在广域网中,很多IP地址都和域名进行关联。通过分析对应的域名,可以获取更多的主机信息。本文介绍使用Maltego工具对域名进行分析。
在Maltego中提供了一个域名实体Domain,可以用来对域名进行分析。使用时,首先需要从实体列表中拖放一个域名实体到图表中,显示结果如图1所示。
从图1中可以看到,在图表中已经添加了域名实体,默认的域名为paterva.com。此时需要将其修改为我们要分析的域名。例如,这里将选择分析百度网站的域名baidu.com。所以,修改默认的域名实体名称为baidu.com,如图2所示。
从图2中可以看到,成功修改了域名实体名称为baidu.com。接下来我们就可以使用Maltego工具提供的Transform来获取域名相关信息了,如域名的所有者、子域名等。
每个域名都有对应的WHOIS信息。通过查询WHOIS信息,即可获取到域名的注册商信息。下面介绍获取域名所有者信息的方法。
(1)在New Graph(1)图表中选择域名实体(baidu.com)并右击,将弹出所有可以使用的Transform列表,如图3所示。
(2)在其中选择名为To Entities from WHOIS[IBM Watson]的Transform,即可获取到该域名的注册商信息,如图4所示。
(3)从图4中可以看到,成功获取到了域名baidu.com关联的注册商信息,包括组织名称、注册商的邮件地址、注册人及注册的电话号码。例如,该域名注册商公司为VeriSign;注册者为Register.com、注册者的电话号码为+1 800333xxxx。
每个域名都至少有一个子域名。通过获取域名的子域名,可以发现目标关联的其他主机信息。下面介绍获取子域名信息的方法。
(1)在New Graph(1)图表中选择域名实体并右击,将弹出所有可以使用的Transform列表,如图5所示。
(2)选择名为[Z]Domain to Subdomains的Transform,即可获取相关的子域名,如图6所示。
(3)从图6中可以看到,成功获取到了域名baidu.com的相关子域名,如pqdiox.www.baidu.com和cxrw.baidu.com等。从显示的结果中可以看到,这里仅获取到了几个子域名,一些经常访问的子域名没有获取到,如www.baidu.com、mp3.baidu.com等。如果想要获取这些子域名信息的话,则可以把它们整理出来并手动添加进去,然后使用连接线建立实体之间的关系。例如,这里添加一个子域名www.baidu.com。首先在实体列表中选择域名实体Domain并拖放到New Graph(1)图表中,修改域名为www.baidu.com。然后使用连接线与域名baidu.com关联起来。添加成功后,显示界面如图7所示。
当我们获取到子域名后,还可以通过该子域名来获取相关的主机地址、历史IP地址、关联的恶意软件的哈希值和对应的URL等。下面以子域名www.baidu.com为例,介绍获取子域名相关信息的方法。
(1)在New Graph(1)图表中选择子域名实体www.baidu.com并右击,将弹出所有可用的Transform列表,如图8所示。
(2)在其中选择名为[Threat Miner]Domain to IP(pDNS)的Transform,即可获取对相关的主机IP地址,如图9所示。
(3)从图9中即可以看到获取到子域名www.baidu.com的相关主机地址。我们还可以通过选择[DNSDB]To records with this hostname的Transform,来获取子域名相关的主机记录,结果如图10所示。
(4)从图10中可以看到子域名的相关主机记录信息。其中,该子域名对应的IP地址有120.52.73.120、120.52.73.121等;别名为www.a.shifen.com。另外,如果想要获取该子域名的URL、关联的恶意软件的哈希值、IP地址的话,可以通过选择[Threat Miner]Domain to Samples和[Threat Miner]Domain to URI的Transform来获取,具体步骤与前面操作类似,不再赘述。获取结果如图11所示。
(5)从图11中可以看到,成功获取到了子域名(www.baidu.com)相关的恶意程序哈希值及对应的URL地址。
如侵权请私聊公众号删文
应急响应的基本流程(建议收藏)
渗透测试面试近期热门题
干货|安全工程师面试题汇总
渗透工程师常用命令速查手册
Web常见漏洞描述及修复建议
流量分析与日志溯源的个人理解
规范报告中的漏洞名称以及修复建议
应急响应 | 7款WebShell扫描检测查杀工具
11个步骤完美排查Linux机器是否已经被入侵
欢迎关注 系统安全运维
原文始发于微信公众号(系统安全运维):网络扫描:Maltego之域名分析
评论