打造高速、全面的子域名爆破

GitHub

子域名爆破往往是渗透测试的第一步,是收集 IP 信息、脆弱点的前置条件。

之前测试了目前社区中的子域名爆破软件,都不是很满意,主要问题可归结为:

  • 速度慢
  • 结果不全
  • 对泛解析的未做处理或处理方式过于粗暴
  1. 速度慢

DNS 协议简单,查询流程简单,大部分语言库中也都有 DNS 查询相关的函数。而子域名爆破实际就是对每个子域名进行 DNS 查询,若存在相应解析记录则证明该子域名存在。伪代码如下:

with open("dict.txt") as fd:
    for line in fd:
        subdomain = line.strip() + "." + domain
        client = dns.client(dns_server_addr)
        record = client.recolve(subdomain)
        if record:
            log.info(subdomain, record)

一般通过多线程/多进程的方式将查询并发进行,这样做存在的问题有:

  • 多线程/多进程并发的上限取决于系统的文件描述符的限制(linux 默认为 1024,可手动调整:ulimit -n),这使得实际网络 IO 速度远远小于上下行带宽限制。
  • 每次查询都是基于一个完整的 socket 连接,处理连接、等待 IO 造成了大量不必要的时间、性能开销。

解决办法参考了 masscan/zmap 的无状态思路:对于每个 DNS socket 连接,开启两个协程:一个协程负责发送,另一个负责接收。伪代码:

client = dns.client(dns_server_addr)

go func(){
    with open("dict.txt") as fd:
        for line in fd:
            subdomain = line.strip() + "." + domain
            client.send(subdomain)
            time.sleep(delay)
}()

while True:
    record = client.recv()
    if record.valid:
        log.info(record)

测试环境下开启 20 个 DNS socket 连接时,每秒可查询近 10000 域名,通过调整连接数与发送间隔,可打满上下行带宽。

  1. 结果不全

单纯依赖字典必定会导致爆破结果不全,可以通过采集网上的一些域名接口,如 hackertarget.com、ptrarchive.com 等来丰富爆破结果。

  1. 泛解析

泛解析一直都是域名爆破中的大问题,目前的解决思路是根据确切不存在的子域名记录(md5(domain).domain)获取黑名单 IP,对爆破过程的结果进行黑名单过滤。

但这种宽泛的过滤很容易导致漏报,如泛解析记录为 1.1.1.1,但某存在子域名也指向 1.1.1.1,此时这个子域名便可能会被黑名单过滤掉。

胖学弟提到,可以将 TTL 也作为黑名单规则的一部分,评判的依据是:在权威 DNS 中,泛解析记录的 TTL 肯定是相同的,如果子域名记录相同,但 TTL 不同,那这条记录可以说肯定不是泛解析记录。最终的判断代码如下:

// IsPanDNSRecord 是否为泛解析记录
func IsPanDNSRecord(record string, ttl uint32) bool {
    _ttl, ok := panDNSRecords[TrimSuffixPoint(record)]
    // 若记录不存在于黑名单列表,不是泛解析
    // 若记录存在,且与黑名单中的 ttl 不等但都是 60(1min)的倍数,不是泛解析
    if !ok || (_ttl != ttl && _ttl%60 == 0 && ttl%60 == 0) {
        return false
    }

    return true
}