本文链接：https://blog.csdn.net/redBu1l/article/details/78763745

图片 1.png

1、whois查询网站及服务器信息

如果知道目标的域名，你首先要做的就是通过Whois数据库查询域名的注册信息，Whois数据库是提供域名的注册人信息，包括联系方式，管理员名字，管理员邮箱等等，其中也包括DNS服务器的信息。
默认情况下，Kali已经安装了Whois。你只需要输入要查询的域名即可：

利用以上收集到的邮箱、QQ、电话号码、姓名、以及服务商，可以针对性进行攻击，利用社工库进行查找相关管理员信息，另外也可以对相关DNS服务商进行渗透，查看是否有漏洞，利用第三方漏洞平台，查看相关漏洞。

2、Dig使用

可以使用dig命令对DNS服务器进行挖掘
Dig命令后面直接跟域名，回车即可

【Dig常用选项】

-c选项，可以设置协议类型（class），包括IN(默认)、CH和HS。

-f选项，dig支持从一个文件里读取内容进行批量查询，这个非常体贴和方便。文件的内容要求一行为一个查询请求。来个实际例子吧：

-4和-6两个选项，用于设置仅适用哪一种作为查询包传输协议，分别对应着IPv4和IPv6。

-t选项，用来设置查询类型，默认情况下是A，也可以设置MX等类型，来一个例子：

-q选项，其实它本身是一个多余的选项，但是它在复杂的dig命令中又是那么的有用。-q选项可以显式设置你要查询的域名，这样可以避免和其他众多的参数、选项相混淆，提高了命令的可读性，来个例子：

-x选项，是逆向查询选项。可以查询IP地址到域名的映射关系。举一个例子：

【跟踪dig全过程】
dig非常著名的一个查询选项就是+trace，当使用这个查询选项后，dig会从根域查询一直跟踪直到查询到最终结果，并将整个过程信息输出出来

【精简dig输出】
1. 使用+nocmd的话，可以节省输出dig版本信息。

Dig可以用来查域传送漏洞,前面介绍了dig的使用，若将查询类型设定为axfr，就能得到域传送数据。这也是我们要用来测试DNS域传送泄露的命令.

3、Nslookup用法

nslookup是站长较为常用的工具之一，它甚至比同类工具dig的使用人数更多，原因是它的运行环境是windows，并且不需要我们再另外安装什么东西。dig是在linux环境里运行的命令，不过也可以在windows环境里使用，只是需要安装dig windows版本的程序。
Nslookup命令以两种方式运行:非交互式和交互式。

本文第一次提到“交互式”的概念，简单说明：交互式系统是指执行过程中允许用户输入数据和命令的系统。而非交互式系统，是指一旦开始运行，不需要人干预就可以自行结束的系统。因此，nslookup以非交互式方式运行，就是指运行后自行结束。而交互式，是指开始运行后，会要求使用者进一步输入数据和命令。

类型：

A 地址记录

AAAA 地址记录

AFSDB Andrew文件系统数据库服务器记录

ATMA ATM地址记录

CNAME 别名记录

HINFO 硬件配置记录，包括CPU、操作系统信息

ISDN 域名对应的ISDN号码

MB 存放指定邮箱的服务器

MG 邮件组记录

MINFO 邮件组和邮箱的信息记录

MR 改名的邮箱记录

MX 邮件服务器记录

NS 名字服务器记录

PTR 反向记录

RP 负责人记录

RT 路由穿透记录

SRV TCP服务器信息记录

TXT 域名对应的文本信息

X25 域名对应的X.25地址记录
例如：
1.设置类型为ns

2.下面的例子查询baidu.com使用的DNS服务器名称:

3.下面的例子展示如何查询baidu.com的邮件交换记录：

4.查看网站cname值。

5.查看邮件服务器记录（-qt=MX）

6.同样nslookup也可以验证是否存在域传送漏洞，步骤如下：

1) nslookup进入交互式模式

2) Server 设置使用的DNS服务器

3) ls命令列出某个域中的所有域名

4、fierce工具

在进行了基本域名收集以后，如果能通过主域名得到所有子域名信息，再通过子域名查询其对应的主机IP，这样我们能得到一个较为完整的信息。除了默认使用，我们还可以自己定义字典来进行域名爆破。
* 使用fierce工具，可以进行域名列表查询：fierce -dns domainName

输出结果表明，程序首先进行了域传送测试，域传送通过一条命令就能获取服务器上所有的域名信息。如果一次就能简单获取服务器上所有记录域名信息,就不再暴力破解。

但从结果上看，“Unsucessful in zone transfer”,
域传送测试是失败了。接着执行暴力破解，测试的数量取决于字典中提供的字符串数量，上例中没有指定字典，在默认情况下在Kali中使用/usr/share/fierce/hosts.txt。一个内部网络的DNS域名服务器可以提供大量信息，这些信息可以在以后评估网络漏洞。

5、theHarvester的使用

theHarvester是一个社会工程学工具，它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email，子域名，主机，雇员名，开放端口和banner信息。

-d 服务器域名

-l 限制显示数目

-b 调用搜索引擎（baidu,google,bing,bingapi,pgp,linkedin,googleplus,jigsaw,all）

-f 结果保存为HTML和XML文件

-h 使用傻蛋数据库查询发现主机信息

实例1：
theHarvester -d sec-redclub.com -l 100 -b baidu

实战2：
- 输出到html文件中，可以更清晰的看到搜索的网站信息的模型。
  
  theHarvester -d sec-redclub.com -l 100 -b baidu -f myresults.html

6、DNS枚举工具DNSenum

`DNSenum`是一款非常强大的域名信息收集工具。它能够通过谷歌或者字典文件猜测可能存在的域名，并对一个网段进行反向查询。它不仅可以查询网站的主机地址信息、域名服务器和邮件交换记录，还可以在域名服务器上执行axfr请求，然后通过谷歌脚本得到扩展域名信息，提取子域名并查询，最后计算C类地址并执行whois 查询，执行反向查询，把地址段写入文件。本小节将介绍使用DNSenum工具检查 DNS枚举。在终端执行如下所示的命令： ![](https://raw.githubusercontent.com/redBu1l/Redclub-Launch/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/17.jpg) ![](https://raw.githubusercontent.com/redBu1l/Redclub-Launch/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/18.jpg) ![](https://raw.githubusercontent.com/redBu1l/Redclub-Launch/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/19.jpg) 输出的信息显示了DNS服务的详细信息。其中，包括主机地址、域名服务地址和邮件服务地址，最后会尝试是否存在域传送漏洞。使用DNSenum工具检查DNS枚举时，可以使用dnsenum的一些附加选项，如下所示。 >

–threads [number]：设置用户同时运行多个进程数。

-r：允许用户启用递归查询。

-d：允许用户设置WHOIS请求之间时间延迟数（单位为秒）。

-o：允许用户指定输出位置。

-w：允许用户启用WHOIS请求。

7、subDomainsbrute二级域名收集

二级域名是指顶级域名之下的域名，在国际顶级域名下，它是指域名注册人的网上名称；在国家顶级域名下，它是表示注册企业类别的符号。我国在国际互联网络信息中心（Inter NIC）正式注册并运行的顶级域名是CN，这也是我国的一级域名。在顶级域名之下，我国的二级域名又分为类别域名和行政区域名两类。类别域名共7个，包括用于科研机构的ac；国际通用域名com、top；用于教育机构的edu；用于政府部门的gov；用于互联网络信息中心和运行中心的net；用于非盈利组织的org。而行政区域名有34个，分别对应于我国各省、自治区和直辖市。（摘自百度百科）

以上为工具默认参数，如果是新手，请直接跟主域名即可，不用进行其它设置。

![](https://github.com/redBu1l/Redclub-Launch/blob/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/20.jpg?raw=true) `Python subDomainsbrute.py sec-redclub.com` ![](https://raw.githubusercontent.com/redBu1l/Redclub-Launch/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/21.jpg) 就可以直接运行，等待结果，最后在工具文件夹下面存在txt文件，直接导入扫描工具就可以进行扫描了。 ![](https://raw.githubusercontent.com/redBu1l/Redclub-Launch/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/22.jpg)

8、layer子域名检测工具

layer子域名检测工具主要是windows一款二级域名检测工具，利用爆破形式。工具作者：[http://www.cnseay.com/4193/](http://www.cnseay.com/4193/) ![](https://raw.githubusercontent.com/redBu1l/Redclub-Launch/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/23.jpg) 域名对话框直接输入域名就可以进行扫描了，工具显示比较细致，有域名、解析ip、cnd列表、web服务器和网站状态，这些对于一个安全测试人员，非常重要。如下操作： ![](https://raw.githubusercontent.com/redBu1l/Redclub-Launch/master/%E6%94%BB%E9%98%B2%E7%AC%AC%E5%9B%9B%E8%8A%82/%E5%B0%BA%E5%AF%B8/24.jpg) 会显示大部分主要二级域名。