红队作业 | 收集xxx.com域名的所有子域名
文章来源|MS08067 红队培训班 第5期
本文作者:AlexD(红队培训班5期学员)
按老师要求尝试完成布置的作业如下:
被动信息收集
0x01 利用DNS数据集收集子域
有很多第三方服务聚合了大量的DNS数据集,可以通过它们来检索子域名
(1)ip138:https://site.ip138.com/
(2)百度云观测:http://ce.baidu.com/index/getRelatedSites?site_address=xxx.com
(3)circl:https://www.circl.lu/services/passive-dns/#passive-dns
(4)hackertarget:https://hackertarget.com/find-dns-host-records/
(5)riddler:https://riddler.io/search?q=pld:xxx.com
(6)bufferover:https://dns.bufferover.run/dns?q=.xxx.com
(7)dnsdb:https://dnsdb.io/en-us/
(8)ipv4info:http://ipv4info.com/
(9)robtex:https://www.robtex.com/dns-lookup/
(10)chinaz:https://alexa.chinaz.com/
(11)netcraft:https://searchdns.netcraft.com/
(12)securitytrails:https://docs.securitytrails.com/v1.0/reference#get-domain
(13)dnsdumpster:https://dnsdumpster.com/
(14)sitedossier:http://www.sitedossier.com/
(15)threatcrowd:https://www.threatcrowd.org/
(16)siterankdata:https://siterankdata.com/
(17)findsubdomains:https://findsubdomains.com/
通过dnsdumpster检索子域名
通过findsubdomains检索子域名
0x02 基于SSL证书查询
证书透明度(Certificate Transparency)是证书授权机构的一个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
常用证书查询的站点:
crtsh:https://crt.sh/
facebook:https://developers.facebook.com/tools/ct
entrust:https://www.entrust.com/ct-search/
certspotter:https://sslmate.com/certspotter/api/
spyse:https://spyse.com/search/certificate
censys:https://censys.io/certificates
google:https://google.com/transparencyreport/https/ct/通过crtsh收集子域名,只需将目标域名填入后点击查询即可
0x03 利用搜索引擎发现子域
常用的搜索引擎有以下四个:
(1)google
(2)baidu
(3)bing
(4)sougou
查询语法:
根据域名搜集子域名:site:xxx.com
通过Google搜索子域名
0x04 网络空间搜索引擎
(1)FOFA:https://fofa.so/
子域名查询语法:domain:xxx.com
(2)zoomeye:https://www.zoomeye.org/
子域名查询语法:site:xxx.com
(3)shodan:https://www.shodan.io/
子域名查询语法:hostname:xxx.com
(4)quanke:https://quake.360.cn/quake/#/index
子域名查询语法:domain:"xxx.com"
通过FOFA来搜索子域名
通过zoomeye来搜索子域名
0x05 利用威胁情报平台数据收集子域
(1)微步:https://x.threatbook.cn/
(2)alienvault:https://otx.alienvault.com/
(3)riskiq:https://www.riskiq.com/
(4)threatminer:https://www.threatminer.org/
(5)virustotal:https://www.virustotal.com/gui/home/search
通过threatminer搜索子域名
0x06 域名备案搜集
备案号是网站是否合法注册经营的标志,可以用网页的备案号反查出该公司旗下的资产。
常用查询网站:
http://www.beian.gov.cn/
https://beian.miit.gov.cn/
http://icp.chinaz.com/
主动信息收集
oneforall
项目地址:https://github.com/shmilylty/OneForAll
工具描述:oneforall是近几年出现的比较优秀的子域名收集工具之一,目前还在不断地进行更新优化。这款工具集成了各种域名信息收集的"姿势"。包括利用证书透明度、常规检查、利用网上爬虫(正在实现)、DNS数据集、DNS查询、威胁情报平台、搜索引擎等
下载安装:
git clone https://github.com/shmilylty/OneForAll.git
cd OneForAll/
pip3 install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/
使用帮助:
pythonn3 oneforall.py –help
使用方法:
python oneforall.py --target xxx.com run
收集完成后会将结果以域名.cvs命名保存到results目录下
SubdomainBrute
项目地址:
https://github.com/lijiejie/subDomainsBrute
工具描述:
李劼杰的SubdomainBrute是业内比较出名的子域名收集工具了,工具采用协程加快爆破速度,使用114DNS、百度DNS、阿里DNS这几个快速又可靠的公共DNS进行查询。准确率高,效果比较好。
安装使用:
git clone https://github.com/lijiejie/subDomainsBrute.git
cd subDomainsBrute/
python3 subDomainsBrute.py xxx.com
ESD
项目地址:https://github.com/FeeiCN/ESD
工具描述:ESD工具优点是爆破子域名速度快,缺点之一就是对性能要求高。
下载安装:
git clone https://github.com/FeeiCN/ESD.git
pip install esd && pip install esd --upgrade使用命令:
# 扫描单个域名
esd -d qq.com
# debug模式扫描单个域名
esd=debug esd -d qq.com
# 扫描多个域名(英文逗号分隔)
esd --domain xxx1.com,xxx2.com
# 扫描单个域名且过滤子域名中单个特定响应内容
esd --domain mogujie.com --filter
# 扫描单个域名且过滤子域名中多个特定响应内容
esd --domain mogujie.com --filter
# 扫描文件(文件中每行一个域名)
esd --file targets.txt
# 跳过类似度对比(开启这个选项会把全部泛解析的域名都过滤掉)
esd --domain qq.com --skip-rsc
# 使用搜索引擎进行子域名搜索(支持baidu、google、bing、yahoo,使用英文逗号分隔)
esd --domain qq.com --engines baidu,google,bing,yahoo
# 平均分割字典,加快爆破
esd --domain qq.com --split 1/4
# 使用DNS域传送漏洞获取子域名
esd --domain qq.com --dns-transfer
# 使用HTTPS证书透明度获取子域名
esd --domain qq.com --ca-info
使用截图:
ksubdomain
项目地址:https://github.com/knownsec/ksubdomain
二进制文件地址:
https://github.com/knownsec/ksubdomain/releases
在linux下,还需要安装libpcap-dev,在Windows下需要安装WinPcap,mac下可以直接使用。
工具描述:
ksubdomain是一款基于无状态子域名爆破工具,支持在Windows/Linux/Mac上使用,它会很快的进行DNS爆破,在Mac和Windows上理论最大发包速度在30w/s,linux上为160w/s的速度。
常用命令:
使用内置字典爆破
ksubdomain -d seebug.org
使用字典爆破域名
ksubdomain -d seebug.org -f subdomains.dict
字典里都是域名,可使用验证模式
ksubdomain -f dns.txt -verify
爆破三级域名
ksubdomain -d seebug.org -l 2
通过管道爆破
echo "seebug.org"|ksubdomain
通过管道验证域名
echo "paper.seebug.org"|ksubdomain -verify
仅使用网络API接口获取域名
ksubdomain -d seebug.org -api
完整模式,先使用网络API,在此基础使用内置字典进行爆破
ksubdomain -d seebug.org -full
使用截图:
Layer子域名挖掘机
Layer子域名挖掘机(域名查询工具)用于网站子域名查询,拥有简洁的界面、简单易上手的操作模式,有服务接口、暴力破解、同服挖掘三种模式。
使用说明:
1、如果要使用自定义字典,请把字典文件命名为dic,放到跟程序同目录下,程序会自动加载字典。
2、如果没有自定义字典,程序会自动使用内置字典,内置字典总共两万多条数据,内容包括了常用子域名,以及3000+常用单词和1-3位所有字母
3、如果要爆破二级以下域名,可以直接填入要爆破的子域名,程序会自动拼接下一级子域。比如填入hi.baidu.com,程序会爆破。hi.baidu.com下面的域。
4、如果界面列表显示有空白,请右键选择“导出域名和IP”来导出完整列表。
使用截图:
第三方搜集子域名网站
在线子域名查询:https://phpinfo.me/domain/
在线子域名爆破:http://z.zcjun.com
在线子域名扫描-YoungxjTools:https://tools.yum6.cn/Tools/urlblast
在线子域名爆破:https://www.bugku.net/domain/
子域名扫描:https://www.t1h2ua.cn/tools
红队攻防 第5期 火热报名中
课程费用
每期班定价2999,第五期班早鸟价:2499(前40名送499元内网知识星球名额),每个报名学员都可享受一次免费重听后续任意一期班的权益,一次没学懂就再来一遍!
培训采用在线直播+随堂录播+作业+微信群讲师解答的形式,无需等待,报名后立即进入“内网星球”开始预习。毕业推荐HW,推荐就业,有永久录播,报一期班可免费再参加后续任意一期班,内部VIP学习群永久有效。(可开发票,支付信用卡、花呗分期)
全新课程目录5.0版
| 第1天课 | 信息收集总体概念 被动信息收集 信息收集的总体概念以及在整个红队流程中的位置; 被动信息收集的基本结构和基本逻辑; 被动信息收集的常见手段(网络空间搜索、被动信息收集工具、传统搜索); 被动信息收集后的信息处理; 被动信息收集工具的底层原理以及如何编写; |
| 第2天课 | 主动信息收集 信息收集完成之后的信息综合处理 主动信息收集的基本结构和基本逻辑; 主动信息收集的常见手段(仅限扫描的nmap和扫描带有poc的goby); 主动信息收集后的信息处理; 主动信息收集工具的底层原理以及如何编写; 如何将主动信息收集和被动信息收集的信息综合处理; 收集到的信息如何衔接到下一步的红队流程中; |
| 第3天课 | 社会工程学 社会工程学的含义以及实际应用; 社会工程学的知识体系; 社会工程学的学习方法; |
| 第4天课 | 社会工程学中的交互 社会工程学中的常见钓鱼方式以及应用; 社会工程学中如何根据收集到的信息利用目标的社会属性弱点进行交互; 社会工程学中的信任获得和信任利用方式; |
| 第5天课 | 实战中的快速审计 寻找源码中的多种途径; 快速查找源码中可利用的脆弱点; 使用工具发现脆弱点; |
| 第6天课 | POC的编写 Java类与对象的概念; Java中基础语法的学习; POC编写应具备的哪些条件; Idea工具的安装; |
| 第7天课 | POC的编写 本地IO进行内容读写; 网络请求进行发包模拟; POC实战; |
| 第8天课 | Windows内网提权 Potato家族提权;补丁提权;系统配置错误提权; 第三方服务提权;组策略提权;Bypassuac; 数据库提权;令牌窃取;密码收集提权; |
| 第9天课 | Liunx内网提权 系统内核提权;第三方服务提权; 数据库提权;密码收集提权; 键盘记录提权;Suid提权; Sudo提权;反弹shell提权; |
| 第10天课 | 内网穿透 内网穿透概述及正向代理和反向代理; 花生壳内网穿透;Frp内网穿透; Ngrok内网穿透;reGeorg+Proxifier; 向日葵代理及teamviewer; 最小化渗透概述;云函数;域前置; |
| 第11天课 | 外网打点技巧和Kerberos认证原理 入口权限获取;java中间件Nday; php集成环境;开源程序Nday; 边界网络设备利用;基础服务getshell; kerberos认证;kerberos认证流程; |
| 第12天课 | 域内信息收集及域信任 域内信息收集概述; 域内用户组收集;域信任关系收集; 用户目录收集;预控日志收集; Arp信息收集;Tcpdump;Sshkey收集; 铭感配置读取;网络拓扑架构分析判断; |
| 第13天课 | 域渗透工具实操实战 Setspn;Nslookup;AdFind; Psloggendon;360safebrowserdecrypt; SchtaskBackDoorWebshell;regeditBypassUAC; |
| 第14天课 | 票据伪造、域委派攻击、域控攻击 PTH认证过程解析;票据伪造攻击原理; Mimikatz实现票据伪造攻击; 域委派原理;域委派攻击方法; zerologin;nopac |
| 第15天课 | 域林渗透 域林渗透概述和父域子域及域信任关系分析;大型域渗透思路; 预控定位;Pth喷射;域信任攻击; 组策略漏洞;Web及系统漏洞;逃逸漏洞; |
| 第16天课 | Windows权限维持 Windows权限维持概述及隐藏技巧;关闭杀软; 注册表自启动;组策略脚本; 计划任务;服务自启动; 内存码;进程劫持;隐蔽隧道; |
| 第17天课 | Liunx权限维持 Liunx权限维持概述及隐藏技巧; 添加用户;SUIDshell; SSH公私钥;软连接; crontab计划任务;Strace后门;Openssh后门; 隐蔽隧道;关杀软; |
| 第18天课 | 痕迹清理 Windows操作系统的痕迹清理; Windows痕迹清理的基本思路和思考逻辑; Windows清理登录痕迹、操作痕迹及时间痕迹; Linux操作系统的痕迹清理; Linux痕迹清理的基本思路和思考逻辑; Linux清理登录痕迹、操作痕迹及时间痕迹; |
| 第19天课 | 红队之反溯源 工作机器;攻击资源;匿名攻击; 识别反制;反溯源案例; |
| 第20天课 | Meterpreter木马分析 反编译meterprter源码; 分析meterpreter源码; 源码级别免杀深入浅出; |
| 第21天课 | 文件的免杀 免杀中使用的编程语言及相关知识基础 程序的基本结构; c++免杀中用到的基础; python免杀中用到的基础; win32api基础; 使用c++编写最基本的socket; 使用python编写最基本的socket; |
| 第22天课 |
文件的免杀 免杀中使用的编程语言及相关知识基础; payload的基本结构和编程语言的实战; payload的基本结构(以MSFf和CS举例); c2的基本原理; 使用c++编写最基本的shellcode加载器; 使用python编写最基本的shellcode加载器; |
| 第23天课 | 文件的免杀 杀毒软件的基本原理以及绕过思路 针对火绒的静态分析的特点分析及绕过思路; 针对windowsdefender的shellcode特征码的特点分析及绕过思路; 针对360的动态分析的特点分析及绕过思路; 针对人工分析的绕过以及处理; |
| 第24天课 第25天课 第26天课 |
实际红队案例分享、红队攻击思路 红队模拟面试; 实际红队案例分享; 红队攻击思路; 红队靶场实战演练讲解 真实环境红蓝对抗 针对国内环境下的云服务提供商的生产环境,将本期同学分为AB两队,每支队伍都拥有一个目标,为了模拟真实环境将采用两个不同的云服务提供商(不透露具体厂商),每一个环境都将开启不同的对外公开的服务(为避免模拟本地来攻击对方,服务的种类和数量都不相同),讲师会模拟普通用户来使用两队的环境,攻击之前我会私聊AB两队队长相关登录环境,队长也要私聊我队员的攻击机的公网ip方便识别是否犯规,实战开始时向对方公布环境地址。 |
*大纲仅作为参考,会根据当期进度有所变化。
报名咨询联系小客服
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
目前50000+人已关注加入我们