二、域名信息收集

一、关注点 & 意义

在域名信息收集阶段我们比较关注以下几个问题：

1. 域名的归属： 即我们要打的域名属于哪个企业或者哪个人。

2. 域名的衍生： 即从该域名下衍生出了多少的子域名。

3. 域名的解析： 域名只是一个名字，它终归还是要解析到一个固定的 IP（真实存在的设备）。

二、域名的归属 — 回溯至 “企业信息收集”

1，ICP 备案查询回溯

网站备案是根据国家法律法规规定，需要网站的所有者向国家有关部分申请的备案，这是国家信息产业部对网站的一种管理，为了防止在网上从事非法的网站经营活动的发生。该备案主要针对国内网站，如果网站搭建在其他国家，则不需要进行备案。
一个人只有一个备案号，如果有多个网站，就在备案号后添加 -1、-2 这种标识。所以我们可以通过拿到备案号，来查看该备案号备案了哪些网站（扩大攻击面）

备案查询在线工具：

https://icp.chinaz.com/

https://beian.miit.gov.cn/

另外，对于一些中小型站点（主办单位性质位 “个人”），域名的所有人通常就是它的管理员。那么我们如果能通过域名查找到它的域名联系人信息，是不是就大概率找到了管理员了，然后我们是不是能尝试收集域名管理员信息生成社工字典

2,Whois 查询回溯

  Whois 就是一个用于查询域名是否已被注册以及注册域名的详细信息的数据库（里面包含域名所有人、域名注册商）。

当我们申请域名的时候会填写一份表单，即什么人申请了什么域名，这份表单会存放在管理对应域名的服务商那里，whois 就是用来查这份表单的。 比如：.com 域名是由域名运营商 VeriSign 管理，.cn 域名是由 CNNIC 管理。

1) Whois 查询 — 本地工具

在 Kali Linux 系统中，Whois 是已经默认安装了的，我们只要输入想要查询的域名即可，使用方法如下：

2)Whois 查询 — 在线工具

除了上面提供的本地工具外，其实还有一堆在线站点提供 Whois 查询：

• 站长工具_whois查询工具_爱站网

• 域名Whois查询 - 站长工具

3,企业信息库回溯

通过企业信息库，我们可以很方便的定位这个域名属于哪个公司。知道了公司名称之后，我们还可以利用企业信息库查询与该公司关联的其他的子公司，或者该公司的一些产品材料的供应商。在渗透时，如果无法从总公司入手，不妨从它下面的子公司入手，采用 “供应链攻击” 的技术进行渗透。反过来也是，别忘了去看看当前域名所属公司是否是某个公司的附属公司。

企业信息收集

• 天眼查：天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统

• 企查查：企查查 - 查企业_查老板_查风险_企业信息查询系统

• 爱企查：百度安全验证

• 国家企业信用公示系统：https://www.gsxt.gov.cn/index.html

三、域名的衍生 — 子域名信息收集

一般而言，一个子域名代表了一项业务接口，所以收集子域名可以扩大我们的攻击面。

子域名的收集主要有以下三种方式：

• 字典猜解：将常见的子域名做成字典，与对方的域名拼接，来尝试获取目标子域名。

• 暴力枚举：枚举子域名每位字符的所有可能，效率比字典要低，但会更全面。

• 爬虫爬取：通过爬虫技术爬取目标站点内的链接，再提取链接内的子域名、域名信息。

在使用字典爆破的时候我们还需要注意一下域名的泛化问题，即你随便访问一个域名比如 assdkl.baidu.com 完了结果显示解析成功。你觉得有可能嘛。是有可能但是还有一个可能就是它们做了域名得泛化，即你要是输入了不在它们解析范围内的域名，它都会给你跳到一个固定的 IP 地址。

四、域名的解析 — 域名解析信息收集

    域名解析信息，即 DNS 服务器的配置信息。用户在购买了域名之后，需要去对应的服务商那里填写一张表，将自己的域名与服务器的 IP 地址关联起来。只有这样，在其它用户输入域名时，才能访问到你的那台服务器。

以下是 DNS 解析记录的常见配置项：

主机记录	记录类型	记录值	解释
@	NS	f1g1ns2.dnspod.net	NS 域名服务器记录，可将指定域名交由其他 DNS 服务商解析管理。@ 代表所有的域名
@	A	123.123.123.123	A 记录是最常用的类型，即将该域名解析到的 IPv4 地址
@	MX	mxdomain.qq.com	MX 用于邮件服务器，相关参数一般由邮件注册商提供，比如 blue17@qq.com，这个 qq.com 就是使用 MX 记录告诉邮件服务，这个用户应该到哪个邮件服务器去查找，上面自然是去 qq.com 这个域名里 MX 对应的服务商那里去找。
www	A	123.123.123.123	主机记录为 www，这个配置的是一个子域名的解析记录，即当访问 www. 域名 时，解析到 123.123.123.123 这个 IP
@	TXT	daksjdaljd-asdajdla	TXT 记录可添加附加文本信息，常用于域名验证（这个域名是你的）
@	CNAME	amazon.cn	将域名指向另一个域名地址，与其保持相同解析。比如你将 CNAME 值设为 amazon.cn，你当前的域名为 z.cn，当用户输入 z.cn 后，就会跳转到 amazon.cn 的地址。
@	AAAA	ff06:0:0:0:0:0:0:c3	将域名指向一个 IPv6 地址

本地工具:

host 命令是一个用于解析域名结果的简单程序，可以将域名转换成 IP 形式。通过设置 -t 参数，可以指定要查询的记录类型，其示例如下：

https://ftp.gnu.org/gnu/inetutils/

dig xxx.xx - 参考链接：dig命令的常见用法详解_dig使用方法-CSDN博客

dig（域信息搜索器）命令是一个用于询问 DNS 域名服务器的灵活的工具。它执行 DNS 搜索，显示从受请求的域名服务器返回的答复。多数 DNS 管理员利用 dig 作为 DNS 问题的故障诊断，因为它灵活性好、易用、输出清晰。虽然通常情况下 dig 使用命令行参数，但它也可以按批处理模式从文件读取搜索请求。不同于早期版本，dig 的 BIND9 实现允许从命令行发出多个查询。除非被告知请求特定域名服务器，dig 将尝试 /etc/resolv.conf 中列举的所有服务器。当未指定任何命令行参数或选项时，dig 将对“.”（根）执行 NS 查询。

其使用示例如下：

在线工具

• 在线域名解析记录检测-在线Nslookup域名解析查询工具

• https://sitereport.netcraft.com/

原文地址：https://blog.csdn.net/m0_73360524/article/details/147238031