被动信息收集

VirusTotal

VirusTotal 维护其 DNS 复制服务，该服务是通过保存用户访问其提供的 URL 时做出的 DNS 解析而开发的。要接收某个域名的信息，请在搜索栏中输入域名，然后单击 "关系 "选项卡。

证书

我们可以用来提取子域的另一个有趣的信息来源是 SSL/TLS 证书。主要原因是证书透明度 (CT)，该项目要求证书颁发机构 (CA) 颁发的每个 SSL/TLS 证书都发布在可公开访问的日志中。

我们将学习如何使用两种主要资源检查 CT 日志以发现目标组织的其他域名和子域：

我们可以导航到 https://search.censys.io/certificates 或 https://crt.sh 并输入目标组织的域名以开始发现新的子域。

证书透明度

AcesMin@htb[/htb]$ export TARGET="facebook.com"
AcesMin@htb[/htb]$ curl -s "https://crt.sh/?q=${TARGET}&output=json" | jq -r '.[] | "\(.name_value)\n\(.common_name)"' | sort -u > "${TARGET}_crt.sh.txt"

AcesMin@htb[/htb]$ head -n20 facebook.com_crt.sh.txt

*.adtools.facebook.com
*.ak.facebook.com
*.ak.fbcdn.net
*.alpha.facebook.com
*.assistant.facebook.com
*.beta.facebook.com
*.channel.facebook.com
*.cinyour.facebook.com
*.cinyourrc.facebook.com
*.connect.facebook.com
*.cstools.facebook.com
*.ctscan.facebook.com
*.dev.facebook.com
*.dns.facebook.com
*.extern.facebook.com
*.extools.facebook.com
*.f--facebook.com
*.facebook.com
*.facebookcorewwwi.onion
*.facebookmail.combash

还可以通过以下方式使用 OpenSSL 对目标手动执行此操作：

AcesMin@htb[/htb]$ export TARGET="facebook.com"
AcesMin@htb[/htb]$ export PORT="443"
AcesMin@htb[/htb]$ openssl s_client -ign_eof 2>/dev/null <<<$'HEAD / HTTP/1.0\r\n\r' -connect "${TARGET}:${PORT}" | openssl x509 -noout -text -in - | grep 'DNS' | sed -e 's|DNS:|\n|g' -e 's|^\*.*||g' | tr -d ',' | sort -u

*.facebook.com
*.facebook.net
*.fbcdn.net
*.fbsbx.com
*.m.facebook.com
*.messenger.com
*.xx.fbcdn.net
*.xy.fbcdn.net
*.xz.fbcdn.net
facebook.com
messenger.combash

自动被动子域枚举

我们已经学会了如何使用第三方服务从目标组织获取有用的信息，例如子域、命名模式、备用 TLD、IP 范围等，而无需直接与其基础设施交互或依赖自动化工具。现在，我们将学习如何使用工具和之前获得的信息来枚举子域。

TheHarvester

TheHarvester 是一款简单易用、强大有效的工具，适用于早期渗透测试和红队参与。我们可以用它来收集信息，帮助确定公司的攻击面。该工具从各种公共数据来源收集emails、names、subdomains、IP address和 URLs，用于被动收集信息。目前，我们将使用以下模块：

baidu

百度搜索引擎。

Bufferoverun

使用来自 Rapid7 声纳项目的数据 - www.rapid7.com/research/project-sonar/

Crtsh

Comodo 证书搜索。

Hackertarget

为组织提供帮助的在线漏洞扫描器和网络情报。

Otx

AlienVault 开放威胁交换 - https://otx.alienvault.com

Rapiddns

DNS查询工具，可以轻松查询使用相同IP的子域或站点。

Sublist3r

渗透测试人员的快速子域枚举工具

Threatcrowd

开源威胁情报。

Threatminer

威胁情报的数据挖掘。

Trello

搜索 Trello 看板（使用 Google 搜索）

Urlscan

网络沙箱，是 URL 和网站扫描仪。

Vhost

Bing 虚拟主机搜索。

Virustotal

域搜索。

Zoomeye

Shodan 的中文版。

为了自动执行此操作，我们将创建一个名为 resources.txt 的文件，其中包含以下内容。

AcesMin@htb[/htb]$ cat sources.txt

baidu
bufferoverun
crtsh
hackertarget
otx
projectdiscovery
rapiddns
sublist3r
threatcrowd
trello
urlscan
vhost
virustotal
zoomeye

创建文件后，我们将执行以下命令从这些来源收集信息。

AcesMin@htb[/htb]$ export TARGET="facebook.com"
AcesMin@htb[/htb]$ cat sources.txt | while read source; do theHarvester -d "${TARGET}" -b $source -f "${source}_${TARGET}";done

<SNIP>
*******************************************************************
*  _   _                                            _             *
* | |_| |__   ___    /\  /\__ _ _ ____   _____  ___| |_ ___ _ __  *
* | __|  _ \ / _ \  / /_/ / _` | '__\ \ / / _ \/ __| __/ _ \ '__| *
* | |_| | | |  __/ / __  / (_| | |   \ V /  __/\__ \ ||  __/ |    *
*  \__|_| |_|\___| \/ /_/ \__,_|_|    \_/ \___||___/\__\___|_|    *
*                                                                 *
* theHarvester 4.0.0                                              *
* Coded by Christian Martorella                                   *
* Edge-Security Research                                          *
* [email protected]                                   *
*                                                                 *
*******************************************************************


[*] Target: facebook.com

[*] Searching Urlscan.

[*] ASNS found: 29
--------------------
AS12578
AS13335
AS13535
AS136023
AS14061
AS14618
AS15169
AS15817

<SNIP>

该过程完成后，我们可以提取找到的所有子域并通过以下命令对它们进行排序：

cat *.json | jq -r '.hosts[]' 2>/dev/null | cut -d':' -f 1 | sort -u > "${TARGET}_theHarvester.txt"

现在我们可以通过以下方式合并所有被动侦察文件：

AcesMin@htb[/htb]$ cat facebook.com_*.txt | sort -u > facebook.com_subdomains_passive.txt
AcesMin@htb[/htb]$ cat facebook.com_subdomains_passive.txt | wc -l

11947

到目前为止，我们已成功找到11947个合并被动侦察结果文件的子域。

最后更新于1年前

这有帮助吗？