谈谈不为人知的 xray 子域名

无论是利用白帽子进行漏洞挖掘，还是企业进行日常安全检查，漏网扫描的首要问题就是解决扫描目标，找到目标检测入口。 \r

\r

俗话说：“巧妇难为无米之炊”。即使你有Xray一样强大的扫描仪，如果白帽子不能清楚地了解网络资产的分布，也没有办法开始扫描。 \r

\r

最开始，xray一直在寻找一个快速、全面、准确、易用、可以集成到xray引擎中的子域名采集工具，但最终无果而终。 \r

\r

那你就可以撸起袖子开始干啦~\r

\r

*您和优雅的子域名收集工具之间只有一份许可证。 *\r

\r

## 如何实现快速、准确、稳定的性能？ \r

\r

####爆炸——有一个字“稳定”\r

\r

刷子是子域名发现的常用方法。只要一一尝试常见子域名的字典，您就会获得相当数量的子域名。 \r

\r

但有两个问题需要注意。 \r

\r

- 一是：一般分析问题\r

\r

泛解析会导致不存在的子域名被解析到某个IP。为了验证是否存在泛解析的情况，我们可以尝试请求一个随机字符串构造的子域名。如果多次尝试的结果都能解析到某个IP，我们就会放弃对其子域名的大量爆破，转而采用其他手段进行分析。这时，你可以选择一个高频小词典，比较不同子域名所指向的页面的相似度，从而获得一些种子域名，以供进一步分析。 \r

\r

- 二是：高频请求单个DNS服务器导致的丢包和触发频率限制的问题\r

\r

常用的爆破方法有：\r

\r

采用多线程/协程等方式尽快向DNS服务器发起请求，辅以一定的重试机制来处理丢包。但这无疑增加了网络的负担，并且很容易导致该网络环境下其他请求的DNS解析失败。如果对带宽没有合理的控制，很容易导致链路中某个节点丢弃大量数据包，从而需要更多的重试，形成恶性循环。同时，过快的请求速率还可能触发DNS服务器的请求频率限制，表现为服务器在一定时间内突然失去响应，过一段时间后又恢复，导致子域名检测失去连续性。 \r

\r

为了解决以上两个棘手问题，xray子域名工具实现了**新的**签约策略，使域名爆破过程更加稳健。 \r

\r

新策略可以指定多个备用DNS服务器，系统会根据DNS服务器的响应速度、响应失败率等指标自动调整该DNS服务器的权重值和发包速率。权重较高的DNS 服务器承担较大数量的查询，而权重较低的DNS 服务器则起到卸载的作用，为高权重服务器提供一些“呼吸”时间。 \r

\r

通过该策略，大大降低了DNS请求失败率。同时，网络负载也减轻了，对同一网络上其他扫描任务的影响也降到了较低水平。 \r

\r

####域名转移——“最快”解决问题\r

\r

DNS区域传输漏洞是由于DNS服务器配置不当导致的信息泄露。通过它，我们有时可以收获大量的子域名。 \r

\r

那么，什么是域名转移？ \r

\r

DNS服务是一项对可用性要求很高的服务，因此DNS提供了一种机制，允许备份服务器从主服务器复制信息，以保证主服务器在宕机时能够替代主服务器提供服务。 \r

\r

当主服务器配置不正确时，就会出现域转移漏洞，允许任何匿名“备份服务器”获取信息。 \r

\r

我们如何知道是否存在域名转移漏洞？ \r

\r

前面提到，该漏洞是由于域名服务器配置不当造成的。 \r

\r

所以，我们要做的第一步就是找到我们要检测的域名的权威DNS服务器。我们可以通过查询DNS的NS（NameServer）记录来找到管理域名的权威DNS服务器。 \r

\r

第二步是向DNS 服务器发送AXFR 请求，申请Full Zone Transfer。 \r

\r

如果此时幸运的话，您将获得服务器管理的所有域名信息。 \r

\r

一个简单的使用命令如下：\r

\r

```bash\r

$ nslookup -type=NS example.com\r

example.com 名称服务器=ns.example.com\r

$nslookup\r

服务器ns.example.com\r

ls\r

````\r

\r

*日常运维注意事项：在常用的DNS服务程序（如BIND9）中，允许将域名信息数据库传输到任意主机通常是**默认行为**。请注意allow-transfer等参数的配置。 *\r

\r

####基于相关关系的分析方法，快速准确\r

\r

相当多的域名都指向Web服务，这些服务相互交织、相互关联。主站点到子站点的超链接、证书中的用户备用名称、安全策略配置文件……一切能够反映一个站点与另一个站点之间关系的信息都是我们关注的焦点。 \r

\r

分析这些相关性可以以较低的成本获得大量高质量的信息。通过请求分析得到的子域名基本都是活跃的、正在使用的子域名。 \r

\r

- 重定向分析：分析重定向响应的“header”中“Location”的值。 \r

\r

- 内容安全策略分析：`Content-Security-Policy`\r

\r

内容安全策略(CSP) 是附加的安全层，可检测和缓解某些类型的攻击，包括跨站点脚本(XSS) 和数据注入攻击。 \r

\r

配置内容安全策略包括将Content-Security-Policy HTTP 标头添加到页面并配置相应的值来控制用户代理（浏览器等）可以为该页面获取哪些资源。 \r

\r

例如：\r

\r

Content-Security-Policy: default-src 'self'; img-src *;媒体-src media1.com media2.com； script-src userscripts.example.com\r

\r

- `sitemap.xml` 分析\r

\r

- `crossdomain.xml` 分析\r

\r

- 页面分析：网站首页通常有子域名的超链接，可以提取分析。 \r

\r

- JS分析：现代前端页面往往有通过JS实现的跳转，页面引入的JS也是不可忽视的一部分。 \r

\r

- 证书分析：`https`网站使用的SSL证书包含一个名为**用户可选名称**的属性，该属性还可能包含子域信息。 \r

\r

下图是通过浏览器的查看证书功能可选的证书用户名称。 \r

\r

\r

- 爬虫分析：通过访问其他方式获取的子域名，可以不断获取新的页面进行分析，直到不再发现新的子域名时退出。这样就构成了一个简单的爬虫。 \r

\r

## 需要函数和结果\r

\r

xray的子域爆破提供了漂亮的报告输出，并通过前端提供了强大的过滤功能。只能显示有WEB站点或者可以正确解析为IP的域名，或者显示IP位置信息、CNAME输出等，方便对域名有更直观的印象和理解。 \r

\r

## 注释\r

\r

一年的时间，我们欣喜地看到以Xray为扫描核心衍生出一大批优秀的安防项目。 \r

\r

- TimWhite，xray-团队成员，结合Rad动态爬虫和xray创建了自己的分布式扫描仪，并获得了丰厚的赏金。 \r

- 安全专家V1ll4n在企业安全建设中使用xray。 Xray持续为企业安全大脑提供优质信息源。 \r

- 宜信安全/Goby等第三方安全厂商的整合也足以证明xray是值得信赖的。 \r

\r

我们对所有白帽X 射线集成商创建的有用工具感到兴奋！ \r

\r

当然，专业的事情就应该交给专业的人。全套信息采集功能、资产管理功能以及完整的分布式部署模型，详情请咨询动健商业版。