方法与实战策略
在数字资产管理和网络安全评估中,全面掌握目标网站的子域名结构是至关重要的第一步,子域名不仅代表着企业线上业务的扩展(如 shop.example.com, blog.example.com),更可能隐藏着被遗忘的测试环境、遗留的管理后台或脆弱的服务入口,成为攻击者突破的跳板,以下是我在渗透测试和资产梳理中积累的有效方法:
核心探测技术详解
-
搜索引擎高级语法 (OSINT基础)
- 原理: 利用搜索引擎强大的爬虫索引能力。
- 关键语法:
site:example.com: 搜索主域名下的所有已知页面(间接发现子域名)。site:*.example.com: 直接搜索example.com的所有子域名(效果因搜索引擎而异,Google支持较好)。
- 操作: 在Google、Bing、百度等搜索框中直接输入上述命令,结合减号排除已知子域名:
site:*.example.com -www -shop。 - 优点: 免费、简单、快速获取已被广泛收录的子域。
- 缺点: 覆盖率严重依赖搜索引擎爬虫的发现能力,无法找到未公开或未被爬取的深层次子域。
-
DNS 查询技术 (技术核心)
- 原理: 直接查询域名系统记录。
- 常用方法:
- 区域传送 (AXFR Request):
- 理想情况下,向目标域名的权威DNS服务器请求完整的区域数据副本。
- 命令:
dig @ns1.example.com example.com AXFR(需替换为实际NS服务器地址)。 - 现实: 绝大多数公共DNS服务器出于安全考虑已严格禁用区域传送,有效性极低,但值得一试。
- 字典爆破/枚举 (Brute Force):
- 使用包含大量常用子域名字(如
www, mail, ftp, test, dev, admin, cdn, api)和自定义关键词的字典文件,通过工具批量查询其A、AAAA或CNAME记录是否存在。 - 强力工具:
dnsrecon: 功能全面 (dnsrecon -d example.com -t brt)sublist3r: 整合OSINT与爆破 (sublist3r -d example.com)massdns: 高性能爆破 (./scripts/subbrute.py subdomains.txt example.com | ./bin/massdns -r resolvers.txt -t A -o S -w results.txt)
- 关键: 字典质量决定成败,需不断积累和更新字典(如
SecLists中的子域名列表)。
- 使用包含大量常用子域名字(如
- 反向DNS查找 (PTR):
- 针对已知目标IP地址范围,查询哪些域名(尤其是子域名)指向了这些IP。
- 工具:
dnsrecon(-r指定IP范围),nmap(nmap -sL <IP Range>或结合--dns-servers)。
- 区域传送 (AXFR Request):
-
证书透明度 (CT) 日志 (宝藏来源)
- 原理: 根据规定,公开信任的CA在签发SSL/TLS证书时,会将证书信息(包含申请时使用的所有域名和子域名)记录到公开的CT日志中。
- 主要平台:
- crt.sh: 最常用,支持直接搜索域名 (
https://crt.sh/?q=%.example.com) , 是通配符。 - Google Transparency Report: (
https://transparencyreport.google.com/https/certificates) - Certificate Search (Facebook): (
https://developers.facebook.com/tools/ct/)
- crt.sh: 最常用,支持直接搜索域名 (
- 优点: 能发现大量其他方法遗漏的子域,包括测试、内部甚至拼写错误的域名,数据源权威。
- 缺点: 仅覆盖使用了公开可信证书的子域。
-
自动化扫描工具 (效率倍增)
- 集成了上述多种技术(OSINT, 字典爆破, CT日志查询, 递归搜索等)于一体。
- 顶级工具推荐:
- Amass: (OWASP项目) 功能极其强大,支持多种数据源和主动枚举,可深度递归 (
amass enum -active -d example.com -brute -w wordlist.txt)。 - Subfinder: 速度快,专注于被动源收集 (
subfinder -d example.com)。 - Assetfinder: (ProjectDiscovery) 简洁高效 (
assetfinder --subs-only example.com)。 - OneForAll: 国内优秀工具,集成大量国内源(如搜索引擎、备案查询等),对中文互联网环境适配性好 (
python3 oneforall.py --target example.com run)。
- Amass: (OWASP项目) 功能极其强大,支持多种数据源和主动枚举,可深度递归 (
-
第三方聚合与数据平台 (查漏补缺)
- 安全搜索引擎/平台:
- Shodan: (
hostname:example.com) 搜索开放了特定服务的子域名主机。 - Censys: (
parsed.names: example.com) 类似Shodan,提供丰富的证书和服务信息。 - ZoomEye: (
site:example.com) 国内优秀网络空间测绘引擎。 - FOFA: (
domain="example.com") 国内优秀网络空间测绘引擎。 - ThreatBook 微步在线 X情报社区: (
https://x.threatbook.cn/) 搜索域名,常能关联出子域名信息。
- Shodan: (
- DNS 历史记录/被动DNS:
- SecurityTrails: (
https://securitytrails.com/) 提供详尽的DNS历史记录、子域名、关联数据。 - ViewDNS.info: (
https://viewdns.info/) 提供多种DNS查询工具,包括反向IP查找、DNS记录历史等。 - DNSDB (Farsight / SIE): (商业/需权限) 庞大的被动DNS数据库。
- SecurityTrails: (
- 安全搜索引擎/平台:
方法对比与选择策略
| 方法类别 | 代表工具/技术 | 核心原理 | 主要优势 | 主要局限性 | 最佳适用场景 |
|---|---|---|---|---|---|
| 搜索引擎 (OSINT) | Google site:, Bing |
爬虫索引 | 免费、快速、简单 | 覆盖率低,依赖公开收录 | 初步快速发现常见、公开子域 |
| DNS 查询 | dnsrecon, sublist3r, massdns |
字典爆破、AXFR(常失败)、PTR | 主动探测,可控性强 | AXFR常失效;爆破依赖字典质量/速度 | 主动发现已知模式和潜在未公开子域 |
| 证书透明度 (CT) | crt.sh, Google CT |
公开SSL证书日志 | 发现大量隐藏、测试、备用子域 | 仅限使用了公开可信证书的子域 | 挖掘深层次、易遗漏的子域资产 |
| 综合扫描器 | Amass, OneForAll, Subfinder | 集成OSINT、爆破、CT、API等 | 自动化程度高,覆盖面广,效率最优 | 配置可能稍复杂,资源消耗相对大 | 全面探测任务的首选 |
| 第三方平台 | Shodan, Censys, 微步, SecurityTrails | 网络测绘/被动DNS/威胁情报 | 提供关联信息(IP、服务、历史) | 高级功能常需付费,数据源独立性 | 查漏补缺,获取上下文信息,关联分析 |
独家实战经验与案例
- 案例1:遗忘的“后门” 测试环境暴露 在一次企业授权渗透测试中,使用
Amass结合超大自定义字典(包含公司产品名、部门缩写、项目代号)对目标进行深度枚举。crt.sh显示了一个legacy-vpn-test.corp.example.com的证书记录,但该域名未被纳入客户提供的资产清单,进一步探测发现此子域指向一个未及时下线的老旧VPN测试系统,存在未修复的严重漏洞(CVE-2019-11510),成为直通内网的跳板。经验: CT日志 + 定制化字典是发现“遗忘资产”的利器,资产梳理务必覆盖所有历史子域。 - 案例2:突破边界 合作商子域的风险传递 针对某大型电商的测试,主站防护严密,通过
Subfinder和FOFA发现其使用的第三方CDN服务子域(如static.assets.example-cdn.net),深入分析该CDN提供商的安全状况,发现其管理平台存在子域接管风险(一个失效的CNAME记录指向了可注册的云存储桶),通过注册该桶并构造恶意内容,实现了对电商网站部分静态资源的劫持。经验: 子域名探测范围需扩展到第三方服务商域名(如CDN、邮件、云服务),供应链风险不容忽视。
重要提示:合法性与道德规范
- 明确授权: 对非自身拥有或未获得明确书面授权的网站进行主动子域名探测(尤其是字典爆破、主动扫描)可能违反法律(如《网络安全法》)和服务条款,构成未授权访问尝试。
- 遵守 robots.txt: 即使有授权,也应尊重网站的
robots.txt协议。 - 控制扫描强度: 主动扫描(特别是爆破)可能对目标DNS服务器造成负载压力,务必在授权范围内协商扫描速率和时段。
- 目的正当: 仅将技术用于安全评估、研究或保护自身系统等合法合规目的。
深度问答 (FAQs)
-
Q: 我收集了大量子域名,如何快速验证哪些是真实有效(存活)且开放的?
- A: 结合使用
HTTP(S)探测工具是关键,推荐:Httpx(ProjectDiscovery): 高性能,支持多种协议探测、标题获取、状态码、内容长度等 (cat subdomains.txt | httpx -silent)。Nmap: 对存活IP进行端口扫描和服务识别 (nmap -sS -Pn -p 80,443,8080... -iL subdomains_ips.txt)。Aquatone: 不仅能探测存活,还能截图并生成可视化报告,直观展示攻击面。
- A: 结合使用
-
Q: 为什么有些方法(如搜索引擎)找到的子域名,用
ping或nslookup却解析失败?- A: 这很常见,原因包括:
- DNS记录已删除/过期: 子域名曾经存在并被搜索引擎收录,但后来其DNS记录被移除。
- 仅存在于历史记录/证书中: 该子域名可能只在CT日志中有记录(申请过证书但未部署),或在被动DNS历史中存在过。
- 访问限制: 子域名可能仅限特定IP或内网访问,公网DNS无法解析或解析到无效地址。
- 临时性/测试性: 该子域是短暂使用的测试环境,现已关闭。处理: 将这类子域标记为“历史/失效”,但仍需记录在案,关注其是否可能被重新启用带来风险。
- A: 这很常见,原因包括:
国内权威文献来源
- 《中华人民共和国网络安全法》解读与应用指南 (国家互联网信息办公室相关机构编撰, 法律出版社)
- 《DNS安全与防护实践》 (中国通信标准化协会, 人民邮电出版社)
- 《Web应用安全测试实战》 (中国网络安全审查技术与认证中心相关技术专家编著, 电子工业出版社)
- 《网络空间测绘技术与应用》 (国内知名网络安全研究机构/学者著作, 科学出版社或机械工业出版社相关出版物)
- 《渗透测试:从入门到精通》 (国内一线安全团队实践经验归纳, 清华大学出版社或电子工业出版社)
