子域名信息收集技巧全面指南

子域名信息收集技巧全面指南 一、子域名简介 子域名是指顶级域名(一级域名)的下一级域名，例如： mail.qq.com www.qq.com 都是qq.com的子域。 在渗透测试中，从旁站(子域名站点)查找漏洞往往比主站更容易，因此子域名信息收集至关重要。 二、信息收集方法论 1. 查找目标主域名 搜索引擎法 ： 使用百度、谷歌等搜索引擎直接搜索目标组织名称 通常可以直接找到其官网，进而获取主域名 2. 查找目标所有关联域名 2.1 备案查询 官方备案网站 ：工信部ICP备案系统、chinaz等 通过主域名查备案，获得域名所属公司名称 再搜索该公司名称以获取其所有注册域名 2.2 企业关系查询 企业信息平台 ：天眼查、爱企查、企查查等 查看股权穿透图查找子公司 收集子公司的域名 2.3 Whois反查关联域名 Whois查询网站 ：如Whois.chinaz.com 利用同一公司域名可能使用同一邮箱注册的信息进行反查 2.4 官网架构查询 目标企业官网有时会列出子公司介绍和官网链接 通过这些信息直接获取子域名 3. 收集子域名 3.1 证书透明度查询 查询网站 ：crt.sh、Censys、SSLmate、Facebook CT等 原理：许多企业域名使用HTTPS协议，TLS证书中通常包含域名信息 3.2 在线子域名查询网站 常用网站 ：SecurityTrails、IP138、Chinaz、dnsscan.cn等 输入域名即可获取子域名列表 3.3 威胁情报平台 平台推荐 ：ThreatBook、VirusTotal、AlienVault OTX、RiskIQ、ThreatMiner 可收集目标组织的子域名信息 3.4 搜索引擎语法 使用Google等搜索引擎 结合 site: 语法(如 site:example.com )限制搜索结果 获取子域名信息 3.5 爬虫爬取 爬取目标网站所有页面 重点关注：robots.txt、crossdomain.xml、sitemap文件 从中筛选出子域名 3.6 DNS记录查询 工具 ：nslookup等 查询域名的SRV、NS、MX、TXT等记录 注意：此方法收集的域名有限 3.7 DNS历史记录查询 服务推荐 ：SecurityTrails、DNSdumpster.com、WhoisXML、PassiveTotal 查询过去DNS解析记录 可发现已被删除但仍解析到目标组织的子域名 3.8 JS文件分析 许多网站在JS文件中会包含子域名信息 工具推荐 ：JSFinder 可自动化分析JS文件挖掘子域名 3.9 子域名爆破 工具推荐 ：Sublist3r、Amass、Subfinder、Assetfinder 通过字典或其他方法生成可能的子域名列表 对列表中的每个子域名进行DNS解析验证 三、工具推荐 Subfinder ： 集成多个API接口 自动化搜索子域名信息 收集速度快 OneForAll ： 功能强大的子域收集工具 支持多种搜索方式 Layer子域名挖掘机 ： 扫描结果依赖于字典质量 适合使用自定义字典进行深度挖掘 Sublist3r ： 简单易用的子域名枚举工具 支持多线程枚举 KSubdomain ： 无状态子域名爆破工具 支持高并发DNS爆破 速度快 四、批量处理技巧 对于大量域名需要查找子域名的情况： 请求API接口 使用高效的爆破工具(如KSubdomain) 注意事项 ： 控制请求频率 频率过高会被判定为DDoS攻击 五、总结 子域名收集是渗透测试中信息收集的关键环节，通过多种方法组合使用可以获取最全面的子域名信息。建议： 先使用被动收集方法(查询类) 再使用主动收集方法(爆破类) 根据目标特点选择合适工具组合 注意操作合法性和频率控制