红队作业 | 收集xxx.com域名的所有子域名

文章来源｜MS08067 红队培训班 第5期

本文作者：AlexD（红队培训班5期学员）

按老师要求尝试完成布置的作业如下：

被动信息收集

0x01 利用DNS数据集收集子域

有很多第三方服务聚合了大量的DNS数据集，可以通过它们来检索子域名

（1）ip138：https://site.ip138.com/
（2）百度云观测：http://ce.baidu.com/index/getRelatedSites?site_address=xxx.com
（3）circl：https://www.circl.lu/services/passive-dns/#passive-dns
（4）hackertarget：https://hackertarget.com/find-dns-host-records/
（5）riddler：https://riddler.io/search?q=pld:xxx.com
（6）bufferover：https://dns.bufferover.run/dns?q=.xxx.com
（7）dnsdb：https://dnsdb.io/en-us/
（8）ipv4info：http://ipv4info.com/
（9）robtex：https://www.robtex.com/dns-lookup/
（10）chinaz：https://alexa.chinaz.com/
（11）netcraft：https://searchdns.netcraft.com/
（12）securitytrails：https://docs.securitytrails.com/v1.0/reference#get-domain
（13）dnsdumpster：https://dnsdumpster.com/
（14）sitedossier：http://www.sitedossier.com/
（15）threatcrowd：https://www.threatcrowd.org/
（16）siterankdata：https://siterankdata.com/
（17）findsubdomains：https://findsubdomains.com/

通过dnsdumpster检索子域名

通过findsubdomains检索子域名

0x02 基于SSL证书查询

   证书透明度(Certificate Transparency)是证书授权机构的一个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

常用证书查询的站点:

crtsh：https://crt.sh/
facebook：https://developers.facebook.com/tools/ct
entrust：https://www.entrust.com/ct-search/
certspotter：https://sslmate.com/certspotter/api/
spyse：https://spyse.com/search/certificate
censys：https://censys.io/certificates
google：https://google.com/transparencyreport/https/ct/

通过crtsh收集子域名，只需将目标域名填入后点击查询即可

0x03 利用搜索引擎发现子域

常用的搜索引擎有以下四个：

（1）google
（2）baidu
（3）bing
（4）sougou
查询语法：
根据域名搜集子域名：site：xxx.com

通过Google搜索子域名

0x04 网络空间搜索引擎

（1）FOFA：https://fofa.so/
子域名查询语法：domain:xxx.com
（2）zoomeye：https://www.zoomeye.org/
子域名查询语法：site:xxx.com
（3）shodan：https://www.shodan.io/
子域名查询语法：hostname：xxx.com
（4）quanke：https://quake.360.