面向渗透测试和SRC的之子域名挖掘技巧

在公司企业安全建设中，就子域名的一些想法。只是对于我司而已，可能不通用，因地制宜。

0x01 前言

由于现实的种种原因，我们不可能将所有子域名放到内网中或者绑定白名单IP访问，所以如果灰黑产人员发现不到公司的敏感子域名，那么就该子域名而言，被攻击的可能性就会降低那么一点、风险也自然会减少一点。

好了，这就是我目前针对公司子域名这块的想法，具体落地到怎么做的，大家可以私聊我，我给你个IP，如果你发现了除www之外的其他这个IP上的其他子域名，会有大红包哦～ 多个域名多一个红包！绝对童叟无欺！

0x02 通过子域名挖掘方法

2.1 APP、公众号、小程序

• APP：商家APP、后台管理APP、业务APP、用户APP等等
• 小程序：微信小程序、支付宝小程序
• 公众号：微信公众号、支付宝公众号、生活号、企业号、QQ公众号
• APP、小程序、公众号对应的管理后台（自建、托管）【划重点：因为很多企业的这些管理后台的域名用的并不是这个企业下面的】

2.2 企业信息

• 根据企业名、公司名、注册信息、邮箱等
• 根据企业证书
• 根据标识字段，比如请求头标示，比如server，特殊header字段，特殊body字段

• 企业备案号、反查
• 企业同开发者APP、域名（SSL、Github、Coding、字典、DNS、API）、IP（IP段）

这里说一些根据企业信息的。大部分安全人员都用过通过网络空间搜索引擎搜索过企业的IP、IP段，这里我说一个更广泛、更真实有效的方法。

首先漏洞挖掘的过程中我们肯定会找到不止一个企业的真实IP，找到真实IP之后访问：http://ipwhois.cnnic.net.cn/index.jsp

填入IP

会搜索到该IP的所有注册信息

这信息就很多了，比如根据网络名称，然后再搜索

搜索到的IP均为该公司的IP，注意看右边的栏，这个长度肯定不止一两个啦，哈哈哈

2.3 C段

搜索引擎：

• Google
• Bing
• Yandex
• DuckDuckGo

网络空间搜索引擎：

• FOFA
• Shodan
• ZoomEye

这里以普通的搜索引擎为例，自己根据习惯，结合点搜索语法即可

2.4 业务

• 新业务
• 收购业务
• 商家服务
• 第三方合作业务
• CSP

这里说一下CSP好了，其实CSP和一些JS中经常会暴露公司相关的域名的，所以要多留意下请求包

2.5 接口

• 测试平台
• 测试群
• 开发者群
• 开发者文档
• 历史版本、旧接口、历史APP、旧平台

这里说下我最近新思考到的一个点，由于现在很多企业都将大部分精力放在了移动端和智能IOT端，所以很多域名不再是简单的www、admin这种了。以典型的APP端为例，如果经常测试APP的话会发现，APP中的域名大部分都是xxx-api，api-xxx这种类型，这种类型的子域名通过搜索引擎、普通的爆破、DNS等这些很难发现，再加上如果在在APP上做些加固，又无法抓包，这样就无法得知这些子域名了。那我们怎么办呢？

很简单，用最原始的方法解决最新的问题，哈哈哈。

最开始大佬们搜子域名应该使用最多的就是字典爆破了，那我们自定义个爆破脚本就行了呀，哈哈哈

2.6 IOT

• 网关、路由
• IOT设备
• 接口、服务、平台、APP、管理后台

这里推一下老东家的产品，伏特漏洞扫描云平台，被动流量模式测试APP、IOT设备爽的一批，同时也可以落地到SDL中的测试环节中，大家有兴趣可以去了解下。

2.7 盲打

• 请求头自动添加盲打XSS代码、Dnslog代码等
• 图片使用Dnslog地址
• 短信XSS盲打
• SSRF获取C段

这里说下短信XSS的。处在用户信息泛滥的时代，大家可能每个人每天都会收到各种垃圾短信，花一毛钱给他回复下呢？

2.8 其他值得关注的点

• API
• JS文件
• 黑产情报
• 容器、大数据、云平台
• 平台差异化

0x03 >_<

关于APP加固、灰黑产对抗、一个人企业安全建设之路这些，后续会一点点分享出来哦，感谢大家的关注啦。