一、DNS信息查询

  域名系统（英文：Domain Name System，DNS）是因特网的一项服务，它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。DNS 使用TCP和UDP端口53。

目标：sangforedu.com.cn

使用 whois 命令对该域名进行查询： whois sangforedu.com.cn。

  这里我们又发现一个新的域名：sangfor.com.cn，继续利用whois进行查询：

  其中比较重要的有邮箱、电话号码、姓名，在后期社会工程学攻击中可能有用。通过查询出的邮箱，在利用站长之家网站提供的几个域名反查工具进一步查询：

1、利用dig工具查询各类DNS的解析。

（1）直接查询域名：dig sangfor.com.cn （或者：dig @DNSServerIP domain）

（2）指向负责解析的DNS主机：dig sangfor.com.cn @8.8.8.8

（3）查询NS记录：dig sangfor.com.cn ns

（4）查询TXT记录：dig sangfor.com.cn txt

2、使用DNS子域名爆破工具，针对子域名进行爆破，同时解析出对应的IP地址。

  在github上查找subDomainsBrute工具。使用git clone命令将工具下载下来,并赋予"subDomainBrute.py"文件执行权限。

  使用命令：python3 subDomainsBrute.py --full -t 10 sangfor.com.cn -w

使用-w进行扩展扫描，增大命中概率。

  通过子域名的爆破，可以进一步明确企业网络资产（有哪些域名、域名对应什么系统、域名集中的C段地址等等），这是攻击者、防御者都需要时刻关注的方面。
扫描完成后，会在该工具同目录下，生成对应的文本文件，最终获取的子域名结果如下：

3、利用多地Ping工具，查看域名真实IP。

  一些站点为了能够让用户获得更好的体验与提高安全性，会采用CDN技术对网站进行加速，因此在使用nslookup等工具进行本地查询时，可能无法获取到网站的真实IP地址。这种情况下，通常采用多点ping对网站进行访问，查看解析结果的方式来确定是否使用CDN。

4、针对部分IP进行信息收集

  选取子域名爆破结果中多次出现的一个IP： whois 222.126.229.179

  查询出该地址所以段的相关信息，地理位置等信息，多个IP地址查询出的信息，进行交叉分析，可能会有较全面的信息内容。或者在网上采用IP地址反查，可能查出更多信息。

二、DNS域传输实验

原理

  DNS服务器分为：主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库，需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。

  若DNS服务器配置不当，可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。凭借这份网络蓝图，攻击者可以节省很少的扫描时间。

  大的互联网厂商通常将内部网络与外部互联网隔离开，一个重要的手段是使用Private DNS。如果内部DNS泄露，将造成极大的安全风险。风险控制不当甚至造成整个内部网络沦陷。

靶机：/vulhub-master/dns/dns-zone-transfer
启动命令：docker-compose up -d
docker中查看容器是否启动：docker ps

方法一

攻击机：dig @192.168.0.161 -t axfr vulhub.org

@192.168.0.161 表示指定域名解析服务器，即DNS服务器
-t axfr 表示请求类型（type）为axfr，即表示域传输请求类型
vulhub.org 表示请求的域名

  发送域传输请求后，得到了关于vulhub.org域名下所有的域名信息，证明域传输漏洞是存在。

方法二

  通过nmap扫描脚本，对vulhub.org域名进行域传输测试。命令如下：nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.0.161

• --script dns-zone-transfer.nse表示使用域传输检测脚本dns-zone-transfer.nse;
• -script-args "dns-zone-transfer.domain=vulhub.org" 配置脚本的参数，即目标域名vulhub.org;
• -Pn表示进行ping测试;
• -p 53表示指定端口，此处为53号端口。

  测试结果，与测试一结果相同，即证明域传输漏洞是存在。

三、子域名挖掘：

• subDomainBrute工具
• google hack.谷歌语法中，-www表示搜索结果中，去掉包含www字符串的结果。
• the Harvester（kali自带）
• aquatone（kali自带）

四、C段扫描

1、nmap

  在终端中使用nmap工具探测信息资产，命令：nmap –sn –PE -n 192.168.0.0/24 –oX out.xml

-sn：表示不扫描端口；
-PE：表示ICMP 扫描；
-n：表示不进行dns解析。

  查看保存路径下，已输出指定文件，文件中保存了扫描的结果。

2、masscan

  masscanC段探测命令：masscan –p 80 ip/24 --rate 10000 -oL output.txt

-p：设置端口
--rate：发包速率
-oL：输出位置

  通过vim工具，查看扫描的完整结果。
  从图中可见，当前C段中，80端口开放的主机，共计有13台主机，其中192.168.0.69主机，为我们实验当中的靶机。