子域名枚举的各种方式

gclome

原文链接：子域名枚举的各种方式

域名的出现是为了帮助记忆，在需要的时候，直接输入域名就可以访问想要访问的网站，比那个直接使用 IP 的模式容易记的多，从域名到 IP 的转化需要经过 DNS 服务器，在信息收集的前期，域名信息收集的完整度决定了攻击资产的覆盖度，所以 dns 信息收集至关重要。

域名信息收集的主要方式包括域名枚举和网络爬虫，今天的主题主要是域名枚举技术，涉及多款域名枚举工具。
本文以枚举 xazlsec.com 为主要目标。
Digdig 是个命令行工具，默认在 *nix 系统上使用，与之类似的还有个 nslookup，最简单的实例，查询域名 www.xazlsec.com 的 IP 地址：

dig www.xazlsec.com

输出结果：
​
查询邮件服务器的信息，可以加一个 -mx 的参数

dig xazlsec.com -t mx

由于 xazlsec 未设置 mx 记录，所以用 baidu.com 来做演示：
​
类似的方法，如果想要查询 ns 记录，则加上参数 -t ns 即可。
Hosthost 是一个命令行工具，可以解析域名信息：

host xazlsec.com

​

默认参数解析 A, AAAA 和 MX 的记录，如果想要解析指定记录，则使用参数 -t mx ：

host -t mx baidu.com

​
-t 参数可以指定所有记录，比如：CNAME, NS, SOA, TXT, DNSKEY, AXFR 等
dnsenum这是一个用 perl 编写到脚本，用于枚举 dns 信息，下载地址：

https://github.com/fwaeytens/dnsenum

比如指定 dns 二级域名字典进行枚举，发现 xazlsec.com 的二级域名：

perl dnsenum.pl --noreverse -f dns.txt xazlsec.com

​
Nmapnmap 大家再熟悉不过了，最常用的端口扫描工具，对于其进行域名的枚举用的不是很多，但是其也可以完成这个功能，需要用到 nmap 到脚本 dns-brute：

nmap -T4 -p 53 --script dns-brute xazlsec.com

​
默认字典不太行，没有把 edu 和 tools 给搞出来，看了下脚本，其中用到的字典路径为 nselib/data/vhosts-default.lst，将 edu 和 tools 加进去，再来跑一下：
​
对于 dns 枚举而言，字典还是很关键的。
DNS Recon这个是用 python 编写的 DNS 枚举工具，需要 python3.6 以上的版本，下载地址：

https://github.com/darkoperator/dnsrecon

最近 github 抽风，下载太费劲，就不演示了，知道有这个工具就好。
字典参考统计的子域名命名 TOP 系列，枚举的成功率和效率都会比较好，字典越大，枚举的越全面，但是需要花费的时间也越多，所以在实际的工作中，效率很重要，以最短的时间获取最大的成果。
这里推荐一个字典收集的项目，更新还是蛮频繁的：

https://github.com/insightglacier/Dictionary-Of-Pentesting

​
在线查询网站

https://crt.sh/?q=xazlsec.com

​

http://searchdns.netcraft.com

​
总结关于子域名枚举，完全可以自实现该功能，不是很难，其中需要注意的就是有些域名是泛解析的，容易造成误报，导致所有暴力枚举的域名都是有效的，所以需要优先检测是否是泛解析，然后在进行暴力枚举，这里总结也不是很全面，对于个人而言，顺手好用最重要。