文章來源｜MS08067 紅隊培訓班 第5期

本文作者：AlexD（紅隊培訓班5期學員）

按老師要求嘗試完成布置的作業如下：

被動信息收集

0x01 利用DNS數據集收集子域

有很多第三方服務聚合了大量的DNS數據集，可以通過它們來檢索子域名

（1）ip138：https://site.ip138.com/
（2）百度云觀測：http://ce.baidu.com/index/getRelatedSites?site_address=xxx.com
（3）circl：https://www.circl.lu/services/passive-dns/#passive-dns
（4）hackertarget：https://hackertarget.com/find-dns-host-records/
（5）riddler：https://riddler.io/search?q=pld:xxx.com
（6）bufferover：https://dns.bufferover.run/dns?q=.xxx.com
（7）dnsdb：https://dnsdb.io/en-us/
（8）ipv4info：http://ipv4info.com/
（9）robtex：https://www.robtex.com/dns-lookup/
（10）chinaz：https://alexa.chinaz.com/
（11）netcraft：https://searchdns.netcraft.com/
（12）securitytrails：https://docs.securitytrails.com/v1.0/reference#get-domain
（13）dnsdumpster：https://dnsdumpster.com/
（14）sitedossier：http://www.sitedossier.com/
（15）threatcrowd：https://www.threatcrowd.org/
（16）siterankdata：https://siterankdata.com/
（17）findsubdomains：https://findsubdomains.com/

通過dnsdumpster檢索子域名

通過findsubdomains檢索子域名

0x02 基于SSL證書查詢

?? 證書透明度(Certificate?Transparency)是證書授權機構的一個項目，證書授權機構會將每個SSL/TLS證書發布到公共日志中。一個SSL/TLS證書通常包含域名、子域名和郵件地址。查找某個域名所屬證書的最簡單的方法就是使用搜索引擎搜索一些公開的CT日志。

常用證書查詢的站點:

crtsh：https://crt.sh/ facebook：https://developers.facebook.com/tools/ct entrust：https://www.entrust.com/ct-search/ certspotter：https://sslmate.com/certspotter/api/ spyse：https://spyse.com/search/certificate censys：https://censys.io/certificates google：https://google.com/transparencyreport/https/ct/

通過crtsh收集子域名，只需將目標域名填入后點擊查詢即可

0x03 利用搜索引擎發現子域

常用的搜索引擎有以下四個：

（1）google
（2）baidu
（3）bing
（4）sougou
查詢語法：
根據域名搜集子域名：site：xxx.com

通過Google搜索子域名

0x04 網絡空間搜索引擎

（1）FOFA：https://fofa.so/
子域名查詢語法：domain:xxx.com
（2）zoomeye：https://www.zoomeye.org/
子域名查詢語法：site:xxx.com
（3）shodan：https://www.shodan.io/
子域名查詢語法：hostname：xxx.com
（4）quanke：https://quake.360.cn/quake/#/index
子域名查詢語法：domain:"xxx.com"

通過FOFA來搜索子域名

通過zoomeye來搜索子域名

0x05 利用威脅情報平臺數據收集子域

（1）微步：https://x.threatbook.cn/
（2）alienvault：https://otx.alienvault.com/
（3）riskiq：https://www.riskiq.com/
（4）threatminer：https://www.threatminer.org/
（5）virustotal：https://www.virustotal.com/gui/home/search

通過threatminer搜索子域名

0x06 域名備案搜集

備案號是網站是否合法注冊經營的標志，可以用網頁的備案號反查出該公司旗下的資產。

常用查詢網站：

http://www.beian.gov.cn/

https://beian.miit.gov.cn/

http://icp.chinaz.com/

主動信息收集

oneforall

項目地址：https://github.com/shmilylty/OneForAll
工具描述：oneforall是近幾年出現的比較優秀的子域名收集工具之一，目前還在不斷地進行更新優化。這款工具集成了各種域名信息收集的"姿勢"。包括利用證書透明度、常規檢查、利用網上爬蟲（正在實現）、DNS數據集、DNS查詢、威脅情報平臺、搜索引擎等

下載安裝：

git clone https://github.com/shmilylty/OneForAll.git cd OneForAll/ pip3 install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/

使用幫助：

pythonn3 oneforall.py –help

使用方法：

python oneforall.py --target xxx.com run

收集完成后會將結果以域名.cvs命名保存到results目錄下

SubdomainBrute

項目地址：

https://github.com/lijiejie/subDomainsBrute

工具描述：

李劼杰的SubdomainBrute是業內比較出名的子域名收集工具了，工具采用協程加快爆破速度，使用114DNS、百度DNS、阿里DNS這幾個快速又可靠的公共DNS進行查詢。準確率高，效果比較好。

安裝使用：

git clone https://github.com/lijiejie/subDomainsBrute.git cd subDomainsBrute/ python3 subDomainsBrute.py xxx.com

ESD

項目地址：https://github.com/FeeiCN/ESD
工具描述：ESD工具優點是爆破子域名速度快，缺點之一就是對性能要求高。
下載安裝：

git clone https://github.com/FeeiCN/ESD.git pip install esd && pip install esd --upgrade

使用命令：
# 掃描單個域名
esd -d qq.com
# debug模式掃描單個域名
esd=debug esd -d qq.com
# 掃描多個域名（英文逗號分隔）
esd --domain xxx1.com,xxx2.com
# 掃描單個域名且過濾子域名中單個特定響應內容
esd --domain mogujie.com --filter
# 掃描單個域名且過濾子域名中多個特定響應內容
esd --domain mogujie.com --filter
# 掃描文件（文件中每行一個域名）
esd --file targets.txt
# 跳過類似度對比（開啟這個選項會把全部泛解析的域名都過濾掉）
esd --domain qq.com --skip-rsc
# 使用搜索引擎進行子域名搜索（支持baidu、google、bing、yahoo，使用英文逗號分隔）
esd --domain qq.com --engines baidu,google,bing,yahoo
# 平均分割字典，加快爆破
esd --domain qq.com --split 1/4
# 使用DNS域傳送漏洞獲取子域名
esd --domain qq.com --dns-transfer
# 使用HTTPS證書透明度獲取子域名
esd --domain qq.com --ca-info

使用截圖：

ksubdomain

項目地址：https://github.com/knownsec/ksubdomain
二進制文件地址：

https://github.com/knownsec/ksubdomain/releases
在linux下，還需要安裝libpcap-dev,在Windows下需要安裝WinPcap，mac下可以直接使用。

工具描述：
ksubdomain是一款基于無狀態子域名爆破工具，支持在Windows/Linux/Mac上使用，它會很快的進行DNS爆破，在Mac和Windows上理論最大發包速度在30w/s,linux上為160w/s的速度。
常用命令：

使用內置字典爆破
ksubdomain -d seebug.org

使用字典爆破域名
ksubdomain -d seebug.org -f subdomains.dict

字典里都是域名，可使用驗證模式
ksubdomain -f dns.txt -verify

爆破三級域名
ksubdomain -d seebug.org -l 2

通過管道爆破
echo "seebug.org"|ksubdomain

通過管道驗證域名
echo "paper.seebug.org"|ksubdomain -verify

僅使用網絡API接口獲取域名
ksubdomain -d seebug.org -api

完整模式,先使用網絡API，在此基礎使用內置字典進行爆破
ksubdomain -d seebug.org -full

使用截圖：

Layer子域名挖掘機

Layer子域名挖掘機(域名查詢工具)用于網站子域名查詢，擁有簡潔的界面、簡單易上手的操作模式，有服務接口、暴力破解、同服挖掘三種模式。

使用說明：

1、如果要使用自定義字典，請把字典文件命名為dic，放到跟程序同目錄下，程序會自動加載字典。

2、如果沒有自定義字典，程序會自動使用內置字典，內置字典總共兩萬多條數據，內容包括了常用子域名，以及3000+常用單詞和1-3位所有字母

3、如果要爆破二級以下域名，可以直接填入要爆破的子域名，程序會自動拼接下一級子域。比如填入hi.baidu.com，程序會爆破。hi.baidu.com下面的域。

4、如果界面列表顯示有空白，請右鍵選擇“導出域名和IP”來導出完整列表。

使用截圖：

第三方搜集子域名網站

在線子域名查詢：https://phpinfo.me/domain/

在線子域名爆破：http://z.zcjun.com

在線子域名掃描-YoungxjTools：https://tools.yum6.cn/Tools/urlblast

在線子域名爆破：https://www.bugku.net/domain/

子域名掃描：https://www.t1h2ua.cn/tools

紅隊攻防 第5期 火熱報名中

課程費用

每期班定價2999，第五期班早鳥價：2499（前40名送499元內網知識星球名額），每個報名學員都可享受一次免費重聽后續任意一期班的權益，一次沒學懂就再來一遍！

培訓采用在線直播+隨堂錄播+作業+微信群講師解答的形式，無需等待，報名后立即進入“內網星球”開始預習。畢業推薦HW，推薦就業，有永久錄播，報一期班可免費再參加后續任意一期班，內部VIP學習群永久有效。（可開發票，支付信用卡、花唄分期）

全新課程目錄5.0版

第1天課	信息收集總體概念 被動信息收集 信息收集的總體概念以及在整個紅隊流程中的位置； 被動信息收集的基本結構和基本邏輯； 被動信息收集的常見手段（網絡空間搜索、被動信息收集工具、傳統搜索）； 被動信息收集后的信息處理； 被動信息收集工具的底層原理以及如何編寫；
第2天課	主動信息收集 信息收集完成之后的信息綜合處理 主動信息收集的基本結構和基本邏輯； 主動信息收集的常見手段（僅限掃描的nmap和掃描帶有poc的goby）； 主動信息收集后的信息處理； 主動信息收集工具的底層原理以及如何編寫； 如何將主動信息收集和被動信息收集的信息綜合處理； 收集到的信息如何銜接到下一步的紅隊流程中；
第3天課	社會工程學 社會工程學的含義以及實際應用； 社會工程學的知識體系； 社會工程學的學習方法；
第4天課	社會工程學中的交互 社會工程學中的常見釣魚方式以及應用； 社會工程學中如何根據收集到的信息利用目標的社會屬性弱點進行交互； 社會工程學中的信任獲得和信任利用方式；
第5天課	實戰中的快速審計 尋找源碼中的多種途徑； 快速查找源碼中可利用的脆弱點； 使用工具發現脆弱點；
第6天課	POC的編寫 Java類與對象的概念； Java中基礎語法的學習； POC編寫應具備的哪些條件； Idea工具的安裝；
第7天課	POC的編寫 本地IO進行內容讀寫； 網絡請求進行發包模擬； POC實戰；
第8天課	Windows內網提權 Potato家族提權；補丁提權；系統配置錯誤提權； 第三方服務提權；組策略提權；Bypassuac； 數據庫提權；令牌竊取；密碼收集提權；
第9天課	Liunx內網提權 系統內核提權；第三方服務提權； 數據庫提權；密碼收集提權； 鍵盤記錄提權；Suid提權； Sudo提權；反彈shell提權；
第10天課	內網穿透 內網穿透概述及正向代理和反向代理； 花生殼內網穿透；Frp內網穿透； Ngrok內網穿透；reGeorg+Proxifier； 向日葵代理及teamviewer； 最小化滲透概述；云函數；域前置；
第11天課	外網打點技巧和Kerberos認證原理 入口權限獲取；java中間件Nday； php集成環境；開源程序Nday； 邊界網絡設備利用；基礎服務getshell； kerberos認證；kerberos認證流程；
第12天課	域內信息收集及域信任 域內信息收集概述； 域內用戶組收集；域信任關系收集； 用戶目錄收集；預控日志收集； Arp信息收集；Tcpdump；Sshkey收集； 銘感配置讀取；網絡拓撲架構分析判斷；
第13天課	域滲透工具實操實戰 Setspn；Nslookup；AdFind； Psloggendon；360safebrowserdecrypt； SchtaskBackDoorWebshell；regeditBypassUAC；
第14天課	票據偽造、域委派攻擊、域控攻擊 PTH認證過程解析；票據偽造攻擊原理； Mimikatz實現票據偽造攻擊； 域委派原理；域委派攻擊方法； zerologin；nopac
第15天課	域林滲透 域林滲透概述和父域子域及域信任關系分析；大型域滲透思路； 預控定位；Pth噴射；域信任攻擊； 組策略漏洞；Web及系統漏洞；逃逸漏洞；
第16天課	Windows權限維持 Windows權限維持概述及隱藏技巧；關閉殺軟； 注冊表自啟動；組策略腳本； 計劃任務；服務自啟動； 內存碼；進程劫持；隱蔽隧道；
第17天課	Liunx權限維持 Liunx權限維持概述及隱藏技巧； 添加用戶；SUIDshell； SSH公私鑰；軟連接； crontab計劃任務；Strace后門；Openssh后門； 隱蔽隧道；關殺軟；
第18天課	痕跡清理 Windows操作系統的痕跡清理； Windows痕跡清理的基本思路和思考邏輯； Windows清理登錄痕跡、操作痕跡及時間痕跡； Linux操作系統的痕跡清理； Linux痕跡清理的基本思路和思考邏輯； Linux清理登錄痕跡、操作痕跡及時間痕跡；
第19天課	紅隊之反溯源 工作機器；攻擊資源；匿名攻擊； 識別反制；反溯源案例；
第20天課	Meterpreter木馬分析 反編譯meterprter源碼； 分析meterpreter源碼； 源碼級別免殺深入淺出；

第21天課	文件的免殺 免殺中使用的編程語言及相關知識基礎 程序的基本結構； c++免殺中用到的基礎； python免殺中用到的基礎； win32api基礎； 使用c++編寫最基本的socket； 使用python編寫最基本的socket；
第22天課	文件的免殺 免殺中使用的編程語言及相關知識基礎； payload的基本結構和編程語言的實戰； payload的基本結構（以MSFf和CS舉例）； c2的基本原理； 使用c++編寫最基本的shellcode加載器； 使用python編寫最基本的shellcode加載器；

第23天課	文件的免殺 殺毒軟件的基本原理以及繞過思路 針對火絨的靜態分析的特點分析及繞過思路； 針對windowsdefender的shellcode特征碼的特點分析及繞過思路； 針對360的動態分析的特點分析及繞過思路； 針對人工分析的繞過以及處理；
第24天課 第25天課 第26天課	實際紅隊案例分享、紅隊攻擊思路 紅隊模擬面試； 實際紅隊案例分享； 紅隊攻擊思路； 紅隊靶場實戰演練講解 真實環境紅藍對抗 針對國內環境下的云服務提供商的生產環境，將本期同學分為AB兩隊，每支隊伍都擁有一個目標，為了模擬真實環境將采用兩個不同的云服務提供商（不透露具體廠商），每一個環境都將開啟不同的對外公開的服務（為避免模擬本地來攻擊對方，服務的種類和數量都不相同），講師會模擬普通用戶來使用兩隊的環境，攻擊之前我會私聊AB兩隊隊長相關登錄環境，隊長也要私聊我隊員的攻擊機的公網ip方便識別是否犯規，實戰開始時向對方公布環境地址。

*大綱僅作為參考，會根據當期進度有所變化。

報名咨詢聯系小客服

掃描下方二維碼加入星球學習

加入后會邀請你進入內部微信群，內部微信群永久有效！

?

?

目前50000+人已關注加入我們

總結

以上是生活随笔為你收集整理的红队作业 | 收集xxx.com域名的所有子域名的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。