面向渗透测试和SRC的之子域名挖掘技巧

在公司企业安全建设中,就子域名的一些想法。只是对于我司而已,可能不通用,因地制宜。

0x01 前言

由于现实的种种原因,我们不可能将所有子域名放到内网中或者绑定白名单IP访问,所以如果灰黑产人员发现不到公司的敏感子域名,那么就该子域名而言,被攻击的可能性就会降低那么一点、风险也自然会减少一点。

好了,这就是我目前针对公司子域名这块的想法,具体落地到怎么做的,大家可以私聊我,我给你个IP,如果你发现了除www之外的其他这个IP上的其他子域名,会有大红包哦~ 多个域名多一个红包!绝对童叟无欺!

0x02 通过子域名挖掘方法

2.1 APP、公众号、小程序

  • APP:商家APP、后台管理APP、业务APP、用户APP等等
  • 小程序:微信小程序、支付宝小程序
  • 公众号:微信公众号、支付宝公众号、生活号、企业号、QQ公众号
  • APP、小程序、公众号对应的管理后台(自建、托管)【划重点:因为很多企业的这些管理后台的域名用的并不是这个企业下面的】

2.2 企业信息

  • 根据企业名、公司名、注册信息、邮箱等
  • 根据企业证书
  • 根据标识字段,比如请求头标示,比如server,特殊header字段,特殊body字段

  • 企业备案号、反查
  • 企业同开发者APP、域名(SSL、Github、Coding、字典、DNS、API)、IP(IP段)

这里说一些根据企业信息的。大部分安全人员都用过通过网络空间搜索引擎搜索过企业的IP、IP段,这里我说一个更广泛、更真实有效的方法。

首先漏洞挖掘的过程中我们肯定会找到不止一个企业的真实IP,找到真实IP之后访问:http://ipwhois.cnnic.net.cn/index.jsp填入IP

会搜索到该IP的所有注册信息

这信息就很多了,比如根据网络名称,然后再搜索

搜索到的IP均为该公司的IP,注意看右边的栏,这个长度肯定不止一两个啦,哈哈哈

2.3 C段

搜索引擎:

  • Google

  • Bing

  • Yandex
  • DuckDuckGo

网络空间搜索引擎:

  • FOFA
  • Shodan
  • ZoomEye

这里以普通的搜索引擎为例,自己根据习惯,结合点搜索语法即可

2.4 业务

  • 新业务
  • 收购业务
  • 商家服务
  • 第三方合作业务
  • CSP

这里说一下CSP好了,其实CSP和一些JS中经常会暴露公司相关的域名的,所以要多留意下请求包

2.5 接口

  • 测试平台
  • 测试群
  • 开发者群
  • 开发者文档
  • 历史版本、旧接口、历史APP、旧平台

这里说下我最近新思考到的一个点,由于现在很多企业都将大部分精力放在了移动端和智能IOT端,所以很多域名不再是简单的www、admin这种了。以典型的APP端为例,如果经常测试APP的话会发现,APP中的域名大部分都是xxx-api,api-xxx这中类型,这种类型的子域名通过搜索引擎、普通的爆破、DNS等这些很难发现,再加上如果在在APP上做些加固,又无法抓包,这样就无法得知这些子域名了。那我们怎么办呢?

很简单,用最原始的方法解决最新的问题,哈哈哈。

最开始大佬们搜子域名应该使用最多的就是字典爆破了,那我们自定义个爆破脚本就行了呀,哈哈哈

2.6 IOT

  • 网关、路由
  • IOT设备
  • 接口、服务、平台、APP、管理后台

这里推一下老东家的产品,伏特漏洞扫描云平台,被动流量模式测试APP、IOT设备爽的一批,同时也可以落地到SDL中的测试环节中,大家有兴趣可以去了解下。

2.7 盲打

  • 请求头自动添加盲打XSS代码、Dnslog代码等
  • 图片使用Dnslog地址
  • 短信XSS盲打
  • SSRF获取C段

这里说下短信XSS的。处在用户信息泛滥的时代,大家可能每个人每天都会收到各种垃圾短信,花一毛钱给他回复下呢?

2.8 其他值得关注的点

  • API
  • JS文件
  • 黑产情报
  • 容器、大数据、云平台
  • 平台差异化

0x03 >_<

关于APP加固、灰黑产对抗、一个人企业安全建设之路这些,后续会一点点分享出来哦,感谢大家的关注啦。

如果对关于我们公司子域名这块怎么落地有兴趣的,别忘了公众号或者邮箱等途径私聊我,我给你IP你试试看哦,找到有红包哦。

大爷,赏个铜板呗!