【网络安全】信息收集系列|子域名收集姿势总结

声明：本文初衷为分享网络安全知识，请勿利用技术做出任何危害网络安全的行为，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责

概述

在渗透测试或SRC漏洞挖掘中，安全测试人员通常会得到一些域名资产。为了更好地进行渗透测试，通常都需要进行子域名收集。

为什么需要进行子域名收集？

扩大资产范围，可以增加漏洞发现的概率

众所周知，一般情况下主站的安全性可能相对较高，而一些不常用的子站或者上线不久的站点，可能安全方面的考虑还没有很周全，可能成为目标系统的脆弱点

通常情况下，同一组织采用相同应用搭建多个服务的可能性很大，以及补丁的情况也可能大致相同，因此，存在相同漏洞的概率非常大

子域名收集通常分为两种方式，分别为被动收集和主动收集。

被动收集是指，在不与目标系统进行交互的情况下，通过第三方进行收集。这种方式有着明显的优势，因为不需要和目标系统进行交互，所以不会对目标系统造成任何影响，更不会触发任何安全产品的告警。

被动子域名收集的方式：

信息泄露

搜索引擎

网络空间测绘引擎

证书透明

第三方DNS服务

AS 号码查询

SAN 收集

使用公共数据集

主动收集是指，通过与目标系统进行交互，对子域名进行收集。因为需要和目标系统进行交互，很可能出现高频访问等情况，有触犯安全产品告警的风险。

主动收集子域名的方式：

字典枚举

置换扫描

域传送漏洞

DNSSEC

DNS缓存

被动子域名收集

信息泄露

• corssdomain.xml
  跨站策略文件，主要是为web客户端(如Adobe Flash Player等)设置跨域处理数据的权限，里面可能包含部分域名信息。
• Github 、Gitee等代码仓库中，可能有相关子域名的信息
• 抓包分析获取，如一些静态资源的请求、一些APP或者小程序接口、邮件服务器等等

【一>所有资源获取<一】
1、很多已经买不到的绝版电子书
2、安全大厂内部的培训资料
3、全套工具包
4、100份src源码技术文档
5、网络安全基础入门、Linux、web安全、攻防方面的视频
6、应急响应笔记
7、 网络安全学习路线
8、ctf夺旗赛解析
9、WEB安全入门笔记

搜索引擎

常用的搜索引擎有Google和百度，基础的搜索语法：

site:*.baidu.com

一般用作工具搜集的补充，也可以编写脚本进行批量操作

网络资产搜索引擎

常见的空间测绘引擎：

Shodan

Zoomeye

Fofa

直接在搜索框使用语法进行搜素，基础语法：

domain=Your_domain

也可以利用API进行搜索

echo 'domain="baidu.com"' | base64 - | xargs -I{} curl "https://fofa.info/api/v1/search/all?email=${Your_Mail}&key=${Your_Key}&page=1&qbase64={}"

再编写个脚本，对返回的数据进行简单的处理，即可获得一个子域名列表。

import requests
from base64 import b64encode
import json


# 配置信息
domain