子域名是域名系统（DNS）层次结构的一部分，合理使用可以令网站中的不同内容以一种更简单的方法被记住，业务较大的公司使用多个子域名也能够更便捷地管理网站的不同功能。

众所周知，渗透测试的本质是信息搜集，在做渗透测试和挖SRC漏洞的过程中，子域名数量越多则发现漏洞的可能性越大。当目标业务范围较大时，很难保证每个子域名的安全性，因此子域名的搜集至关重要。

本期安仔课堂，ISEC实验室的杨老师将为大家介绍几种适用于不同途径的子域名搜集工具，帮助大家尽可能的覆盖目标站存活的子域名。 

一、利用搜索引擎被动搜集

1.谷歌搜索语法—site

当使用site提交查询时，Google会将查询限制在某个网站/某个域下面进行，此时配合其他指令效果更佳，如使用减号“-”来排除不想要搜集到的域名。

图1

Bing.com

图2

使用谷歌搜索语法不仅可以搜集子域名，还可以对搜索出的内容进行筛选。

补充指令:

“intitle”：搜索关键词“intitle:admin”，只搜索网页标题含有关键词的页面。

“inurl”：搜索关键词“inurl:admin”，只搜索网页链接含有关键词的页面。

“intext”：搜索关键词“intext:admin”，只搜索网页“body”标签中文本含有关键词的页面。

“Index of/”：直接进入网站首页下的所有文件和文件夹。

“filetype”：搜索关键词“filetype:cfm”，只搜索指定后缀为“cfm”页面的内容。

“cache”：搜索Google里关于某些内容的缓存。

C段

图3

Site:x.x.x.* (目标IP)

当已获取某些子域名真实IP时，可在搜索引擎中使用“Site:x.x.x.* (目标IP) ”进行横向搜索，会有一些意想不到的收获。

二、数据来源

1.Rapid7实验室

图4

Rapid7实验室向研究人员和社区成员开放Sonar项目数据的访问权限，该项目通过互联网在全球范围内展开调查，深入调研全球常见漏洞。

图5

Rapid7实验室搜集并公开了庞大的互联网扫描数据，通过以下指令可删选数据，查找目标站信息。

图6

三、证书透明度

Google证书透明度项目（CT）旨在通过提供一个用于监测和审核HTTPS证书的开放式框架，来保障证书签发流程的安全。根据要求，证书颁发机构（CA）必须将每个SSL/TLS证书发布到公共日志中，其中就包含子域名、邮件地址等信息。

通过证书透明度搜索引擎来搜集一些其他工具遗漏的子域名，尽可能覆盖目标所有存活的子域名，以下为几个比较常用的在线搜索引擎：

图7

图8

四、集成工具

我们可以使用集成了多种技术进行子域名搜集的工具来提高子域名的发现效率，以下几款是较为常见的集成工具：

1.Enumeration sub domains子域名枚举工具

域名泛解析是爆破类工具的难题，开启泛解析之后会将不存在的子域名解析到一个存在的域名（如主页）上，此时字典越大爆破的结果就越多，但大部分为无效子域名。

ESD枚举工具可基于aioHTTP获取一个不存在子域名的响应内容，并将其与字典子域名响应进行相似度对比（超过阈值为同个页面，低于阀值则为可用子域名），最后再对最终子域名进行响应相似度对比。该工具可以有效避免搜集到的子域名大部分为无效子域名。

项目地址如下：

图9

图10

2.Sublist3r

Sublist3r是最受欢迎的开源工具之一，同时支持Python 2.x和Python 3.x版本。除常见搜索引擎外，Sublist3r还使用Netcraft、Virustotal、ThreatCrowd、DNSdumpster和ReverseDNS枚举子域名。

图11 

项目地址如下：

图12

五、在线子域名搜集接口

有时需要快速获取目标子域名等信息，此时可使用在线接口进行子域名查询，该操作方便快捷，可以摆脱工具、环境的束缚。

图13

图14

六、域名备案搜集资产

在对一些大型的目标进行信息搜集时，还可以通过查找域名备案信息来发现同备案的其他域名资产。如搜集百度的子域名时，最常见的即为对baidu.com进行子域名搜集，此时就会遗漏其余顶级域名资产。

图15

如上图通过查询baidu.com的网站备案/许可证号，再对其进行反查，即可发现百度同备案的其他顶级域名资产。

通过域名备案查找同备案的其他域名资产，能够更全面的搜集目标资产信息，提升发现漏洞的概率。

网站备案查询地址如下：

图16

安胜作为国内领先的网络安全产品及服务提供商，秉承“创新为安，服务致胜”的经营理念，专注于网络安全类产品的生产与服务；以“研发+服务+销售”的经营模式，“装备+平台+服务”的产品体系，在技术研究、研发创新、产品化等方面已形成一套完整的流程化体系，为广大用户提供量体裁衣的综合解决方案！

我们拥有独立的技术及产品的预研基地—ISEC实验室，专注于网络安全前沿技术研究，提供网络安全培训、应急响应、安全检测等服务。此外，实验室打造独家资讯交流分享平台—“ISEC安全e站”，提供原创技术文章、网络安全信息资讯、实时热点独家解析等。

2018年

承担全国两会网络安保工作；

承担青岛上合峰会网络安保工作。

2017年

承担全国两会网络安保工作；

承担金砖“厦门会晤”网络安保工作；

承担北京“一带一路”国际合作高峰论坛网络安保工作；

承担中国共产党第十九次全国代表大会网络安保工作；

承担第四届世界互联网大会网络安保工作。

2016年

承担全国两会网络安保工作；

为贵阳大数据与网络安全攻防演练提供技术支持；

承担G20峰会网络安保工作；

承担第三届世界互联网大会网络安保工作。

2015年

承担第二届世界互联网大会网络安保工作。

不忘初心、砥砺前行；未来，我们将继续坚守、不懈追求，为国家网络安全事业保驾护航！