Web渗透之域名（子域名）收集方法

给大家安利一个免费且实用的前端刷题（面经大全）网站，👉​​点击跳转到网站​​。

​​直接跳到末尾​​ 参与评论送书

在进行Web渗透时，我们常常需要对其子域名进行收集。相对于主站来说，分站的安全会做的差一些。子域名收集大抵可以通过手工、工具或者分析搜索引擎等等方法来实现。接下来让我们看看具体可以怎么做

1.子域名猜测与测试访问

这是最简单也是比较笨的一种方法，对于 Web 子域名进行猜测，然后去浏览器访问查看是否真实存在。比如 baidu.com，猜测其可能有 fanyi/tieba/pay/bbs.baidu.com 等；csdn.net，猜测其可能的子域名有 blog/download/mail/bbs.csdn.net 等，这种方法对于常见的子域名测试效果还可以。

2.搜索引擎指令查询

在搜索引擎通过搜索 “site:csdn.net” 来搜索其主要域名 csdn.net 下的子域名。利用搜索引擎查找子域名可能会有很多重复的页面和结果，我们可以利用下面的指令来进行更精确的查找：

在使用指令之前，我们先将搜索引擎做一些基本设置，将搜索结果设置一页显示 50 条，

• allintext: = 搜索文本，但不包括网页标题和链接。
• allinlinks: =搜索链接，不包括文本和标题。
• related:URL =列出与目标 URL 地址相关的网页。这个命令对一些小众网站不适用，会偶尔搜不出东西来。
• link:URL =列出某个站点的大概的外链情况.
• 使用“-”去掉不想看的结果，如 sitecsdn.net - blog.csdn.net

3.查询 DNS 的解析记录

查询其域名下的 mx、cname 记录，主要通过 nslookup 命令，如：

nslookup -qt=mx 163.com //查询邮箱服务器，其 mx 可以换成以下的一些参数进行查询

• A：地址记录（Ipv4）
• AAAA：地址记录（Ipv6）
• AFSDB Andrew：文件系统数据库服务器记录
• ATMA ATM：地址记录。
• CNAME：别名记录。
• HINFO：硬件配置记录，包括CPU、操作系统信息。
• ISDN：域名对应的ISDN号码。
• MB：存放指定邮箱的服务器。
• MG：邮件组记录。
• MINFO：邮件组和邮箱的信息记录。
• MR：改名的邮箱记录。
• MX：邮件服务器记录。
• NS：名字服务器记录。
• PTR：反向记录。
• RP：:负责人记录。
• RT：路由穿透记录。
• SRV TCP：服务器信息记录。
• TXT：域名对应的文本信息。
• X25：域名对应的 X.25 地址记录。

4.基于DNS查询的暴力破解

目前有很多开源的工具支持子域名暴力破解，通过尝试字典+“.”+“主域名”进行测试，如字典中有 bbs/admin/manager.对baidu.com进行尝试，则会爬取 bbs baidu.com、admin baidu.com. manager.baidu.com,通过访问其地址，根据共相应状态关键字来判断是否开启和存在。

5.手工分析

通过在看主站主页及相关页面，从html代码及友情链接的地方去手工发现，作为其主域名或其他域名下的 crossdomim.xml 文件会包含一些子域名信息。