以針對Yahoo! 的安全測試為例講解如何高效的進行子域名收集與篩選

新聞 07-21

平常我在Hackerone平台上尋找新目標時，常常會關注廠商響應信息，如果廠商響應越積極我就越感興趣。相對於響應信息很少的廠商而言，我們更能從中摸索到問題的本質。換句話說，即越是大廠越是容易挖到漏洞。不信？今天就拿Yahoo!練手。

預測

眾所周知Yahoo!是一個國際性的大廠，所以我預計其擁有大量子域名，路徑以及重定向頁面。從何處下手呢？我常使用Sublister及Fierce進行枚舉/爆破子域名。我希望能夠利用這些工具找到被遺忘，配置錯誤的或者還在使用舊版軟體運行的子域名。使用Subliste3r我獲得了超過9000條子域名信息，如何進行檢查呢？

Semi - 自動化搜索

我不信這9000多條子域名中沒有一個存在漏洞的。打開Sublist3r掃描結果，手動刪除一些無效及重複子域名。雖然我沒有進行很細緻的檢查，但仍舊還有7000多條記錄。接下來進行這些記錄進行排序，使用Nmap以更容易解析的XML方式輸出結果。

nmap -sS -p80,443 -iL nmap_input.txt -oX nmap_output

輸出XML樣例：

<hostnames> <hostname name=」start.producersdesktop.yahoo.com」 type=」user」/> <hostname name=」proxy.publish.bf1.yahoo.com」 type=」PTR」/> </hostnames> <ports><port protocol=」tcp」 portid=」80"><state state=」closed」 reason=」reset」 reason_ttl=」42"/><service name=」http」 method=」table」 conf=」3"/></port> </ports> <times srtt=」148262" rttvar=」148262" to=」741310"/> </host>

我們只能掃描Nmap命令中指定的埠，對我來說掃描結果中最有用的參數為state以及hostname name。我相信hostname name就是DNS記錄，就我以往的經驗而言，這裡有時可能會是你的ISP地址，這時你就該考慮該站點是否有進行解析的問題。我們這裡的基數比較大，扔幾百條記錄出去影響也不大。為此我寫了一個腳本，根據主機名的name參數決定是否刪除該XML條目。

import xmltree def removeHostname(): for host in root.iter("host"): for elem in host.iter(): if "name" in elem.attrib and elem.attrib["name"] == "ISP_redir_site": root.remove(host) tree.write("output.xml")

至此獲得所有開放80埠的子域名，接下來可以使用Nmap掃描這些子域名的HTML標題(?—?script http-title)，並且再次對所得數據進行除重。Yahoo!這個國際性大廠設有多語言站點，比如：

ru.search.yahoo.com br.search.yahoo.com de.stars.yahoo.com

接下來我們便是要清除這些明顯的子域名，在最後獲得的子域名中依舊有700條記錄。

枯燥的研究

接下來就是花時間仔細檢測剩下的子域名記錄了。由於不知道這些子域名之間是否還存在著共同點，所以只能手工一個一個的來測試了。測試一段時間之後，我發現某些子域名存在相似點以及可重複性。打開http://yvap.query.yahoo.com/我才發現其屬於YQL內部主機，同樣的我在http://ygh-app.media.yahoo.com/也觀察到這個信息。