子域名 sublist3r

子域名&目錄掃描
一：子域名收集知多少？
二：常見子域盲區
三：子域收集方式（在線，軟件）
四：目錄掃描（最常見針對網站進行掃描，比如是否存在admin這個目錄）
一：子域名收集的作用
1擴大滲透測試的範圍
主站防護非常嚴密，就需要我們找到它的子域站點尋找突破口，找到目標站點的突破口（a.b.com和b.com是兩個站點，但是他們可能是在同在一個服務器，我們把a.b.com弄了就可以主站拿下來了）
2找到目標站點突破口
3業務邊界安全
（EG:baidu.com的子域站點很多，site:baidu.com 可能對某些業務不是很重視，安全就沒有那麼嚴密，這個也可以是突破口）
4迴歸初心，信息蒐集（本質就是信息蒐集，給我們提供有用的信息，對站點進行滲透測試）
二：常見子域盲區
子域打開就是404,403頁面，嘗試google語法 目錄掃描（一個案例：nosec.org/home/detail/2011.html)
註釋：http狀態碼：200開頭的都是成功 300開頭的都是重定向 400開頭的都是請求錯誤 500開頭的都是服務器錯誤
400 bad request （錯誤請求或者不存在的域名）
401 unauthorized
403 forbidden 禁止訪問
404 not found 頁面不存在
200 ok
500系列 服務器錯誤
400系列請求錯誤
300系列重定向
200系列成功
100系列消息
出現蒐集出來的子域是403,404頁面可以使用谷歌語法site:~或者目錄掃描
三：子域蒐集方法
1在線蒐集子域名
1.1 谷歌語法 通過特定站點範圍查詢子域：site:qq.com
1.2 在線爆破 在線枚舉爆破:http://phpinfo.me/domain/ (通過字典進行枚舉）
1.3 證書蒐集 基於ssl證書查詢子域: https://crt.sh/
或者: https://censys.io (search : baidu.com 他就會把基於百度的證書的ip地址顯示出來）
（現在站點有http和https的形勢，https 有ssl證書)
1.4 DNS搜索 基於dnS記錄查詢子域:https://dns.bufferover.run/dns?q=
（eg:https://dns.bufferover.run/dns?q=zkaq.org
查出來的記錄：
DNS_A
0 “149.129.88.216,zkaq.org”
1 “149.129.88.216,i.zkaq.org”
2 “149.129.88.216,hack.zkaq.org”
3 “149.129.88.216,www.zkaq.org”
4 “144.202.13.98,wwww.zkaq.org”
RDNS null null就是空的意思）
(Ip會綁定在dns服務器上，來把我們的域名解析了） 儘量不查baidu.com因爲baidu.com站點非常多，你會非常卡
DNS記錄：通過dns服務器記錄很多學生的信息
註釋：c段？
c段掃描？www.vuln.cn/8046
blog.csdn.net/baidu_33615716/article/details/77941113
zhidao.baidu.com/question.981634717986355579.html
c段子域名：？
企業備案信息: http://beian.miit.gov.cn/publish/query/indexFirst.action 點擊公共查詢 可以知道對應域名對應的公司，主辦單位性質，許可證號/網站備案，網站名稱，網站首頁網址，審覈時間，網站負責人姓名
tianyancha.com/
知道公司名字(主辦單位名稱）後可利用企查查（www.qichacha .com) 可以查企業公司信息
大數據平臺：
微步在線 (x情報社區）（輸入一個域名baidu.com 他就把所有的域名蒐集到一起了，域名上的url，子域名的數量，請把情報聚合，域名解析，子域名，whois,等等）https://x.threatbook.cn/ （這個大數據平臺查看詳細信息需要登錄，而且東西也沒有分別蒐集那麼多，詳細）
也可通過其他的在線的搜索引擎進行蒐集 eg:fofa.so google.cn github.com
site：baidu.com
2fuzzdomain工具（爆破，枚舉等得到）
2.1 sublist3r下載和使用
通過github下載相應的子域發現工具
git clone https://github.com/abou131a/Sublist3r
一：安裝模塊
sudo pip install -r requirements.txt
二：枚舉目標子域
先進入Sublist3r (cd Sublist3r)
然後輸入 python sublist3r.py -d aqlab.cn (-d 指定域名）（-p指定端口）（-o 保存搜索出來的文件）
三：枚舉子域並顯示開放80和443端口的子域
python sublist3r.py -d aqlab.cn -p 80,443
四：枚舉目標子域並保存
python sublist3r.py -d aqlab.cn -o aqlab.txt
Sublist3r使用手冊：
-d --domain Domain name to enumerate subdomains of
-b --bruteforce Enable the subbrute bruteforce module
-p --ports Scan the found subdomains against specific tcp ports
-v --verbose Enable the verbose mode and display results in realtime
-t --threads Number of threads to use for subbrute bruteforce
-e --engines Specify a comma-separated list of search engines
-o --output Save the results to text file
-h --help show the help message and exit
python2.7和Python3的共存關係難搞
2.2工具二：wydomain 下載地址：https://github.com/ring04h/wydomain
2.3工具三：teemo 下載網址：https://github.com/bit4woo/teemo
每個工具都有它的優勢，劣勢
工具雖然很方便 但是可能會有很多不全的地方，工具如果沒找出來，請通過以上其他方法進行分步search.
3用戶事件
3.1歷史漏洞
通過烏雲鏡像 （www.anquan.us) 可以查找某一個站點的歷史漏洞 （有些廠商可能修復了eg:百度，有些廠商可能並沒有修復（我們還可以對其進行測試））
3.2使用手冊，通知
學院通知：https://dwz.cn/OOWeYYy6
微信公衆號：https://dwz.cn/mjGzQOl5
站點沒用了，我們還可以找到它們的子域
還有很多其他的用戶事件。。。。。。。
目錄掃描
一：蜘蛛爬行 （robots.txt)（eg:https://baike.baidu.com/robots.txt)
頁面會顯示哪些允許爬，哪些不允許，我們也可以進入它的那些不允許我們爬取的目錄裏面看看，可能有我們需要的東西 禁止爬的目錄我們也可以去訪問一下，看看是否它真實存在eg：
有些網頁會沒有反應，它做了優化 把很多其他的東西直接跳轉到主頁eg：(https://www.zkaq.org/robots.txt）
也會有直接跳轉到404頁面的東西
（https://www.zkaq.cn/robots.txt）
robots
註釋：robots是網站跟爬蟲間的協議，用簡單直接的txt格式文本方式告訴對應的爬蟲被允許的權限，也就是說robots.txt是搜索引擎中訪問網站的時候要查看的第一個文件。當一個搜索蜘蛛訪問一個站點時，它會首先檢查該站點根目錄下是否存在robots.txt，如果存在，搜索機器人就會按照該文件中的內容來確定訪問的範圍；如果該文件不存在，所有的搜索蜘蛛將能夠訪問網站上所有沒有被口令保護的頁面。
robots.txt語法教程
用幾個最常見的情況，直接舉例說明：

1. 允許所有SE收錄本站：robots.txt爲空就可以，什麼都不要寫。
2. 禁止所有SE收錄網站的某些目錄：
   User-agent: *
   Disallow: /目錄名1/
   Disallow: /目錄名2/
   Disallow: /目錄名3/
3. 禁止某個SE收錄本站，例如禁止百度：
   User-agent: Baiduspider
   Disallow: /
4. 禁止所有SE收錄本站：
   User-agent: *
   Disallow: /
5. 加入sitemap.xml路徑,例如：
   二：目錄爆破
   通過工具進行爆破目錄
   kali下用nikto（不是很好使用）
   windows下用御劍（掃描出來目錄，進入，有zip文件可以下載，這就可能是源碼）（源碼泄露漏洞）
   源碼泄露：
   syn源碼泄露（1.1._./.svn/entries)
   .git源碼泄漏
   .hg源碼泄漏
   .DS_Store文件泄漏
   網站備份壓縮文件
   在網站的使用過程中，往往需要對網站中的文件進行修改、升級。此時就需要對網站整站或者其中某一頁面進行備份。當備份文件或者修改過程中的緩存文件因爲各種原因而被留在網站web目錄下，而該目錄又沒有設置訪問權限時，便有可能導致備份文件或者編輯器的緩存文件被下載，導致敏感信息泄露，給服務器的安全埋下隱患。
   漏洞成因及危害:
   該漏洞的成因主要有以下兩種：
   服務器管理員錯誤地將網站或者網頁的備份文件放置到服務器web目錄下。
   編輯器在使用過程中自動保存的備份文件或者臨時文件因爲各種原因沒有被刪除而保存在web目錄下。
   漏洞檢測:
   該漏洞往往會導致服務器整站源代碼或者部分頁面的源代碼被下載，利用。源代碼中所包含的各類敏感信息，如服務器數據庫連接信息，服務器配置信息等會因此而泄露，造成巨大的損失。被泄露的源代碼還可能會被用於代碼審計，進一步利用而對整個系統的安全埋下隱患。
   部分常見的網站源碼壓縮備份名：
   0.rar
   web.rar
   www.rar
   wwwroot.rar
   back.rar
   temp.rar
   backup.rar
   bbs.zip
   website.rar
   (漏洞挖掘中常見的源碼泄露）
   https://www.cnblogs.com/dsli/p/7282917.html
   https://blog.csdn.net/fly_hps/article/details/82821857
   我們滲透測試中常常使用御劍（有名氣）
   三：第三方資源
   js、sdk