子域名常见收集方式+指纹识别工具

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担。请尊重原创，可以相互学习，虽说是记录生活，但也反感被人拿去盈利。

介绍

主要记录子域名常见的收集方式。

常见的查询网址：ICP备案查询，证书查询，whois等等等

搜索引擎平台：fofa，鹰图，shodan 等

爆破：ksubdomain, subfinder，layer子域名挖掘机等

其他：app，小程序，js文件等等

子域名常见收集方式正文

1. 常见查询网址

股权信息查询：通过查询股权信息，或者股权穿透图，寻找子公司和孙公司等，一般对外投资超过 50% 或者有行政权限的都可以算目标。

https://www.tianyancha.com/
https://www.qcc.com/

ICP备案查询：通过查询目标企业的备案信息，可直接获取到目标企业注册了哪些域名。 https://beian.miit.gov.cn/#/Integrated/index

第三方查询：
http://icp.chinaz.com/ ICP 备案查询 - 站长工具
https://www.aizhan.com/cha/ 站长 seo 综合查询工具-爱站网

证书查询：通过查询共用 SSL 证书的网站，可以找到相关的其他域名。

浏览器直接查看：

通过在线网站

crt.sh : https://crt.sh/

censys：https://censys.io/certificates

google：https://developers.facebook.com/tools/ct

crtsh：https://crt.sh/

spyse：https://spyse.com/search/certificate

certspotter：https://sslmate.com/certspotter/api

entrust：https://www.entrust.com/ct-search/

输入域名即可查询

DNS共享查询：DNS 中保存了一张域名(domain name)和与之相对应的 IP 地址 (IP address)的表，以解析消息的域名。需要注意的是，如果是公开的 DNS 服务器，那么查询的效果将会特别差

首先进行：nslookup -query=ns example.com 119.29.29.29

然后：将ns服务器代入https://hackertarget.com/find-shared-dns-servers/

Whois查询: 通过查询目标的 WHOIS 信息，对联系人、联系邮箱等信息进行反查，获取更多相关的域名信息。重点关注注册商、注册人、邮件、DNS 解析服务器、注册人联系电话。

1，linux本地查询

2，在线查询网站
http://whois.chinaz.com/ 域名 Whois 查询 - 站长之家https://whois.aizhan.com/ 站长工具 whois 查询工具爱站网https://whois.cnnic.cn/WelcomeServlet 国家域名 whois
https://www.whois365.com/cn/ 全球 WHOIS 查询https://whois.cloud.tencent.com/ 域名信息查询 - 腾讯云https://whois.aliyun.com/ whois 查询-中国万网

IP查询:目标多个域名可能绑定在同一 IP 上，通过 IP 反查一定情况下可获取到其他的域名信息。
http://s.tool.chinaz.com/same 同 IP 网站查询，同服务器网站查询 - 站长工具
在线网站 https://site.ip138.com/

SRC平台: 一些在 hackerone 上进行众测的厂商，会把自己的测试范围列举出来，其中就包含有大量的域名，因此通过 hackerone 来完善资产收集也是一个不错的方法。当然不仅仅这是h1,国内的这些众测平台上有时也会直接贴出其子域名
https://hackerone.com/alibaba?type=team&view_policy=true 如阿里巴巴

2. 常见搜索平台

Google : https://www.google.com.hk/
https://www.exploit-db.com/google-hacking-database/ 这个是自发维护的一个汇集着各种已经被优化的查询语句的数据库，每天都在不断地更新，如果你对如何驾驭Google Hacking 的语法感到迷茫。

Fofa: https://fofa.info/

Shodan：https://www.shodan.io/

https://duckduckgo.com/

360 quake：https://quake.360.net/quake/#/index

鹰图：https://hunter.qianxin.com/

零零信安的测绘：https://0.zone/

Github: https://github.com/

码云：https://gitee.com/

virustotal https://www.virustotal.com

https://site.ip138.com

3. 子域名爆破工具

一个好的字典能事半功倍，下面是一个字典文件。子域名爆破要注意泛解析。

泛解析：
a.example.com -> 192.168.1.1 --假设正常

b.example.com -> 192.168.1.2 --假设正常

如果存在泛解析，任意子域名都会指向同一个ip。

a.example.com -> 192.168.1.1

agfsdahgdm.example.com -> 192.168.1.1

ASFHNFODN.example.com -> 192.168.1.1

泛解析对我们爆破子域名挺难受的，因为我们常常会收集到一堆无效的子域名。

https://wordlists-cdn.assetnote.io/

1. Ksubdoamin

下载地址：https://github.com/knownsec/ksubdomain 1.9k star

ksubdomain.exe -h

# 通过一些公共的渠道查询子域名# Mnemonic Sublist3rAPI chaziyu chinaz crt.sh RapidDNS Riddler SiteDossier ThreatMinerksubdomain.exe -d xxxxx.com -api -o result.txt

ksubdomain.exe -d target.com -f 240wsubdomain.txt -slient -l 1 -skip-wild -summary -o result.txt# 探测目标 -d  target.com# 子域名爆破的文件-f 240wsubdomain.txt# 只显示域名  -slient # 只爆破一级域名 -l 1# 跳过泛解析 -skip-wild# 整理域名归属asn以及IP段

ksubdomain.exe -d target.com -f 240wsubdomain.txt -filter-wild -summary -o result.txt# 探测目标 -d  target.com# 子域名爆破的文件-f 240wsubdomain.txt# 只显示域名  -slient # 自动分析并过滤泛解析，最终输出文件  -filter-wild# 整理域名归属asn以及IP段# 对于自动分析并过滤泛解析，网上说的是通过ttl是否相同来进行判断。# 如果不同的子域名，出现不同的ttl,则不存在泛解析

2. subfinder

下载地址：https://github.com/projectdiscovery/subfinder 7.9k star

subfinder.exe -h

subfinder.exe -ls# 感觉要比ksubdomain要好点subfinder.exe -d xxxxx.com -s alienvault,anubis,commoncrawl,crtsh,digitorus,dnsdumpster,hackertarget,rapiddns,riddler,sitedossier,waybackarchive -duc -o result.txt

# 爆破子域名subfinder.exe -d target.com -f test.txt -v -duc

3. amass

本地使用比较占网速

下载地址：https://github.com/owasp-amass/amass 9.7kstar

这款工具对国外的域名，可能搜索会更好一些，对国内的域名，没有那么好。我使用的时候，好慢.....

./amass -h  # 查看帮助命令，有5个子命令./amass -version # 检测版本

子命令	描述
intel	收集开源情报，以便对目标组织进行调查
enum	对暴露在Internet上的系统执行DNS枚举和网络映射
viz	生成用于探索性分析的枚举可视化
track	将枚举结果与常见目标组织进行比较
db	管理存储枚举结果的图形数据库

# 最简单的枚举，感觉好慢amass enum -d example.com

intel

intel子命令可以帮助您发现与正在调查的组织相关联的其他根域名。该子命令利用配置文件的数据源部分来获得被动情报。感觉慢

# -active 启动主动探测# -addr ips(192.168.2.1,192.168.2.2)或者ip范围（192.168.2.1-64）# -p 端口amass intel -active -addr 192.168.2.1-64 -p 80,443,8080#  -asn 通过自治系统编号查询amass intel -asn 24364# -cidr 通过cidr进行存活# 参考下链接 https://blog.csdn.net/dan15188387481/article/details/49873923amass intel -cidr 104.154.0.0/15# -d 域名amass intel -whois -d example.com# -demo  审查器输出，使其适合演示amass intel -demo -whois -d example.com# -ip  返回example.com的IPamass intel -ip -whois -d example.com# 其他参考# https://github.com/owasp-amass/amass/blob/master/doc/user_guide.md

enum

其实我很努力的想去把这个工具学懂，但是它的速度太慢了，我的确难受....

# 通过一些公共的渠道查询子域名# Mnemonic Sublist3rAPI chaziyu chinaz crt.sh RapidDNS Riddler SiteDossier ThreatMinerksubdomain.exe -d xxxxx.com -api -o result.txt0

算了算了，这款工具不学也罢。
有兴趣看他指导手册：https://github.com/owasp-amass/amass/blob/master/doc/user_guide.md

4. Layer

4. 其他

js文件发现子域名

dns域传输

域传送漏洞则是由于 DNS 配置不当，导致匿名用户可以获取某个域的所有记录，造成整个网络的拓扑结构泄露给潜在的攻击者，凭借这份网络蓝图，攻击者可以节省大量的扫描时间，同时提升了目标的准确度。

对app解析，获取里面藏有的子域名
https://mogua.co/

对app解析，获取里面藏有的子域名

ASN: 自助系统号（Autonomous System Number）用于标记一个自治系统（区分不同的自治系统一个标识符)，ASN对应的规范是RFC1930: 限制范围为1-65535，其中64512至65535（1024个）供私人使用（个人理解就是内网中使用的）

自治系统（AS）是具有统一路由策略的巨型网络或网络群组。连接到 Internet 的每台计算机或设备都连接到一个 AS。数据包在整个 Internet 范围内通过从 AS 跳到 AS，直到它们到达包含其目的地 Internet 协议（IP）地址的 AS，该 AS 中的路由器将数据包发送到 IP 地址。
每个 AS 都控制一组特定的 IP 地址，每个 AS 都控制一组特定的 IP 地址。大多数 AS 连接到其他几个 AS。如果一个 AS 仅连接到另一个 AS 并共享相同的路由策略，则可以将其视为第一个 AS 的子网。有些大型的网络公司可能就是具有自己的AS，用于内部使用。

ASN使用的协议是BGP(Border Gateway Protocol, 边界网关协议)，BGP的最主要功能在于控制路由的传播和选择最好的路由。BGP线路, 一般来说是指电信、联通、移动、铁通、教育网五线，BGP线路则可以使用BGP协议, 提前将相应的用户切换到相应的线路，从而提高访问的速度。

IP与ASN是多对多的关系,也就是一个IP可能属于多个ASN来管辖，关于这两者的数据查询，我们可以选择去相关地区的注册机构官网去查询：http://wq.apnic.net/static/search.html，查询ip所对应的ASN

利用ASN去下面网址查询：
1.https://bgp.he.net/AS45090#_prefixes

参考链接：https://xz.aliyun.com/t/9455

指纹识别工具正文

1. Ehole

https://github.com/EdgeSecurityTeam/EHole 2.3star

EHole是一款对资产中重点系统指纹识别的工具，在红队作战中，信息收集是必不可少的环节，如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic...)

比较难受的是，指纹库并没有多大，只是把常见的指纹记录上去了，指纹识别，值钱的就是指纹库。

它是支持关键字或者favicon hash 匹配，keyword支持多关键字匹配，需要所有关键字匹配上才能识别。

2. ObserverWard

https://github.com/0x727/FingerprintHub 指纹库