网络扫描:Maltego之域名分析

admin
admin
admin
138023
文章
113
评论
2022年4月25日02:25:42评论155 views字数 2155阅读7分11秒阅读模式
转自:计算机与网络安全

在广域网中,很多IP地址都和域名进行关联。通过分析对应的域名,可以获取更多的主机信息。本文介绍使用Maltego工具对域名进行分析。

1. 使用域名实体Domain

在Maltego中提供了一个域名实体Domain,可以用来对域名进行分析。使用时,首先需要从实体列表中拖放一个域名实体到图表中,显示结果如图1所示。
网络扫描:Maltego之域名分析
图1  域名实体

从图1中可以看到,在图表中已经添加了域名实体,默认的域名为paterva.com。此时需要将其修改为我们要分析的域名。例如,这里将选择分析百度网站的域名baidu.com。所以,修改默认的域名实体名称为baidu.com,如图2所示。
网络扫描:Maltego之域名分析
图2  指定要分析的域名

从图2中可以看到,成功修改了域名实体名称为baidu.com。接下来我们就可以使用Maltego工具提供的Transform来获取域名相关信息了,如域名的所有者、子域名等。

2. 获取域名注册商信息

每个域名都有对应的WHOIS信息。通过查询WHOIS信息,即可获取到域名的注册商信息。下面介绍获取域名所有者信息的方法。

(1)在New Graph(1)图表中选择域名实体(baidu.com)并右击,将弹出所有可以使用的Transform列表,如图3所示。
网络扫描:Maltego之域名分析
图3  选择Transform

(2)在其中选择名为To Entities from WHOIS[IBM Watson]的Transform,即可获取到该域名的注册商信息,如图4所示。
网络扫描:Maltego之域名分析
图4  获取的结果

(3)从图4中可以看到,成功获取到了域名baidu.com关联的注册商信息,包括组织名称、注册商的邮件地址、注册人及注册的电话号码。例如,该域名注册商公司为VeriSign;注册者为Register.com、注册者的电话号码为+1 800333xxxx。

3. 获取子域名及相关信息

每个域名都至少有一个子域名。通过获取域名的子域名,可以发现目标关联的其他主机信息。下面介绍获取子域名信息的方法。

(1)在New Graph(1)图表中选择域名实体并右击,将弹出所有可以使用的Transform列表,如图5所示。
网络扫描:Maltego之域名分析
图5  选择Transform

(2)选择名为[Z]Domain to Subdomains的Transform,即可获取相关的子域名,如图6所示。
网络扫描:Maltego之域名分析
图6  获取的结果

(3)从图6中可以看到,成功获取到了域名baidu.com的相关子域名,如pqdiox.www.baidu.com和cxrw.baidu.com等。从显示的结果中可以看到,这里仅获取到了几个子域名,一些经常访问的子域名没有获取到,如www.baidu.com、mp3.baidu.com等。如果想要获取这些子域名信息的话,则可以把它们整理出来并手动添加进去,然后使用连接线建立实体之间的关系。例如,这里添加一个子域名www.baidu.com。首先在实体列表中选择域名实体Domain并拖放到New Graph(1)图表中,修改域名为www.baidu.com。然后使用连接线与域名baidu.com关联起来。添加成功后,显示界面如图7所示。
网络扫描:Maltego之域名分析
图7  添加了一个子域名

当我们获取到子域名后,还可以通过该子域名来获取相关的主机地址、历史IP地址、关联的恶意软件的哈希值和对应的URL等。下面以子域名www.baidu.com为例,介绍获取子域名相关信息的方法。

(1)在New Graph(1)图表中选择子域名实体www.baidu.com并右击,将弹出所有可用的Transform列表,如图8所示。
网络扫描:Maltego之域名分析
图8  选择Transform

(2)在其中选择名为[Threat Miner]Domain to IP(pDNS)的Transform,即可获取对相关的主机IP地址,如图9所示。
网络扫描:Maltego之域名分析
图9  获取的结果

(3)从图9中即可以看到获取到子域名www.baidu.com的相关主机地址。我们还可以通过选择[DNSDB]To records with this hostname的Transform,来获取子域名相关的主机记录,结果如图10所示。
网络扫描:Maltego之域名分析
图10  获取的结果

(4)从图10中可以看到子域名的相关主机记录信息。其中,该子域名对应的IP地址有120.52.73.120、120.52.73.121等;别名为www.a.shifen.com。另外,如果想要获取该子域名的URL、关联的恶意软件的哈希值、IP地址的话,可以通过选择[Threat Miner]Domain to Samples和[Threat Miner]Domain to URI的Transform来获取,具体步骤与前面操作类似,不再赘述。获取结果如图11所示。
网络扫描:Maltego之域名分析
图11  获取的结果

(5)从图11中可以看到,成功获取到了子域名(www.baidu.com)相关的恶意程序哈希值及对应的URL地址。


如侵权请私聊公众号删文


网络扫描:Maltego之域名分析

好文推荐

网络扫描:Maltego之域名分析


应急响应的基本流程(建议收藏)

渗透测试面试近期热门题

干货|安全工程师面试题汇总

渗透工程师常用命令速查手册

Web常见漏洞描述及修复建议

流量分析与日志溯源的个人理解

规范报告中的漏洞名称以及修复建议

应急响应 | 7款WebShell扫描检测查杀工具

11个步骤完美排查Linux机器是否已经被入侵


欢迎关注 系统安全运维

原文始发于微信公众号(系统安全运维):网络扫描:Maltego之域名分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月25日02:25:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络扫描:Maltego之域名分析https://cn-sec.com/archives/938298.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息