如何高效的進行子域名收集與篩選？

新聞 07-19

介紹

當我在尋找Hackerone上的新目標時，我總是會去關注已解決報告的數量，因為這一更高的數字可能意味著你在這裡能夠發現漏洞的機會比在那些關閉了提交意見的程序上更為容易。正因為這個原因，所以我選擇了雅虎！

我們都知道雅虎是大型的國際公司，所以我預計其會有很多子域名，路徑和重定向，但從哪裡開始呢？這時候就要用到我最喜歡的枚舉/強化子域名工具：Sublister

（https://github.com/aboul3la/Sublist3r）和Fierce

（https://github.com/davidpepper/fierce-domain-scanner）了。我希望能夠通過他們找到那些被遺忘、錯誤配置或運行舊版本軟體的子域名。最終，Subliste3r給了我9000多個子域，但我該如何檢查它們呢？

半自動搜索

我相信在這9000個子域名中，至少會存在一個薄弱的點。因為在我看來要想記住如此大的一家公司的一切是非常困難的。當Sublist3r做了他的工作後，我打開了這一結果，並手動刪除了無用的和重複的子域名，以及那些沒有解決或沒有響應的。當然我沒有一個一個檢查，但這樣下來仍然還有7000個子域名。

接下來讓我們試試快速掃描，我想這應該有助於整理。而為了達成這一目的，我嘗試使用Nmap的輸出到XML，因為它更容易解析。

nmap -sS -p80,443 -iL nmap_input.txt -oX nmap_output

來自Nmap的示例XML輸出：

我們只能通過添加 - 打開nmap命令來掃描打開的埠。對我來說，最有用的參數是「state」和「hostname name」。我相信「hostname name」是DNS，在這種情況下，我發覺有時候有我的ISP的地址，所以我知道他們可能沒有解決這一問題。在這個基礎上，我們可以嘗試拋出另外幾百個子域。我寫了一個腳本，它能夠根據主機名的名稱刪除xml條目，並將其另存為另一個XML。

import xmltree

def removeHostname():

for host in root.iter( host ):

for elem in host.iter():

if name in elem.attrib and elem.attrib[ name ] == ISP_redir_site :

root.remove(host)tree.write( output.xml )

好的，現在我們已經有了開放80埠的所有子域名。接下來我們可以掃描nmap他們的HTML標題，並再次刪除那些有些相似的標題。

這時候該是檢查剩下的內容的時間了。我不知道如何找到其他子域之間的下一個共同點，所以我手動檢查了它們。過了一段時間，我在一些子域看到了相似性和重複性，所以實際看來比我想像的容易得多。因此這樣我就可以在http://yvap.query.yahoo.com/上找到開放的YQL內部控制台。而我進一步的探索也逐漸展示了在http://ygh-app.media.yahoo.com/上進行對Beaker實例的測試。

除了http://yvap.query.yahoo.com/v1/test/js/console_ajax.js之外的JavaScript代碼，我找不到任何有趣的東西。雖然有不止一個內部控制台，但其他內部控制台都關閉了，至少看起來像像是如此。

YQL的示例查詢是在https://query.yahooapis.com/v1/public/yql?q=show%20tables&diagnostics=true，所以我在其餘的控制台鎖定過程中也嘗試了這種方法。這意味著內部控制台的主面板已關閉，但您仍然可以通過url提交查詢。我列舉了所有的這些，並一一進行了檢查。「show tables」的命令完成了其中的大部分工作，所以我試圖走得更遠，但在我報告之後，證明其是可以公開訪問的，甚至應該說必須是。