及其相应域名的网络情报的支持工具。
- 评估你公司的网络和数字足迹。很多时候,你会惊讶地发现广泛的未计入暴露。
- 跟踪面向外部的子域名——UAT、SIT、STAGING等,这些理想情况下应该被锁定或白名单化。想象一下这些平台有多不安全,它们通常甚至包含生产数据。
总之,这是继[CertDB]¹³之后又一个惊人的工具,展示了SPYSE团队的潜力。[FindSubDomains]¹⁴使我的搜索更加轻松高效。我强烈建议读者使用此工具查找子域名。
封面图片:由[Himesh Kumar Behera]¹⁵拍摄
¹ https://pentest-tools.com/information-gathering/find-subdomains-of-domain
² https://dnsdumpster.com/#domainmap
³ https://cloudpiercer.org/
⁴ http://searchdns.netcraft.com/
⁵ https://cybersins.com/spyse-exclusive-interview-with-cybersins-free-security-tools/
⁶ https://certdb.com
⁷ https://findsubdomains.com
⁸ https://cybersins.com/certdb-free-ssl-certificate-analysis-search-engine/
⁹ https://cybersins.com/spyse-exclusive-interview-with-cybersins-free-security-tools/
¹⁰ https://findsubdomains.com
¹¹ https://findsubdomains.com
¹² https://cybersins.com/spyse-exclusive-interview-with-cybersins-free-security-tools/
¹³ https://certdb.com
¹⁴ https://findsubdomains.com
¹⁵ https://unsplash.com/@whoishimesh