文章來(lái)源｜MS08067 紅隊(duì)培訓(xùn)班 第5期

本文作者：AlexD（紅隊(duì)培訓(xùn)班5期學(xué)員）

按老師要求嘗試完成布置的作業(yè)如下：

被動(dòng)信息收集

0x01 利用DNS數(shù)據(jù)集收集子域

有很多第三方服務(wù)聚合了大量的DNS數(shù)據(jù)集，可以通過(guò)它們來(lái)檢索子域名

（1）ip138：https://site.ip138.com/
（2）百度云觀測(cè)：http://ce.baidu.com/index/getRelatedSites?site_address=xxx.com
（3）circl：https://www.circl.lu/services/passive-dns/#passive-dns
（4）hackertarget：https://hackertarget.com/find-dns-host-records/
（5）riddler：https://riddler.io/search?q=pld:xxx.com
（6）bufferover：https://dns.bufferover.run/dns?q=.xxx.com
（7）dnsdb：https://dnsdb.io/en-us/
（8）ipv4info：http://ipv4info.com/
（9）robtex：https://www.robtex.com/dns-lookup/
（10）chinaz：https://alexa.chinaz.com/
（11）netcraft：https://searchdns.netcraft.com/
（12）securitytrails：https://docs.securitytrails.com/v1.0/reference#get-domain
（13）dnsdumpster：https://dnsdumpster.com/
（14）sitedossier：http://www.sitedossier.com/
（15）threatcrowd：https://www.threatcrowd.org/
（16）siterankdata：https://siterankdata.com/
（17）findsubdomains：https://findsubdomains.com/

通過(guò)dnsdumpster檢索子域名

通過(guò)findsubdomains檢索子域名

0x02 基于SSL證書查詢

?? 證書透明度(Certificate?Transparency)是證書授權(quán)機(jī)構(gòu)的一個(gè)項(xiàng)目，證書授權(quán)機(jī)構(gòu)會(huì)將每個(gè)SSL/TLS證書發(fā)布到公共日志中。一個(gè)SSL/TLS證書通常包含域名、子域名和郵件地址。查找某個(gè)域名所屬證書的最簡(jiǎn)單的方法就是使用搜索引擎搜索一些公開的CT日志。

常用證書查詢的站點(diǎn):

crtsh：https://crt.sh/ facebook：https://developers.facebook.com/tools/ct entrust：https://www.entrust.com/ct-search/ certspotter：https://sslmate.com/certspotter/api/ spyse：https://spyse.com/search/certificate censys：https://censys.io/certificates google：https://google.com/transparencyreport/https/ct/

通過(guò)crtsh收集子域名，只需將目標(biāo)域名填入后點(diǎn)擊查詢即可

0x03 利用搜索引擎發(fā)現(xiàn)子域

常用的搜索引擎有以下四個(gè)：

（1）google
（2）baidu
（3）bing
（4）sougou
查詢語(yǔ)法：
根據(jù)域名搜集子域名：site：xxx.com

通過(guò)Google搜索子域名

0x04 網(wǎng)絡(luò)空間搜索引擎

（1）FOFA：https://fofa.so/
子域名查詢語(yǔ)法：domain:xxx.com
（2）zoomeye：https://www.zoomeye.org/
子域名查詢語(yǔ)法：site:xxx.com
（3）shodan：https://www.shodan.io/
子域名查詢語(yǔ)法：hostname：xxx.com
（4）quanke：https://quake.360.cn/quake/#/index
子域名查詢語(yǔ)法：domain:"xxx.com"

通過(guò)FOFA來(lái)搜索子域名

通過(guò)zoomeye來(lái)搜索子域名

0x05 利用威脅情報(bào)平臺(tái)數(shù)據(jù)收集子域

（1）微步：https://x.threatbook.cn/
（2）alienvault：https://otx.alienvault.com/
（3）riskiq：https://www.riskiq.com/
（4）threatminer：https://www.threatminer.org/
（5）virustotal：https://www.virustotal.com/gui/home/search

通過(guò)threatminer搜索子域名

0x06 域名備案搜集

備案號(hào)是網(wǎng)站是否合法注冊(cè)經(jīng)營(yíng)的標(biāo)志，可以用網(wǎng)頁(yè)的備案號(hào)反查出該公司旗下的資產(chǎn)。

常用查詢網(wǎng)站：

http://www.beian.gov.cn/

https://beian.miit.gov.cn/

http://icp.chinaz.com/

主動(dòng)信息收集

oneforall

項(xiàng)目地址：https://github.com/shmilylty/OneForAll
工具描述：oneforall是近幾年出現(xiàn)的比較優(yōu)秀的子域名收集工具之一，目前還在不斷地進(jìn)行更新優(yōu)化。這款工具集成了各種域名信息收集的"姿勢(shì)"。包括利用證書透明度、常規(guī)檢查、利用網(wǎng)上爬蟲（正在實(shí)現(xiàn)）、DNS數(shù)據(jù)集、DNS查詢、威脅情報(bào)平臺(tái)、搜索引擎等

下載安裝：

git clone https://github.com/shmilylty/OneForAll.git cd OneForAll/ pip3 install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/

使用幫助：

pythonn3 oneforall.py –help

使用方法：

python oneforall.py --target xxx.com run

收集完成后會(huì)將結(jié)果以域名.cvs命名保存到results目錄下

SubdomainBrute

項(xiàng)目地址：

https://github.com/lijiejie/subDomainsBrute

工具描述：

李劼杰的SubdomainBrute是業(yè)內(nèi)比較出名的子域名收集工具了，工具采用協(xié)程加快爆破速度，使用114DNS、百度DNS、阿里DNS這幾個(gè)快速又可靠的公共DNS進(jìn)行查詢。準(zhǔn)確率高，效果比較好。

安裝使用：

git clone https://github.com/lijiejie/subDomainsBrute.git cd subDomainsBrute/ python3 subDomainsBrute.py xxx.com

ESD

項(xiàng)目地址：https://github.com/FeeiCN/ESD
工具描述：ESD工具優(yōu)點(diǎn)是爆破子域名速度快，缺點(diǎn)之一就是對(duì)性能要求高。
下載安裝：

git clone https://github.com/FeeiCN/ESD.git pip install esd && pip install esd --upgrade

使用命令：
# 掃描單個(gè)域名
esd -d qq.com
# debug模式掃描單個(gè)域名
esd=debug esd -d qq.com
# 掃描多個(gè)域名（英文逗號(hào)分隔）
esd --domain xxx1.com,xxx2.com
# 掃描單個(gè)域名且過(guò)濾子域名中單個(gè)特定響應(yīng)內(nèi)容
esd --domain mogujie.com --filter
# 掃描單個(gè)域名且過(guò)濾子域名中多個(gè)特定響應(yīng)內(nèi)容
esd --domain mogujie.com --filter
# 掃描文件（文件中每行一個(gè)域名）
esd --file targets.txt
# 跳過(guò)類似度對(duì)比（開啟這個(gè)選項(xiàng)會(huì)把全部泛解析的域名都過(guò)濾掉）
esd --domain qq.com --skip-rsc
# 使用搜索引擎進(jìn)行子域名搜索（支持baidu、google、bing、yahoo，使用英文逗號(hào)分隔）
esd --domain qq.com --engines baidu,google,bing,yahoo
# 平均分割字典，加快爆破
esd --domain qq.com --split 1/4
# 使用DNS域傳送漏洞獲取子域名
esd --domain qq.com --dns-transfer
# 使用HTTPS證書透明度獲取子域名
esd --domain qq.com --ca-info

使用截圖：

ksubdomain

項(xiàng)目地址：https://github.com/knownsec/ksubdomain
二進(jìn)制文件地址：

https://github.com/knownsec/ksubdomain/releases
在linux下，還需要安裝libpcap-dev,在Windows下需要安裝WinPcap，mac下可以直接使用。

工具描述：
ksubdomain是一款基于無(wú)狀態(tài)子域名爆破工具，支持在Windows/Linux/Mac上使用，它會(huì)很快的進(jìn)行DNS爆破，在Mac和Windows上理論最大發(fā)包速度在30w/s,linux上為160w/s的速度。
常用命令：

使用內(nèi)置字典爆破
ksubdomain -d seebug.org

使用字典爆破域名
ksubdomain -d seebug.org -f subdomains.dict

字典里都是域名，可使用驗(yàn)證模式
ksubdomain -f dns.txt -verify

爆破三級(jí)域名
ksubdomain -d seebug.org -l 2

通過(guò)管道爆破
echo "seebug.org"|ksubdomain

通過(guò)管道驗(yàn)證域名
echo "paper.seebug.org"|ksubdomain -verify

僅使用網(wǎng)絡(luò)API接口獲取域名
ksubdomain -d seebug.org -api

完整模式,先使用網(wǎng)絡(luò)API，在此基礎(chǔ)使用內(nèi)置字典進(jìn)行爆破
ksubdomain -d seebug.org -full

使用截圖：

Layer子域名挖掘機(jī)

Layer子域名挖掘機(jī)(域名查詢工具)用于網(wǎng)站子域名查詢，擁有簡(jiǎn)潔的界面、簡(jiǎn)單易上手的操作模式，有服務(wù)接口、暴力破解、同服挖掘三種模式。

使用說(shuō)明：

1、如果要使用自定義字典，請(qǐng)把字典文件命名為dic，放到跟程序同目錄下，程序會(huì)自動(dòng)加載字典。

2、如果沒有自定義字典，程序會(huì)自動(dòng)使用內(nèi)置字典，內(nèi)置字典總共兩萬(wàn)多條數(shù)據(jù)，內(nèi)容包括了常用子域名，以及3000+常用單詞和1-3位所有字母

3、如果要爆破二級(jí)以下域名，可以直接填入要爆破的子域名，程序會(huì)自動(dòng)拼接下一級(jí)子域。比如填入hi.baidu.com，程序會(huì)爆破。hi.baidu.com下面的域。

4、如果界面列表顯示有空白，請(qǐng)右鍵選擇“導(dǎo)出域名和IP”來(lái)導(dǎo)出完整列表。

使用截圖：

第三方搜集子域名網(wǎng)站

在線子域名查詢：https://phpinfo.me/domain/

在線子域名爆破：http://z.zcjun.com

在線子域名掃描-YoungxjTools：https://tools.yum6.cn/Tools/urlblast

在線子域名爆破：https://www.bugku.net/domain/

子域名掃描：https://www.t1h2ua.cn/tools

紅隊(duì)攻防 第5期 火熱報(bào)名中

課程費(fèi)用

每期班定價(jià)2999，第五期班早鳥價(jià)：2499（前40名送499元內(nèi)網(wǎng)知識(shí)星球名額），每個(gè)報(bào)名學(xué)員都可享受一次免費(fèi)重聽后續(xù)任意一期班的權(quán)益，一次沒學(xué)懂就再來(lái)一遍！

培訓(xùn)采用在線直播+隨堂錄播+作業(yè)+微信群講師解答的形式，無(wú)需等待，報(bào)名后立即進(jìn)入“內(nèi)網(wǎng)星球”開始預(yù)習(xí)。畢業(yè)推薦HW，推薦就業(yè)，有永久錄播，報(bào)一期班可免費(fèi)再參加后續(xù)任意一期班，內(nèi)部VIP學(xué)習(xí)群永久有效。（可開發(fā)票，支付信用卡、花唄分期）

全新課程目錄5.0版

第1天課	信息收集總體概念 被動(dòng)信息收集 信息收集的總體概念以及在整個(gè)紅隊(duì)流程中的位置； 被動(dòng)信息收集的基本結(jié)構(gòu)和基本邏輯； 被動(dòng)信息收集的常見手段（網(wǎng)絡(luò)空間搜索、被動(dòng)信息收集工具、傳統(tǒng)搜索）； 被動(dòng)信息收集后的信息處理； 被動(dòng)信息收集工具的底層原理以及如何編寫；
第2天課	主動(dòng)信息收集 信息收集完成之后的信息綜合處理 主動(dòng)信息收集的基本結(jié)構(gòu)和基本邏輯； 主動(dòng)信息收集的常見手段（僅限掃描的nmap和掃描帶有poc的goby）； 主動(dòng)信息收集后的信息處理； 主動(dòng)信息收集工具的底層原理以及如何編寫； 如何將主動(dòng)信息收集和被動(dòng)信息收集的信息綜合處理； 收集到的信息如何銜接到下一步的紅隊(duì)流程中；
第3天課	社會(huì)工程學(xué) 社會(huì)工程學(xué)的含義以及實(shí)際應(yīng)用； 社會(huì)工程學(xué)的知識(shí)體系； 社會(huì)工程學(xué)的學(xué)習(xí)方法；
第4天課	社會(huì)工程學(xué)中的交互 社會(huì)工程學(xué)中的常見釣魚方式以及應(yīng)用； 社會(huì)工程學(xué)中如何根據(jù)收集到的信息利用目標(biāo)的社會(huì)屬性弱點(diǎn)進(jìn)行交互； 社會(huì)工程學(xué)中的信任獲得和信任利用方式；
第5天課	實(shí)戰(zhàn)中的快速審計(jì) 尋找源碼中的多種途徑； 快速查找源碼中可利用的脆弱點(diǎn)； 使用工具發(fā)現(xiàn)脆弱點(diǎn)；
第6天課	POC的編寫 Java類與對(duì)象的概念； Java中基礎(chǔ)語(yǔ)法的學(xué)習(xí)； POC編寫應(yīng)具備的哪些條件； Idea工具的安裝；
第7天課	POC的編寫 本地IO進(jìn)行內(nèi)容讀寫； 網(wǎng)絡(luò)請(qǐng)求進(jìn)行發(fā)包模擬； POC實(shí)戰(zhàn)；
第8天課	Windows內(nèi)網(wǎng)提權(quán) Potato家族提權(quán)；補(bǔ)丁提權(quán)；系統(tǒng)配置錯(cuò)誤提權(quán)； 第三方服務(wù)提權(quán)；組策略提權(quán)；Bypassuac； 數(shù)據(jù)庫(kù)提權(quán)；令牌竊取；密碼收集提權(quán)；
第9天課	Liunx內(nèi)網(wǎng)提權(quán) 系統(tǒng)內(nèi)核提權(quán)；第三方服務(wù)提權(quán)； 數(shù)據(jù)庫(kù)提權(quán)；密碼收集提權(quán)； 鍵盤記錄提權(quán)；Suid提權(quán)； Sudo提權(quán)；反彈shell提權(quán)；
第10天課	內(nèi)網(wǎng)穿透 內(nèi)網(wǎng)穿透概述及正向代理和反向代理； 花生殼內(nèi)網(wǎng)穿透；Frp內(nèi)網(wǎng)穿透； Ngrok內(nèi)網(wǎng)穿透；reGeorg+Proxifier； 向日葵代理及teamviewer； 最小化滲透概述；云函數(shù)；域前置；
第11天課	外網(wǎng)打點(diǎn)技巧和Kerberos認(rèn)證原理 入口權(quán)限獲取；java中間件Nday； php集成環(huán)境；開源程序Nday； 邊界網(wǎng)絡(luò)設(shè)備利用；基礎(chǔ)服務(wù)getshell； kerberos認(rèn)證；kerberos認(rèn)證流程；
第12天課	域內(nèi)信息收集及域信任 域內(nèi)信息收集概述； 域內(nèi)用戶組收集；域信任關(guān)系收集； 用戶目錄收集；預(yù)控日志收集； Arp信息收集；Tcpdump；Sshkey收集； 銘感配置讀取；網(wǎng)絡(luò)拓?fù)浼軜?gòu)分析判斷；
第13天課	域滲透工具實(shí)操實(shí)戰(zhàn) Setspn；Nslookup；AdFind； Psloggendon；360safebrowserdecrypt； SchtaskBackDoorWebshell；regeditBypassUAC；
第14天課	票據(jù)偽造、域委派攻擊、域控攻擊 PTH認(rèn)證過(guò)程解析；票據(jù)偽造攻擊原理； Mimikatz實(shí)現(xiàn)票據(jù)偽造攻擊； 域委派原理；域委派攻擊方法； zerologin；nopac
第15天課	域林滲透 域林滲透概述和父域子域及域信任關(guān)系分析；大型域滲透思路； 預(yù)控定位；Pth噴射；域信任攻擊； 組策略漏洞；Web及系統(tǒng)漏洞；逃逸漏洞；
第16天課	Windows權(quán)限維持 Windows權(quán)限維持概述及隱藏技巧；關(guān)閉殺軟； 注冊(cè)表自啟動(dòng)；組策略腳本； 計(jì)劃任務(wù)；服務(wù)自啟動(dòng)； 內(nèi)存碼；進(jìn)程劫持；隱蔽隧道；
第17天課	Liunx權(quán)限維持 Liunx權(quán)限維持概述及隱藏技巧； 添加用戶；SUIDshell； SSH公私鑰；軟連接； crontab計(jì)劃任務(wù)；Strace后門；Openssh后門； 隱蔽隧道；關(guān)殺軟；
第18天課	痕跡清理 Windows操作系統(tǒng)的痕跡清理； Windows痕跡清理的基本思路和思考邏輯； Windows清理登錄痕跡、操作痕跡及時(shí)間痕跡； Linux操作系統(tǒng)的痕跡清理； Linux痕跡清理的基本思路和思考邏輯； Linux清理登錄痕跡、操作痕跡及時(shí)間痕跡；
第19天課	紅隊(duì)之反溯源 工作機(jī)器；攻擊資源；匿名攻擊； 識(shí)別反制；反溯源案例；
第20天課	Meterpreter木馬分析 反編譯meterprter源碼； 分析meterpreter源碼； 源碼級(jí)別免殺深入淺出；

第21天課	文件的免殺 免殺中使用的編程語(yǔ)言及相關(guān)知識(shí)基礎(chǔ) 程序的基本結(jié)構(gòu)； c++免殺中用到的基礎(chǔ)； python免殺中用到的基礎(chǔ)； win32api基礎(chǔ)； 使用c++編寫最基本的socket； 使用python編寫最基本的socket；
第22天課	文件的免殺 免殺中使用的編程語(yǔ)言及相關(guān)知識(shí)基礎(chǔ)； payload的基本結(jié)構(gòu)和編程語(yǔ)言的實(shí)戰(zhàn)； payload的基本結(jié)構(gòu)（以MSFf和CS舉例）； c2的基本原理； 使用c++編寫最基本的shellcode加載器； 使用python編寫最基本的shellcode加載器；

第23天課

文件的免殺 殺毒軟件的基本原理以及繞過(guò)思路 針對(duì)火絨的靜態(tài)分析的特點(diǎn)分析及繞過(guò)思路； 針對(duì)windowsdefender的shellcode特征碼的特點(diǎn)分析及繞過(guò)思路； 針對(duì)360的動(dòng)態(tài)分析的特點(diǎn)分析及繞過(guò)思路； 針對(duì)人工分析的繞過(guò)以及處理；

第24天課 第25天課 第26天課

實(shí)際紅隊(duì)案例分享、紅隊(duì)攻擊思路 紅隊(duì)模擬面試； 實(shí)際紅隊(duì)案例分享； 紅隊(duì)攻擊思路； 紅隊(duì)靶場(chǎng)實(shí)戰(zhàn)演練講解 真實(shí)環(huán)境紅藍(lán)對(duì)抗 針對(duì)國(guó)內(nèi)環(huán)境下的云服務(wù)提供商的生產(chǎn)環(huán)境，將本期同學(xué)分為AB兩隊(duì)，每支隊(duì)伍都擁有一個(gè)目標(biāo)，為了模擬真實(shí)環(huán)境將采用兩個(gè)不同的云服務(wù)提供商（不透露具體廠商），每一個(gè)環(huán)境都將開啟不同的對(duì)外公開的服務(wù)（為避免模擬本地來(lái)攻擊對(duì)方，服務(wù)的種類和數(shù)量都不相同），講師會(huì)模擬普通用戶來(lái)使用兩隊(duì)的環(huán)境，攻擊之前我會(huì)私聊AB兩隊(duì)隊(duì)長(zhǎng)相關(guān)登錄環(huán)境，隊(duì)長(zhǎng)也要私聊我隊(duì)員的攻擊機(jī)的公網(wǎng)ip方便識(shí)別是否犯規(guī)，實(shí)戰(zhàn)開始時(shí)向?qū)Ψ焦辑h(huán)境地址。

*大綱僅作為參考，會(huì)根據(jù)當(dāng)期進(jìn)度有所變化。

報(bào)名咨詢聯(lián)系小客服

掃描下方二維碼加入星球?qū)W習(xí)

加入后會(huì)邀請(qǐng)你進(jìn)入內(nèi)部微信群，內(nèi)部微信群永久有效！

?

?

目前50000+人已關(guān)注加入我們

總結(jié)

以上是生活随笔為你收集整理的红队作业 | 收集xxx.com域名的所有子域名的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。