渗透测试就是不断的收集目标组织的资产,发现弱点,获得权限的过程。因此信息搜集是渗透测试的灵魂,而域名/主域名又是灵魂的核心。
什么是主域名主域名就是域名所有者自己申请的二级域名,比如jianshu.com就是主域名,www.jianshu.com就是子域名
为什么需要找主域名组织对外提供服务,需要一台机器,一个公网IP,一个服务(web服务居多)即端口, 用户需要访问组织对外的IP才能使用组织的服务,但由于IP不方便记忆,因此出现了域名,可以说域名是IP的便于记忆的别名,衍生出域名服务器一些基础服务和概念。
简单说组织对外提供服务,就需要对外暴露域名,因此主域名是否组织对外服务的入口。有了主域名,进而可以查找到组织其他的子域名(真正对外服务要使用的域名)
一个组织会有几个主域名?小的组织一个主域名就够了,多了反而不好管理 中大型组织可能有很多很多很多主域名,原因就是业务需要 每个主域名可能就是一个公司产品/产品线,是一个品牌,为啥每个品牌需要一个主域名,域名需要容易记忆,与公司产品名称相关,比如jianshu.com方便记忆,一听就是写文章的,如果用jianshu.com做视频站,就让用户百思不得其解,而且流失比较大 每个主域名是一个子公司或收购的分支机构,非常容易理解,收购来之前就存在的域名
怎样查找组织主域名主要是依赖主域名自身信息,类似爬虫一样不断的进行关联分析,获得越来越多的主域名
1.主域名whois关联分析主域名都需要申请注册,才能生效使用,注册的时候需要域名所有者提交自己的,邮箱,姓名,手机号等等信息,多个域名的所有者一般都用一套信息进行申请,主要是方便管理,并且如果域名所有者没有购买隐私保护服务(域名注册的一项服务) 任何人可以查询到这些域名信息,因此通过主域名whois就可以找到比较多的主域名。
但由于最近几年域名注册商默认就不在显示whois信息了,因此查询whois越来越难,whois的历史信息也许会越来越有价值。
2.中国特色-域名备案号关联使用中国境内的服务器,对外提供服务的域名,都需要进行备案,管理机构会给你发个备案号,并且这个备案号,会同步到IDC服务商,才允许你把服务器放到国内各种云上。 与whois关联类似,一个组织多个域名的备案,往往也是一个备案信息,通过备案信息就可以关联到更多主域
3.组织名关联感觉这个是能关联出最多的主域,而且不容易自动化,因此很多信息搜集都会在这个位置遗漏掉。域名的价值就是为组织对外提供服务,而组织一般都是以注册的公司进行存在的。公司这个组织就比较复杂,直接目的就是为了赚钱/盈利,怎样才能盈利?流入企业的钱多,流出企业的钱少,余下的就会多,企业就赚得多。 企业注册,按照我国的法律,需要提交法人,股东,手机号,邮箱,域名等信息,因此每项信息都能关联出很多同一所有者的企业名,有很多组织自己都搞不清楚自己所有的企业名列表,一般法务部门会有个专门管理的人,进行统一收口。
问题来了,组织搞那么多主体,搞死自己干嘛呢?
- 品牌建立 品牌对于组织非常重要,比如听到百度,就是搜一下,搞搜索的。一听度小满 就是搞金融的,原来叫百度金融 默默无闻,这就是品牌
- 省钱 一个大企业,通过多个主题,就变成了N个小微企业,国家对小微企业在政策上是有照顾的,你懂的。
- 独立业务 有些业务是尝试的,是灰色的,是不能告诉别人使我们在做的,比如当前阿里搞淘宝,为什么用新的域名,就是怕ebay知道是阿里搞的淘宝
- 法律责任 与独立业务相同,假如灰色变成黑色了,承担责任不会影响大局,不行就舍弃 对于员工来说,也不关心每月给我发的工资主体是谁,只关心数量有没有少,多了更好。
有了新组织名,可以发现新的备案号,通过备案号在找主域名,但是天眼查,企查查,都要花钱 才能查到更多,费钱呀。
4. IP关联域名只是别名,最终对应的是IP地址,一般IDC分给一个公司的IP是成段的,估计是方便记录吧。因此IP及IP相邻C段,反查域名会关联到新的主域名,这种方式是传统的C段旁注(使用虚拟主机的时候,多人的多个域名共用一个IP地址,搞定一个域名就可以搞定别的域名)
5.web服务指纹域名后面对应的IP,进而对应的是服务,每个组织的服务有时候是存在指纹的,比如特定的cookie 的名字,特定的返回头,一样的favicon,一样的定制错误页面等等,通过这个一般就能找到组织的IP或者主/子域名
6.服务客户端挖掘服务有很多种形式,比如PC软件、App客户端,通过搜集这些信息,找到里面与服务后台进行通信的域名,也许能够挖掘到新的主域名
7.域名后缀这个比较有意思,比如你注册了一个jianshu.com,你会不会想有一天业务做得像google一样知名,那别人抢注了jianshu.cn会导致损失很多流量,而一个域名的注册费用一年只有几十、几百,基于此你会不会将jianshu.cn,jianshu.com.cn,jianshu.org全都注册上? 注册又不用 是不是会浪费? 那就在一些边缘业务上,使用上。
8.其他发现公司的邮箱后缀与主域名不同,是不是找到了新主域名?
参考文献OWASP 测试指南 2008中文版 GB/T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法
