shuffledns / ksubdomain dns枚举源码学习及有效的泛解析爆破方法
前言:shuffledns / ksubdomain dns枚举源码学习及有效的泛解析爆破方法
参考文章:https://github.com/projectdiscovery/shuffledns
参考文章:https://github.com/boy-hack/ksubdomain
参考文章:https://paper.seebug.org/1292/
参考文章:https://github.com/Chora10/FuzzDomain
参考文章:https://cloud.tencent.com/developer/article/2322928
参考文章:https://www.cnblogs.com/Akkuman/p/15944671.html
ksubdomain
x
111
shuffledns
x
泛解析处理对抗
方案一
该方案是从https://github.com/Chora10/FuzzDomain中看到的
- 首先的访问一个随机并不存在的域名
{random}.baidu.com,记录其泛解析到的所有A记录
具体的细节可以从com.ms509.util.Common#getIp中看到,随机生成一个子域名的记录然后进行解析
在解析的过程中获取了该子域名对应的所有A记录,如下图所示
- 然后通过字典或者自定义规则的方式枚举域名的A记录,并与最开始的
{random}.baidu.com的A记录做对比,不同的则是存在的域名,也就是在用的域名。
在代码中的实现可以看到,根据要爆破的子域名的数据分成对应数量的线程进行枚举,init变量则是{random}.baidu.com解析到的对应所有A记录
该A记录被用于针对泛解析进行处理,如下图所示,如果枚举的子域名存在IP,那么就会和第一次解析的IP进行对比,如果不同才被认定为子域名,相同的话则被排除
注:CNAME记录也是类似,也可以根据CNAME记录来进行识别
防守方对抗防御方案:
- 使用泛解析配合DNS轮询的方式,即每次访问一个随机不存在域名
{random}.baidu.com会得到一组IP,访问另一个不存在的域名又会得到另外一组IP,
攻击方解决对抗防御方案:
- 提前收集多个官方稳定可用的dns服务器,多次枚举随机不存在域名
{random}.baidu.com,将得到的IP组保存在集合里,然后再进行枚举操作,如果枚举到的域名A记录不在该集合里,则是存在的域名,也就是在用的域名。
8.8.8.8 // Google
1.1.1.1 // Cloudflare
9.9.9.9 // Quad9
208.67.222.222 // Cisco OpenDNS
84.200.69.80 // DNS.WATCH
64.6.64.6 // Neustar DNS
8.26.56.26 // Comodo Secure DNS
205.171.3.65 // Level3
134.195.4.2 // OpenNIC
185.228.168.9 // CleanBrowsing
76.76.19.19 // Alternate DNS
37.235.1.177 // FreeDNS
77.88.8.1 // Yandex.DNS
94.140.14.140 // AdGuard
38.132.106.139 // CyberGhost
74.82.42.42 // Hurricane Electric
76.76.2.0 // ControlD
方案二
原理:在权威DNS中泛解析记录的TTL肯定是相同的,如果子域名记录相同,但TTL不同,则不是泛解析记录
func IsPanDNSRecord(record string, ttl uint32) bool {
_ttl, ok := panDNSRecords[TrimSuffixPoint(record)]
// 若记录不存在于黑名单列表,不是泛解析
// 若记录存在,且与黑名单中的 ttl 不等但都是 60(1min)的倍数,不是泛解析
if !ok || (_ttl != ttl && _ttl%60 == 0 && ttl%60 == 0) {
return false
}
return true
}
方案三
基于http获取一个不存在子域名的响应内容,并将其和字典子域名响应进行相似度比对。 超过阈值则说明是同个页面,否则则为可用子域名,并对最终子域名再次进行响应相似度对比。
浙公网安备 33010602011771号