為了方便小伙伴們?cè)跇I(yè)余的時(shí)間研究安全行業(yè)的技能，現(xiàn)整理一個(gè)web滲透測(cè)試系列，旨在幫助游走在安全圈外的小伙伴們，更快的進(jìn)入安全圈，歡迎大家來踴躍交流。

01-收集DNS信息

WHOIS（域名數(shù)據(jù)庫(kù)查詢）

一個(gè)域名的所有者可以通過查詢WHOIS數(shù)據(jù)庫(kù)而被找到；對(duì)于大多數(shù)根域名服務(wù)器， 基本的WHOIS由ICANN維護(hù)，而WHOIS的細(xì)節(jié)則由控制那個(gè)域的域注冊(cè)機(jī)構(gòu)維護(hù)。

對(duì)于240多個(gè)國(guó)家代碼頂級(jí)域名(ccTLDs)，通常由該域名權(quán)威注冊(cè)機(jī)構(gòu)負(fù)責(zé)維護(hù)WHOIS。例如中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(China Internet Network Information Center)負(fù)責(zé) .CN 域名的WHOIS維護(hù)，香港互聯(lián)網(wǎng)注冊(cè)管理有限公司(Hong Kong Internet Registration Corporation Limited) 負(fù)責(zé) .HK 域名的WHOIS維護(hù)，臺(tái)灣網(wǎng)絡(luò)信息中心 (Taiwan Network Information Center) 負(fù)責(zé).TW 域名的WHOIS維護(hù)。

Dns服務(wù)器查詢

除了whois查詢之外，我們還可以通過host命令來查詢dns服務(wù)器，命令格式為：

host -t ns domainName

A記錄查詢

A (Address) 記錄是用來指定主機(jī)名（或域名）對(duì)應(yīng)的IP地址記錄。用戶可以將該域名下的網(wǎng)站服務(wù)器指向到自己的web server上。同時(shí)也可以設(shè)置您域名的子域名。通俗來說A記錄就是服務(wù)器的IP,域名綁定A記錄就是告訴DNS,當(dāng)你輸入域名的時(shí)候給你引導(dǎo)向設(shè)置在DNS的A記錄所對(duì)應(yīng)的服務(wù)器。

host -t a domainName

mx記錄查詢

MX記錄也叫做郵件路由記錄，用戶可以將該域名下的郵件服務(wù)器指向到自己的mail server上，然后即可自行操控所有的郵箱設(shè)置。您只需在線填寫您服務(wù)器的IP地址，即可將您域名下的郵件全部轉(zhuǎn)到您自己設(shè)定相應(yīng)的郵件服務(wù)器上。

　　簡(jiǎn)單的說，通過操作MX記錄，您才可以得到以您域名結(jié)尾的郵局。

域名枚舉

在得到主域名信息之后，如果能通過主域名得到所有子域名信息，在通過子域名查詢其對(duì)應(yīng)的主機(jī)IP，這樣我們能得到一個(gè)較為完整的信息。

dnsmap

反向地址解析

我們經(jīng)常使用到得DNS服務(wù)器里面有兩個(gè)區(qū)域，即“正向查找區(qū)域”和“反向查找區(qū)域”，正向查找區(qū)域就是我們通常所說的域名解析，反向查找區(qū)域即是這里所說的IP反向解析，它的作用就是通過查詢IP地址的PTR記錄來得到該IP地址指向的域名，當(dāng)然，要成功得到域名就必需要有該IP地址的PTR記錄。PTR記錄是郵件交換記錄的一種，郵件交換記錄中有A記錄和PTR記錄，A記錄解析名字到地址，而PTR記錄解析地址到名字。地址是指一個(gè)客戶端的IP地址，名字是指一個(gè)客戶的完全合格域名。通過對(duì)PTR記錄的查詢，達(dá)到反查的目的。

反向域名解析系統(tǒng)(Reverse DNS)的功能確保適當(dāng)?shù)泥]件交換記錄是生效的。反向域名解析與通常的正向域名解析相反，提供IP地址到域名的對(duì)應(yīng)。IP反向解析主要應(yīng)用到郵件服務(wù)器中來阻攔垃圾郵件，特別是在國(guó)外。多數(shù)垃圾郵件發(fā)送者使用動(dòng)態(tài)分配或者沒有注冊(cè)域名的IP地址來發(fā)送垃圾郵件，以逃避追蹤，使用了域名反向解析后，就可以大大降低垃圾郵件的數(shù)量。

比如你用 xxx@name.com 這個(gè)郵箱給我的郵箱 123@163.com 發(fā)了一封信。163郵件服務(wù)器接到這封信會(huì)查看這封信的信頭文件，這封信的信頭文件會(huì)顯示這封信是由哪個(gè)IP地址發(fā)出來的。然后根據(jù)這個(gè)IP地址進(jìn)行反向解析，如果反向解析到這個(gè)IP所對(duì)應(yīng)的域名是http://name.com 那么就接受這封郵件，如果反向解析發(fā)現(xiàn)這個(gè)IP沒有對(duì)應(yīng)到http://name.com，那么就拒絕這封郵件。

由于在域名系統(tǒng)中，一個(gè)IP地址可以對(duì)應(yīng)多個(gè)域名，因此從IP出發(fā)去找域名，理論上應(yīng)該遍歷整個(gè)域名樹，但這在Internet上是不現(xiàn)實(shí)的。為了完成逆向域名解析，系統(tǒng)提供一個(gè)特別域，該特別域稱為逆向解析域in-addr.arpa。這樣欲解析的IP地址就會(huì)被表達(dá)成一種像域名一樣的可顯示串形式，后綴以逆向解析域域

名"in-addr.arpa"結(jié)尾。

例如一個(gè)IP地址：222.211.233.244，其逆向域名表達(dá)方式為：244.233.221.222.in-addr.arpa

兩種表達(dá)方式中IP地址部分順序恰好相反，因?yàn)橛蛎Y(jié)構(gòu)是自底向上(從子域到域)，而IP地址結(jié)構(gòu)是自頂向下(從網(wǎng)絡(luò)到主機(jī))的。實(shí)質(zhì)上逆向域名解析是將IP地址表達(dá)成一個(gè)域名,以地址做為索引的域名空間,這樣逆向解析的很大部分可以納入正向解析中。

常用的反向解析工具為nslookup和dig。

使用dig進(jìn)行反向解析的命令格式為：

dig -x ip @dnsserver #用 dig 查看反向解析

其中dnsserver可以不用指定，默認(rèn)會(huì)使用本機(jī)配置的域名服務(wù)器進(jìn)行反向查詢。指定dsn服務(wù)器示例如下圖：

但是實(shí)際情況并不是盡如人意，查找的服務(wù)器不同，得到的結(jié)果的完整度也不同，比如上圖的兩個(gè)測(cè)試，都沒有得到想要的結(jié)果。很多時(shí)候，我們到提供反向查詢的網(wǎng)站進(jìn)行查找，可能效果會(huì)更好一點(diǎn)。

下面是在http://dns.aizhan.com/的查詢結(jié)果：

所以想要獲得完整的信息，可以多嘗試不同的工具，整合結(jié)果。很多工具無法做反向查詢的原因，在于域名所有者沒有添加反向解析記錄。

關(guān)于DNS區(qū)域傳送漏洞

很多dns探測(cè)工具，都會(huì)首先嘗試dns區(qū)域傳送，然后才是暴力枚舉，那么什么是DNS區(qū)域傳送漏洞呢？

區(qū)域傳送操作指的是一臺(tái)后備服務(wù)器使用來自主服務(wù)器的數(shù)據(jù)刷新自己的zone數(shù)據(jù)庫(kù)。這為運(yùn)行中的DNS服務(wù)提供了一定的冗余度，其目的是為了防止主域名服務(wù)器因意外故障變得不可用時(shí)影響到全局。一般來說，DNS區(qū)域傳送操作只在網(wǎng)絡(luò)里真的有后備域名DNS服務(wù)器時(shí)才有必要執(zhí)行，但許多DNS服務(wù)器卻被錯(cuò)誤地配置成只要有人發(fā)出請(qǐng)求，就會(huì)向?qū)Ψ教峁┮粋€(gè)zone數(shù)據(jù)庫(kù)的拷貝。如果所提供的信息只是與連到因特網(wǎng)上且具備有效主機(jī)名的系統(tǒng)相關(guān)，那么這種錯(cuò)誤配置不一定是壞事，盡管這使得攻擊者發(fā)現(xiàn)潛在目標(biāo)要容易得多。真正的問題發(fā)生在一個(gè)單位沒有使用公用/私用DNS機(jī)制來分割外部公用DNS信息和內(nèi)部私用DNS信息的時(shí)候，此時(shí)內(nèi)部主機(jī)名和IP地址都暴露給了攻擊者。把內(nèi)部IP地址信息提供給因特網(wǎng)上不受信任的用戶，就像是把一個(gè)單位的內(nèi)部網(wǎng)絡(luò)完整藍(lán)圖或?qū)Ш綀D奉送給了別人。

此處推薦使用dnsenum ，此款工具在解析域名的時(shí)候，會(huì)自動(dòng)檢測(cè)域傳送漏洞。

通過DNS 解析找到IP 地址。

ping命令

nslookup

dig @8.8.8.8 http://testfire.net 指定dns服務(wù)器

dig +trace http://testfire.net 獲取域名的詳細(xì)解析過程

利用站長(zhǎng)工具

http://tool.chinaz.com/dns/?type=1&host=testfire.net&ip=

以上為整理的相關(guān)DNS信息收集的一些方法與思路。

轉(zhuǎn)自：千鋒網(wǎng)絡(luò)安全學(xué)院