谈谈不为人知的 xray 子域名

• 爆破——一个字“稳”

• 一是：泛解析问题

  泛解析会导致，将本不存在的子域名被解析到某个ip上。为了验证是否存在泛解析的情况，我们可尝试请求随机字符串构造的子域名，若多次尝试的结果均可解析到某一ip，则放弃对其子域名的大量爆破，转由其他手段进行分析。此时，可选取高频小字典，通过比较不同子域名指向页面的相似度，可获得一些供后续进一步分析的种子域名。

  
  

• 二是：单个 DNS 服务器高频请求带来的丢包及触发频限的问题

  爆破的常见方法是：

  使用多线程/协程等方式尽可能快的对 DNS 服务器发起请求，辅以一定的重试机制以应对丢包。但这无疑增加了网络的负担，容易造成该网络环境下其他请求的 DNS 解析失败。若没有对带宽施加合理的控制，容易造成大量数据包被链路中某一节点丢弃，反而需要更多数量的重试，以此恶性循环。同时，过快的请求速率还可能触发 DNS 服务器的请求频率限制，其表现为某段时间服务器突然失去响应、一段时间后又恢复，使子域名探测失去连续性。

• 域传送——让问题“最快”解决

域传送（DNS zone transfer）漏洞是由于对 DNS 服务器的配置不当导致的信息泄露，通过它，我们有时可以收获大量子域名。

$ nslookup -type=NS example.com
  example.com     nameserver = ns.example.com
$ nslookup
> server ns.example.com
> ls

• 基于关联关系的分析方法，又快又准

• 重定向分析：分析重定向响应 header 中 Location 的值。
• 内容安全策略分析：Content-Security-Policy

  内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。

  配置内容安全策略涉及到添加 Content-Security-Policy HTTP头部到一个页面，并配置相应的值，以控制用户代理（浏览器等）可以为该页面获取哪些资源。

  例如：

  Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com

• sitemap.xml 分析

• crossdomain.xml 分析

• 页面分析：网站首页通常有指向子域名的超链接，可进行提取分析。

• JS 分析：现代前端页面常常有通过 JS 实现的跳转，页面引入的 JS 也是不能放过的一部分。

• 证书分析：在 https 网站使用的 SSL 证书中，包含着一项名为使用者可选名称的属性，其中也可能包含子域名信息。

  下图为通过浏览器的查看证书功能，我们可以看到该证书使用者的可选名称。
• 爬虫分析：通过对其他方法得到的子域名访问，可不断得到新的可供分析的页面，直到不再有新的子域名发现时退出。这便构成了一个简单的爬虫。

既要功能，也要结果

小记

• xray-team 成员 TimWhite 结合 Rad 动态爬虫与 xray 打造了属于自己的分布式扫描器，获得了丰厚赏金。
• 安全专家 V1ll4n 将 xray 利用于企业安全建设，xray 源源不断地为企业安全大脑提供高质量的信息源。
• 宜信安全/Goby 等第三方安全厂商的集成，也足以说明 xray 值得信赖。

本文始发于微信公众号（Timeline Sec）：谈谈不为人知的 xray 子域名