子域名劫持全面指南<\/h1>

1. 子域名劫持概述<\/h2>
子域名劫持是指主站指向了一个已停用的子域名，而攻击者通过在第三方服务商注册，从而在子域名上提供危险内容的安全漏洞。<\/p>

1.1 基本劫持场景<\/h3>

目标：example.com<\/li>
发现子域：subdomain.example.com<\/li>
DNS记录显示指向GitHub页面（IP 192.30.252.153\/154）<\/li>
访问显示404错误页面<\/li>
攻击者将该子域添加到自己的GitHub项目<\/li>

成功控制subdomain.example.com的内容<\/li> <\/ul>

1.2 二阶子域名劫持（坏链劫持）<\/h3>

目标网站导入的资源来自可被劫持的子域<\/li>
可能导致存储型XSS攻击<\/li>

攻击者可在目标页面上加载任意代码<\/li> <\/ul>

2. 子域发现技术<\/h2>

2.1 爬虫爬取（被动侦察）<\/h3>

使用第三方服务收集子域：

DNS Dumpster<\/li>
VirusTotal<\/li>

其他来源：GIT仓库、CSP头部、源代码、问题跟踪器等<\/li> <\/ul> <\/li> <\/ul>

2.2 暴力枚举<\/h3>

遍历词表测试子域存在性<\/li>

重要：先检查目标是否启用通配符

测试方法：host randomifje8z193hf8jafvh7g4q79gh274.example.com<\/code><\/li> <\/ul> <\/li>

建议创建个性化词表（包含常见服务关键词如"jira"、"git"）<\/li>
<\/ul>
2.3 指纹识别技术<\/h3>

为目标创建自定义词表<\/li>
可发现通用词表无法找到的资产<\/li>
<\/ul>
3. 常用工具<\/h2>



工具名称<\/th>
类型<\/th>
特点<\/th>
<\/tr>
<\/thead>


Sublist3r<\/td>
爬取<\/td>
从搜索引擎、SSL证书等收集子域<\/td>
<\/tr>

Altdns<\/td>
暴力枚举<\/td>
递归暴力枚举，可生成词表<\/td>
<\/tr>

Commonspeak<\/td>
词表生成<\/td>
使用Google BigQuery生成趋势词表<\/td>
<\/tr>

SubFinder<\/td>
混合<\/td>
结合爬取和暴力枚举<\/td>
<\/tr>

Massdns<\/td>
暴力枚举<\/td>
超快枚举，需提供有效解析器列表<\/td>
<\/tr>
<\/tbody>
<\/table>
4. 自动化工作流程<\/h2>

从主机列表中过滤活动子域：<\/li>
<\/ol>
while<\/span> read subdomain; do<\/span>
<\/span><\/span>  if<\/span> host "<\/span>$subdomain"<\/span> > \/dev\/null; then<\/span>
<\/span><\/span>    echo "<\/span>$subdomain"<\/span> >> live.txt
<\/span><\/span>  fi<\/span>
<\/span><\/span>done<\/span> < subdomain-list.txt
<\/span><\/span><\/code><\/pre>
子域概览方法：<\/li>
<\/ol>

截图工具：EyeWitness
.\/EyeWitness -f live.txt -d out --headless
<\/span><\/span><\/code><\/pre><\/li>
轻量级内容获取：meg
meg -d 10<\/span> -c 200<\/span> \/ live.txt
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
5. 特殊情况处理<\/h2>

死的DNS记录：host<\/code>命令可能返回错误，但dig<\/code>可能揭示死的记录<\/li>
云提供商DNS劫持：无需验证的特殊情况<\/li>
<\/ul>
6. 利用技术<\/h2>
6.1 Cookies操作<\/h3>

子域可修改cookies范围到主域<\/li>
可能劫持主站会话<\/li>
会话固定攻击场景：设置恶意cookie顶替新生成的cookie<\/li>
<\/ul>
6.2 跨域资源共享(CORS)<\/h3>

检查应用程序是否将子域列入白名单<\/li>
可能窃取主应用程序的认证用户数据<\/li>
<\/ul>
6.3 Oauth白名单<\/h3>

子域被列入白名单时<\/li>
可将用户重定向到子域，泄露Oauth令牌<\/li>
<\/ul>
6.4 内容安全策略(CSP)<\/h3>

子域在白名单中时可绕过策略<\/li>
执行恶意客户端代码<\/li>
<\/ul>
6.5 点击劫持<\/h3>

支持X-Frame-Options<\/code>的ALLOW-FROM<\/code>指令的浏览器<\/li>
子域被列入白名单时可构建点击劫持攻击<\/li>
<\/ul>
6.6 密码管理器<\/h3>

某些密码管理器会在子域自动填写登录表单<\/li>
可能导致账户密码泄露<\/li>
<\/ul>
6.7 电子邮件拦截<\/h3>

案例：通过在SendGrid上声明子域拦截邮件<\/li>
<\/ul>
7. 合规报告指南<\/h2>


验证实际控制能力<\/p>

不要在索引页面发布明显内容<\/li>
建议在HTML注释中添加隐秘消息<\/li>
创建隐藏路径的HTML文件作为证明<\/li>
<\/ul>
<\/li>

报告内容应包含：<\/p>

劫持证明<\/li>
潜在影响分析<\/li>
不擅自扩大渗透测试范围（需获得许可）<\/li>
<\/ul>
<\/li>

报告特点：<\/p>

奖金通常较高<\/li>
重复报告概率低<\/li>
无需急于提交<\/li>
<\/ul>
<\/li>
<\/ol>
8. 最佳实践<\/h2>

持续监控目标变化<\/li>
关注所有可能的子域<\/li>
结合多种发现技术<\/li>
创新侦察方法（越奇特的方法可能发现越多）<\/li>
实践检验想法以提高发现率<\/li>
<\/ul>

工具名称<\/th>	类型<\/th>	特点<\/th> <\/tr> <\/thead>
Sublist3r<\/td>	爬取<\/td>	从搜索引擎、SSL证书等收集子域<\/td> <\/tr>
Altdns<\/td>	暴力枚举<\/td>	递归暴力枚举，可生成词表<\/td> <\/tr>
Commonspeak<\/td>	词表生成<\/td>	使用Google BigQuery生成趋势词表<\/td> <\/tr>
SubFinder<\/td>	混合<\/td>	结合爬取和暴力枚举<\/td> <\/tr>
Massdns<\/td>	暴力枚举<\/td>	超快枚举，需提供有效解析器列表<\/td> <\/tr> <\/tbody> <\/table> 4. 自动化工作流程<\/h2> 从主机列表中过滤活动子域：<\/li> <\/ol> while<\/span> read subdomain; do<\/span> <\/span><\/span> if<\/span> host "<\/span>$subdomain"<\/span> > \/dev\/null; then<\/span> <\/span><\/span> echo "<\/span>$subdomain"<\/span> >> live.txt <\/span><\/span> fi<\/span> <\/span><\/span>done<\/span> < subdomain-list.txt <\/span><\/span><\/code><\/pre> 子域概览方法：<\/li> <\/ol> 截图工具：EyeWitness .\/EyeWitness -f live.txt -d out --headless <\/span><\/span><\/code><\/pre><\/li> 轻量级内容获取：meg meg -d 10<\/span> -c 200<\/span> \/ live.txt <\/span><\/span><\/code><\/pre><\/li> <\/ul> 5. 特殊情况处理<\/h2> 死的DNS记录：host<\/code>命令可能返回错误，但dig<\/code>可能揭示死的记录<\/li> 云提供商DNS劫持：无需验证的特殊情况<\/li> <\/ul> 6. 利用技术<\/h2> 6.1 Cookies操作<\/h3> 子域可修改cookies范围到主域<\/li> 可能劫持主站会话<\/li> 会话固定攻击场景：设置恶意cookie顶替新生成的cookie<\/li> <\/ul> 6.2 跨域资源共享(CORS)<\/h3> 检查应用程序是否将子域列入白名单<\/li> 可能窃取主应用程序的认证用户数据<\/li> <\/ul> 6.3 Oauth白名单<\/h3> 子域被列入白名单时<\/li> 可将用户重定向到子域，泄露Oauth令牌<\/li> <\/ul> 6.4 内容安全策略(CSP)<\/h3> 子域在白名单中时可绕过策略<\/li> 执行恶意客户端代码<\/li> <\/ul> 6.5 点击劫持<\/h3> 支持X-Frame-Options<\/code>的ALLOW-FROM<\/code>指令的浏览器<\/li> 子域被列入白名单时可构建点击劫持攻击<\/li> <\/ul> 6.6 密码管理器<\/h3> 某些密码管理器会在子域自动填写登录表单<\/li> 可能导致账户密码泄露<\/li> <\/ul> 6.7 电子邮件拦截<\/h3> 案例：通过在SendGrid上声明子域拦截邮件<\/li> <\/ul> 7. 合规报告指南<\/h2> 验证实际控制能力<\/p> 不要在索引页面发布明显内容<\/li> 建议在HTML注释中添加隐秘消息<\/li> 创建隐藏路径的HTML文件作为证明<\/li> <\/ul> <\/li> 报告内容应包含：<\/p> 劫持证明<\/li> 潜在影响分析<\/li> 不擅自扩大渗透测试范围（需获得许可）<\/li> <\/ul> <\/li> 报告特点：<\/p> 奖金通常较高<\/li> 重复报告概率低<\/li> 无需急于提交<\/li> <\/ul> <\/li> <\/ol> 8. 最佳实践<\/h2> 持续监控目标变化<\/li> 关注所有可能的子域<\/li> 结合多种发现技术<\/li> 创新侦察方法（越奇特的方法可能发现越多）<\/li> 实践检验想法以提高发现率<\/li> <\/ul>

子域名劫持全面指南<\/h1>

1. 子域名劫持概述<\/h2> 子域名劫持是指主站指向了一个已停用的子域名，而攻击者通过在第三方服务商注册，从而在子域名上提供危险内容的安全漏洞。<\/p>

2. 子域发现技术<\/h2>

6. 利用技术<\/h2>

8. 最佳实践<\/h2> 持续监控目标变化<\/li> 关注所有可能的子域<\/li> 结合多种发现技术<\/li> 创新侦察方法（越奇特的方法可能发现越多）<\/li> 实践检验想法以提高发现率<\/li> <\/ul>

1. 子域名劫持概述<\/h2>
子域名劫持是指主站指向了一个已停用的子域名，而攻击者通过在第三方服务商注册，从而在子域名上提供危险内容的安全漏洞。<\/p>

8. 最佳实践<\/h2>

持续监控目标变化<\/li>
关注所有可能的子域<\/li>
结合多种发现技术<\/li>
创新侦察方法（越奇特的方法可能发现越多）<\/li>
实践检验想法以提高发现率<\/li> <\/ul>