Web渗透之域名（子域名）收集方法

在进行Web渗透时，我们常常需要对其子域名进行收集。相对于主站来说，分站的安全会做的差一些。子域名收集大抵可以通过手工、工具或者分析搜索引擎等等方法来实现。接下来让我们看看具体可以怎么做

1.子域名猜测与测试访问

这是最简单也是比较笨的一种方法，对于 Web 子域名进行猜测，然后去浏览器访问查看是否真实存在。比如 bAIdu.com，猜测其可能有

fanyi/tieba/pay/bbs.baidu.com 等；csdn.NET，猜测其可能的子域名有 blog/download/mail/bbs.csdn.net 等，这种方法对于常见的子域名测试效果还可以。

2.搜索引擎指令查询

在搜索引擎通过搜索 “site:csdn.net” 来搜索其主要域名 csdn.net 下的子域名。利用搜索引擎查找子域名可能会有很多重复的页面和结果，我们可以利用下面的指令来进行更精确的查找：

在使用指令之前，我们先将搜索引擎做一些基本设置，将搜索结果设置一页显示 50 条，

allintext: = 搜索文本，但不包括网页标题和链接。

allinlinks: =搜索链接，不包括文本和标题。

related:URL =列出与目标 URL 地址相关的网页。这个命令对一些小众网站不适用，会偶尔搜不出东西来。

link:URL =列出某个站点的大概的外链情况.

使用“-”去掉不想看的结果，如 sitecsdn.net - blog.csdn.net

3.查询 DNS 的解析记录

查询其域名下的 mx、cname 记录，主要通过 nslookup 命令，如：

nslookup -qt=mx 163.com //查询邮箱服务器，其 mx 可以换成以下的一些参数进行查询

1

A：地址记录（Ipv4）

AAAA：地址记录（Ipv6）

AFSDB Andrew：文件系统数据库服务器记录

ATMA ATM：地址记录。

CNAME：别名记录。

HINFO：硬件配置记录，包括CPU、操作系统信息。

ISDN：域名对应的ISDN号码。

MB：存放指定邮箱的服务器。

MG：邮件组记录。

MINFO：邮件组和邮箱的信息记录。

MR：改名的邮箱记录。

MX：邮件服务器记录。

NS：名字服务器记录。

PTR：反向记录。

RP：:负责人记录。

RT：路由穿透记录。

SRV TCP：服务器信息记录。

TXT：域名对应的文本信息。

X25：域名对应的 X.25 地址记录。

4.基于DNS查询的暴力破解

目前有很多开源的工具支持子域名暴力破解，通过尝试字典+“.”+“主域名”进行测试，如字典中有 bbs/admin/manager.对baidu.com进行尝试，则会爬取 bbs baidu.com、admin baidu.com. manager.baidu.com,通过访问其地址，根据共相应状态关键字来判断是否开启和存在。

5.手工分析

通过在看主站主页及相关页面，从html代码及友情链接的地方去手工发现，作为其主域名或其他域名下的 crossdomim.xml 文件会包含一些子域名信息。