原创 | 子域名枚举的艺术—主动子域枚举

点击上方蓝字 关注我吧

0x00 前言

0x01爆破的两种类型

一、字典爆破

• Aquatone             (https://github.com/michenriksen/aquatone)
• Bluto-Old              (https://github.com/darryllane/Bluto-Old)
• DNS-Discovery    (https://github.com/m0nad/DNS-Discovery)
• Dnssearch            (https://github.com/evilsocket/dnssearch)
• Amass                  (https://github.com/OWASP/Amass)
• Subbrute              (https://github.com/TheRook/subbrute)
• subDomainBrute  (https://github.com/lijiejie/subDomainsBrute)
• Sublist3r               (https://github.com/aboul3la/Sublist3r)
• OneForAll             (https://github.com/shmilylty/OneForAll)
• DNSBrute             (https://github.com/Q2h1Cg/dnsbrute)

二、排列爆破

0x02 区域传输

1、为什么我要使用DNF区域传输

• 可用性

• 负载均衡

• 更快

2、区域转移收集的信息类型

• 子域
• 电子邮件地址（可能有助于钓鱼）
• 当前序列号（更改序列号，可能表示组织中的变化）
• 电子邮件服务器（可以帮助钓鱼）
• 名称服务器
• loc记录披露
• 网站的ip地址
• 通过SRV记录在组织中运行的服务
  
  

3、使用命令检查区域传输

dig ns zonetransfer.me +noall +answer
host -t axfr zonetransfer.me intns1.zonetransfer.me

nslookup -type=ns zonetransfer.me
nslookup -query=AXFR zonetransfer.me nsztm2.digi.ninja

nslookup -type=ns zonetransfer.me
nslookup -query=AXFR zonetransfer.me nsztm2.digi.ninja

0x03 域名系统安全扩展（DSSEC）

在了解DNSSEC之前，我们需要了解DNS的基础知识。

1、DNS的功能是什么？

• DNS用于将域名转换为ip地址，反之亦然。
• DNS同时工作在TCP和UDP上，但通常在UDP端口53上工作。
• 当发送非常大的请求和响应时，例如区域传输时，使用TCP端口53。

2、为什么是DNS？

• 主机文件在长时间使用后通常是巨大的
• 需要定期手动更新
• 需要维护名称的唯一性

3、DNS是怎么工作的？

4、基本DNS术语

• 名称服务器
• 权威服务器
• 非权威/缓存服务器
• DNS查询
• 递归DNS查询
• 非递归或迭代DNS查询
• 逆查询

名称服务器：

（1）权威服务器

• 权威名称服务器是授权为您正在查询的域提供答案的官方名称服务器。
• 权威名称服务器可以是多个名称服务器。
• 基于管理方法（（主）主和从（从）），有两种类型的权威名称服务器。
• 在主名称服务器中进行更改，辅助名称服务器将从主名称服务器检索区域文件的副本。

（2）非权威/缓存服务器

DNS查询：

（1）递归DNS查询

（2）非递归或迭代dns查询

（3）逆查询

0x04 DNS协议漏洞

最初的DNS协议在设计时并没有考虑到安全性，随着互联网的发展，它变得不那么值得信任了。没有DNS数据保护机制，导致以下漏洞

• DNS数据在主服务、辅助服务、解析器或转发器、缓存服务器之间传输时可能损坏
• DNS数据可能受到危害，因为主服务器可能会将DNS记录数据发送到可能处于黑客控制中的错误的辅助服务器。
• 无法查询DNS的完整性

0x05 DNS保护机制

1、基于DNS的安全配置

• 运行更新版本的DNS软件。
• 限制查询
• 防止未授权的区域转移
• 使用最少的权限运行绑定（使用chroot）
• 随机源端口
• 配置TSIG和DNSSEC

2、双保护机制 事务签名（TSIG）和DNS安全扩展（DNSSEC）用于dns数据保护

（1）交易签章（TSIG）

• TSIG保护事务以保护区域传输和动态更新。
• TSIG确保DNS查询来自正确的位置，并且不会再传输过程中被修改。
• 在主服务器和从DNS服务器上配置共享密钥。
• TSIG是在DNS服务器（named.conf）文件中配置的，而不是在区域文件中。
• 错误的密钥不允许在区域传输，因此将记录在服务器日志中。
• 命令：dig@AXFR-k

（2）DNS安全扩展（DNSSEC）

• 通过确保资源记录是由区域管理员前面的记录，DNSSEC用于保护区域数据。
• 它通过建立信任链来保护区域数据的完整性和真实性。
• 它使用数字签名来验证区域数据。

（3）对于前面验证，DNSSEC添加新的DNS记录类型：

（4）RRset和RRSIG

（5）区域签名密钥（ZSK）

• 专用区域签名密钥用于对每个RRset进行数字签名，并将其存储在RRSIG中。
• 解析器使用公用区域签名密钥来验证存储在RRSIG中的数字签名。
• 公用区域签名密钥存储在DNSKEY记录中。
• 当DNSSEC解析器请求DNS记录(例如A)时，名称服务器也返回相应的RRSIG，然后DNSSEC解析器从名称服务器请求公共ZSK。
• 如果我们信任区域签名密钥，那么我们可以信任区域中的所有记录，但是如果区域签名密钥被破坏了怎么办？因此，为了验证公开的ZSK，我们使用了密钥签名密钥(KSK)。

（6）密钥签名密钥（KSK）

• KSK以ZSK验证RRSIG记录的方式验证区域签名密钥的DNSKEY记录。
• 私人KSK签署了公共ZSK和公共KSK，它们存储在DNSKEY记录中，并为DNSKEY创建一个RRSIG，存储公共ZSK和KSK的签名。
• 名称服务器将公共KSK存储在另一个DNSKEY记录中。
• DNSSEC解析器使用公共KSK验证公共ZSK。
• 在区域内建立信任。
• 密钥签名密钥(KSK)是由自己签名的，它不提供任何额外的信任，黑客可能会破坏区域并更改所有这些密钥。因此，为了完全信任，我们需要父级子信任，因为这个委托签名者(DS)记录是使用的。
  
  
  
  

（7）委托签字人（DS）记录

• 委托签名(DS)记录允许从父区域向子区域传输信任。
• 区域运算符对公共KSK进行散列，并将其分配给父区域，以便将哈希作为DS记录发布。
• 每当解析器与子区域连接时，父区域也共享它的DS记录，这使得父区域和子区域之间的信任。
• 父区域中的DS记录帮助解析器知道子区域已启用DNSSEC。
• 不应在子区域中添加DS记录。
  
  

（8）我们为什么要使用两个key？

信任链

• 信任链通过ZSK对委托签名者(DS)记录进行签名，就像对子密钥的任何其他RRset一样，这意味着它将签名数据存储到父服务器的RRSIG中。
• 存储的DS的数字签名存储在RRSIG记录中。
• 对于信任链，验证解析器请求“.com”获取ZSK公钥、DS和签名，以验证子KSK密钥的父区域中的散列，并验证“.com”的KSK。然后解析器询问根(.)用于DS、ZSK和签名。根也遵循相同的过程。整个验证过程会重复进行，直到我们到达父方的公共KSK为止。

（9）NSEC/NSEC 3(明确否认存在)

Example.comApi.example.comBeta.example.com
让我们假设对example.com提出了一个请求。
1.请求Dig nsec example.com2.响应响应部分example.com. 3600 IN NSEC api.example.com. A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY
3。请求dig NSEC api.example.com4.响应响应部分api.example.com. 3600 IN NSEC beta.example.com. A NS SOA MX TXT AAAA RRSIG NSEC DNSKEY

（10）DNSSEC 过程

1. 用户在浏览器中输入example.com访问网站。
2. DNS请求传输到解析器进行DNS解析。
3. 用于A记录的Resolver查询example.com名称服务器，在此查询中，解析器添加DNSSEC位，它通知名称服务器该解析器已启用DNSSEC，并且需要DNSSEC答案。
4. 名称服务器已启用DNSSEC，因此名称服务器使用“A Record”的RRSIG(用于验证目的的数字签名)的RRSIG响应“A Record”查询的答案。
5. 对于数字签名验证，解析器向名称服务器请求公钥，即DNSSEC(ZSK和KSK)记录。
6. Nameserver响应DNSSEC(ZSK和KSK)和DNSSEC记录的RRSIG。
7. DNSSEC(ZSK)记录用于验证“A记录”的RRSIG，第4步接收答案，DNSSEC(KSK)记录用于验证DNSSEC(ZSK和KSK)记录的RRSIG。
8. 对于信任链，解析器查询父(.com)的DS记录，这是example.comKSK的散列。
9. 父(.com)名称服务器使用DS记录和DS记录的RRSIG进行响应。
10. DS记录是存储在父DS记录中的子KSK的散列值。解析器通过解密数字签名并将DS记录的哈希值与解密后的RRSIG KSK哈希值进行比较来验证KSK在子协议中的RRSIG记录。
11. Resolver查询DNSKEY的.com名称服务器以验证DS记录的RRSIG。
12. Parent(.com)名称服务器使用DNSKEY(ZSK和KSK)进行响应。解析器用ZSK公钥解密DS记录的RRSIG，并验证结果。KSK的RRSIG通过KSK公钥进行验证。
13. 对于信任链，解析器询问根(.)对于(.)DS记录，它是.comKSK的散列。
14. 根名服务器使用DS记录和DS的RRSIG进行响应。DS记录用于验证(.com)的KSK。
15. 解析器查询根的DNSKEY以验证DS的RRSIG记录。
16. 根名称服务器用DNSKEY响应，解析器用根ZSK解密DS的RRSIG，并比较DS值。公开根KSK用于解密ZSK的RRSIG，并对ZSK进行信任比较。如果所有的结果都被验证，那么所有的区域和记录都是可信任的。

0x06  一些常用枚举方法

1、NSEC子域枚举工具

• ldns-walk

安装：sudo apt-get install ldnsutils命令：ldns-walk iana.org

• nsec3map
  

git clone https://github.com/anonion0/nsec3map.gitsudo apt-get install python python-dev python-dnspython libssl libssl-dev python-numpy python-scipysudo python setup.py install

• dig

kali 自带命令：dig NSEC iana.org

2、DNS记录的子域枚举

3、SPF记录

1. 如果发送IP地址在列表中，则电子邮件将通过SPF检查，邮件可能会被发送。
2. 如果发送IP不在SPF记录上，则可能不会发送。

地址：https://github.com/0xbharath/assets-from-spf安装：git clone https://github.com/0xbharath/assets-from-spf.git如果缺少库 pip安装对应库即可python assets_from_spf.py --help 

4、HTTP报头的子域枚举

curl       （kali自带）从csp中提取Https://github.com/0xbharath/domains-from-csp安装：git clone https://github.com/0xbharath/domains-from-csp.gitpip install 安装缺少库python csp_parser.py --help

0x07 实战中比较好用子域名枚举工具

1、OneForAll（国内大佬写的，非常好用，首推）

2、Sublist3r

3、subDomainBrute

4、ksubdomain(无状态域名爆破，并且快和准确)

5、massdns

6、meltego（很直观）

0x08 小结

点分享

点收藏

点点赞

点在看

本文始发于微信公众号（SecIN技术平台）：原创 | 子域名枚举的艺术—主动子域枚举