不管是白帽子用于漏洞挖掘还是企业进行日常安全巡检,web 漏扫首先要问题的问题是解决扫描目标,并找准目标探测入口。
俗话说:“巧妇难为无米之炊”。纵使手握 xray 如此强大的扫描器,如果一个白帽子不能清楚的知道 web 资产的分布情况,扫描也无从下手。
xray 在最开始的时候,四处寻找一个快速、全面、准确、易用的子域名收集工具,用于集成在 xray 引擎中,最后无疾而终。
那只能自己撸起袖子开始干咯~
你与优雅的子域名收集工具之间,只有一个 license 的距离。
如何实现快、准、稳?
爆破是子域名发现的常规手段。只要对常见子域名字典进行逐一尝试,便可得到相当数量的子域名。
但其中需要注意两个问题。
为了解决上述两个棘手的问题,xray 子域名工具实践了一种新的发包策略,使域名爆破过程更加稳健。
新策略可指定多个备选的 DNS 服务器,系统会自动根据 DNS 服务器的响应速度、响应失败率等指标调节 DNS 服务器的权重值及发包速率。较高权重的 DNS 服务器承担较大数量的查询,较低权重的则作为分流,让高权重的服务器有些许“喘息”的时间。
通过该策略,DNS 请求失败率大幅度降低了。同时也减轻了网络负载,对同网络下其他扫描任务的影响降至较低水平。
域传送(DNS zone transfer)漏洞是由于对 DNS 服务器的配置不当导致的信息泄露,通过它,我们有时可以收获大量子域名。
那什么是域传送?
DNS 服务是对可用性要求很高的服务,因此 DNS 提供了一种机制,能够允许后备服务器从主服务器中拷贝信息,以保障主服务器宕机能顶替主服务器提供服务。
当主服务器未配置妥当,允许任意匿名的“后备服务器”获取信息时,域传送漏洞便产生了。
我们如何知道是否存在域传送漏洞?
前面提到,该漏洞是由于域名服务器的配置不当造成的。
所以,我们第一步需要做的是,找到我们想要探测域名的权威 DNS 服务器。我们可以通过查询 DNS 的 NS(NameServer)记录,找到管理该域名的权威 DNS 服务器。
第二步,对该 DNS 服务器发送 AXFR 请求,申请完全区域传输(Full Zone Transfer)。
此时如果运气好,你将得到该服务器所管理的所有域名信息。
简单的利用命令如下:
$ nslookup -type=NS example.com
example.com nameserver = ns.example.com
$ nslookup
> server ns.example.com
> ls
在日常运维中需要注意:常用的 DNS 服务程序(如BIND9)中,允许传送域名信息数据库至任意主机通常是默认行为,请注意 allow-transfer 等参数的配置。
相当数量的域名都指向了 Web 服务,这些服务之间又相互交织、关联。主站点到子站点的超链接、证书中的使用者可选名称、安全策略配置文件... 所有能够体现出一个站点与另一个站点之间存在关联的信息,都是我们关注的重点。
分析这些关联关系可以用很少的代价获取很多高质量的信息。通过请求分析得到的子域名,基本上是活跃且正在使用中的子域名。
xray 的子域名爆破提供了精美的报告输出,并通过前端,提供了强大的筛选能力。它可以只展示存在 WEB 站点或能正确解析到 IP 的域名,或 IP 位置信息的呈现、CNAME 的输出等,方便对域名有更直观的印象与认知。
一年时间里,我们欣慰的看到以 xray 为漏扫核心,衍生出了大量出色的安全项目。
我们因各位白帽集成 xray 所打造的趁手利器而振奋!
当然,专业的事情,要交给专业的人做。全套的信息收集功能,资产管理功能,完善的分布式部署模式等,可详询洞鉴商业版。
本文分享自 Timeline Sec 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!