hunting-subdomains

发表于2025-04-21|更新于2026-06-10|Network Security

|浏览量:

狩猎子域名

有“主动”和“被动”两种方式来查找和识别目标的子域。

为什么是子域？

在调查过程中，您可能会遇到目标域的一堆不同的子域。

收集有关这些子域的信息很重要，因为这样做可以让您更好地了解目标环境。

多汁的目标

生产环境

dev.blank.blank
qa.blank.blank
stage/stg.blank.blank

废弃的子域

如果有人放弃了子域，则该子域很容易受到子域接管的攻击。

寻找什么：

使用 dig 命令，当服务器响应 NXDOMAIN、SERVFAIL、REFUSED 或 no servers could be reached 时，您可以发现易受攻击的子域。

一旦您找到可能被放弃的子域，您也可以 dig 。

Sublist3r

Sublist3r是一个用python编写的工具，可用于枚举子域。它使用雅虎、谷歌等搜索引擎来实现这一目的，因此它被认为是开源情报（OSINT）（因为它没有主动尝试使用根域上的单词列表之类的东西来查找子域）。

Sublist3r 能够查找第三级和第四级域。

但是 Sublist3r 可用于使用 Subbrute 集成工具进行强力（主动/非 OSINT）枚举。

用法

OWASP Amass

证书指纹

证书指纹/指纹是从证书数据和签名派生的 SSL 证书的哈希值。指纹用作证书的唯一标识符。

Crt.sh

此网站在撰写本文时返回 502

该站点可用于查找比域名的第二级和第三级更深的子域。它可用于查找域名的所有子域和子子域。

其他资源

DNS 转储程序

一个免费的在线工具，您可以使用它来发现主机 R/T 域。还包括托管 IP 块、DNS 服务器、MX 记录、TXT 记录等。

您还可以获得域和子域的地图，如下所示：

[!资源]

Sublist3r

IPlocation.io

OWASP：子域接管测试

AppSecco：子域枚举渗透测试人员指南

[！我之前的笔记（在文中链接）]

DNS

Sublist3r（用法）

dig 命令

子域名接管

Amass

文章作者: xhj

文章链接: https://hzhzxfs.github.io/2025/04/21/hunting-subdomains/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 xhj的博客！

Network Security

相关推荐

学院演练将这些框视为 CTF（而不是实际的渗透测试）。 Nmap 侦察12345678910111213141516171819202122232425262728293031323334353637sudo nmap -A -p- -T4 10.0.2.15Starting Nmap 7.94 ( https://nmap.org ) at 2023-10-06 12:46 EDTNmap scan report for 10.0.2.15Host is up (0.00066s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE VERSION21/tcp open ftp vsftpd 3.0.3| ftp-anon: Anonymous FTP login allowed (FTP code 230)|_-rw-r--r-- 1 1000 1000 776 May 30 2021 note.txt| ftp-syst: | STAT: ...

file-management

查看、创建和编辑 Linux 文件创建文件要在 Linux 中创建文件，您可以使用 touch 或将 echo 内容添加到文件中： 1234# touch creates an empty filetouch hey.txt# echo will create a new file AND fill it with content:echo "hello" > hey.txt 编辑和附加文件要在 Linux 中编辑或附加到文件，可以使用 > 和 >>。单个 > 将覆盖该文件，并用您在 > 右侧键入/放置的任何内容替换其中的任何数据。 >> 也会编辑该文件，但会将其右侧的内容附加到文件末尾。 1234567echo "hello" > hey.txtcat hey.txthelloecho "hello again" >> hey.txtcat hey.txthellohello again 文本编辑器：终端文本编辑器除了使用 touch 和 ec...

enumerating-SMB

枚举 SMB (Kioptrix)SMB 是一种主要在 Windows 上使用的协议，允许同一网络上的设备共享文件。 SMB 允许写入、读取、下载文件等。 SMB/“samba”服务（通常托管在端口 445 或 139 上）可以在 Linux 上使用 smbclient 命令进行访问。 SMB 上托管的文件称为“共享”，要访问它们，您需要通过“工作组”登录。在 Kioptrix 框中，我们可以从 nmap 扫描中看到端口 445 上识别的工作组是 MYGROUP。版本控制确定正在运行的 SMB 服务的版本很有用（并被视为一项发现），因为您可以使用该版本来查找 CVE 以及已开发并成功针对该服务使用的漏洞。如果 Nmap 无法找到带有 -sV 标志的确切版本（并且 --version-intensity 设置为 9），那么您可以使用其他工具。 MetasploitMetasploit 是一个命令行工具，可用于漏洞利用的大多数阶段。它可以执行侦察、扫描、枚举、利用等操作。在 Kioptrix 中，目前我们要做的就是获取目标正在使用的 SMB 版本： msfconso...

种子文件Torrent 文件 (.torrent) 是包含下载相同资源或相同资源部分的计算机的位置和信息的文件。它们用于帮助从多个源下载大文件（而不是从一个源下载它们，这可能需要很长时间并增加托管文件的人的流量）。从多个来源（称为“播种器”）下载内容比以传统方式从一个来源下载内容要快得多。 BitTorrent 协议为了使用 torrent 文件来查找和下载资源，您需要一个 torrent 客户端。 Torrent 客户端是一种可以读取 .torrent 文件并与播种机通信以将内容下载到您的计算机的软件。 BitTorrent 客户端将查找文件中指定的 tracker。 tracker 是一个特殊服务器的地址，该服务器维护具有要下载的目标文件的完整副本的播种者列表。 BitTorrent 协议将目标文件分成块，并帮助客户端从播种器检索这些块。使用 BitTorrent 客户端下载 torrent 文件后，您可以选择成为播种者并让客户端保持运行，以便其他人可以从您那里下载该文件。安全IP 地址当您使用 torrent 下载内容时，您的 IP 地址对于正在下载或将要下载该...

使用 Responder 捕获哈希值Responder 是一个可用于对活动目录域执行 LLMNR 中毒攻击的工具。 LLMNR 并不是响应者可以对其进行中毒攻击的唯一协议。它还可以用于 NBT-NS 和 MDNS。用法示例针对我们的 AD 实验室，我们将使用 Responder 来执行 LLMNR 中毒。这将使我们能够捕获从受害计算机发送的用于身份验证的哈希值。一旦我们有了哈希值，我们就可以破解它以获取该机器的密码。随着我们的 AD 实验室启动并处于活动状态，我们将使用以下命令与响应者来攻击域控制器 1responder -I eth0 -dwP 使用的标志： -I/ --interface：告诉响应者我们要使用哪个网络接口。 -d/ --DHCP：告诉响应者“也响应”DHCP 广播请求。 -w/ --wpad：启动恶意 WPAD 服务器（它将响应主机名解析请求） -P/ --ProxyAuth：告诉响应程序强制 NTLM 身份验证（即使目标网络没有打开 WPAD）其他：-v/ --verbose：将您已经捕获的哈希添加到输出中。打开这些标志，并且您的攻击框与域和域...

effective-notekeeping

有效的笔记客户评估：截取并保存客户参与的屏幕截图是包含评估结果证据的简单方法。屏幕截图应包括目标的证明以及 IP 地址、日期等。对评估进行详细记录对于报告撰写很重要，对于_历史记录_也很重要。例如：客户可能会在几个月或几年后再次联系您，询问有关他们的评估的信息。资源：窗口：KeepNote Linux：CherryTree 麦克：乔普林注意事项：安全：您在订婚时所做的笔记应该受到保护。这些注释可能包括有关客户网络的敏感信息以及可用于攻击他们的详细信息。注释中还应删除所有 P.I.I.因此，如果它们落入坏人之手，它们所包含的信息就不能直接与个人或组织联系起来。####朋友的建议： “我更喜欢加密存储我的笔记，这样我就不必担心我的笔记落入坏人之手并成为责任。我也尽量不记录除了证明调查结果所需的内容之外的任何内容。几乎在所有情况下，PII、PFI、PHI 或其他敏感信息都不能证明。在我看来，记录这些信息是鲁莽的，因为笔记可能会被破坏，或者信息被复制到不同的系统可能会引发公司的罚款和其他合同和监管责任。此外，我知道很多经理在谈到指责游戏时都被[编辑了]。我从来不想把某人扔到公...