做网站是互联网开发吗,网页可信站点,福清市住房和城乡建设局网站,郑州网站制作企业OneForAll #xff08;以下简称“OFA”#xff09;是一个非常好用的子域收集工具#xff0c;可以通过一级域名找到旗下的所有层级域名#xff0c;通过递归的方式我们很容易就能够知道此域名下的所有域名层级结构#xff0c;对于进一步通过域名推测站点功能起到非常重要的作…OneForAll 以下简称“OFA”是一个非常好用的子域收集工具可以通过一级域名找到旗下的所有层级域名通过递归的方式我们很容易就能够知道此域名下的所有域名层级结构对于进一步通过域名推测站点功能起到非常重要的作用。 声明 本文测试的站点为自家站点仅做学习使用不存在侵犯网络信息安全问题本文只介绍工具的使用并不鼓吹任何非法活动请各位看官三思而后行一切后果自负本文测试中结果虽然是真实的但涉及的敏感信息都将采用“化名”进行脱敏 1. 安装 OneForAll
OFA 安装其实非常简单我们只需到 github或 gitee中进行下载即可。
┌──(rootb8ef6c2abc47)-[/home]
└─# git clone https://github.com/shmilylty/OneForAll.git由于之前我们已经安装了 kali linux以下简称“kali”的 everything 版本因此 python2 和 python3 都已经安装完成了此时切换到 OFA 根目录就可以通过 python 命令执行。
注意OFA 需要使用 python3 来运行。在运行过程中或许会出现“cannot import name ‘sre_parse’ from ‘re’”的错误这是因为 kali 在安装 everything 的时候直接安装了高版本的 python3 了在高版本中 sre_parse 模块已经被独立移出了因此需要修改一下 exrex.py 文件那这个 exrex.py 文件究竟在哪呢
从报错信息我们可以找到是在“/usr/local/lib/python3.11/dist-packages/exrex.py”路径下那么进去修改即可如下图
try:from future_builtins import map, range
except:pass
import sre_parse
from re import U
#from re import sre_parse, U
from itertools import tee
from random import choice, randint
from types import GeneratorType还好要修改的部分还算是比较好找如上图所示将“from re import sre_parse, U”给注释掉然后额外添加“import sre_parse”和“from re import U”就可以了。
2. 根据域名收集子域
在开始之前我们先找到目标域名假设域名为“yzhcs.io”。接下来我们有两种方式可以将这个域名提供给 OFA 使用
2.1 读取文件适合多域名
将域名写到一个 txt 文件里面domain.txt明名字随便起就可以如下图
┌──(rootb8ef6c2abc47)-[/home/OneForAll]
└─# vim domain.txt┌──(rootb8ef6c2abc47)-[/home/OneForAll]
└─# cat domain.txt
yzhcs.io这里如果要扫描多个域名的情况下可以在 txt 文档里面分多行来填写每一行一个域名。接下来使用的时候只需要通过 --targets 参数将文件路径写上即可如下图
┌──(rootb8ef6c2abc47)-[/home/OneForAll]
└─# python oneforall.py --targets domain.txt2.2 直接提供适合单域名
除了文件方式也可以通过 --target 参数直接将域名提供给 OFA如下图
┌──(rootb8ef6c2abc47)-[/home/OneForAll]
└─# python oneforall.py --target yzhcs.io2.3 执行扫描
除了提供域名外我还使用了以下几个参数
–port端口扫描范围这里采用 large 参数代表大范围的端口扫描–alive是否只导出存活子域–takeover是否启用子域劫持测试
当然了只需使用“python oneforall.py -h”命令就能查看帮助文档更多的参数可以在里面找到。需要提一嘴的是目前网上大部分关于 OFA 文章的参数已经不太适用于最新的 OFA 程序了建议各位在使用之前先看看帮助文档。命令执行如下图所示
┌──(rootb8ef6c2abc47)-[/home/OneForAll]
└─# python oneforall.py --target yzhcs.io --port large --alive True --takeover True runOneForAll is a powerful subdomain integration tool___ _ _ ___ ___ ___| _|___ ___ ___| | | {v0.4.5 #dev}
| . | | -_| _| . | _| .| | |
|___|_|_|___|_| |___|_| |__,|_|_| git.io/fjHT1OneForAll is under development, please update before each use![*] Starting OneForAll 2023-08-02 11:49:4411:49:44,634 [INFOR] utils:532 - Checking dependent environment
11:49:44,634 [INFOR] utils:544 - Checking network environment
11:50:12,250 [ERROR] utils:520 - (ReadTimeoutError(HTTPSConnectionPool(hostwww.akamai.com, port443): Read timed out. (read timeout27)),)
11:50:12,252 [ALERT] utils:521 - Unable to access Internet, retrying for the 1th time
11:50:14,102 [INFOR] utils:555 - Checking for the latest version
11:50:15,109 [INFOR] utils:579 - The current version v0.4.5 is already the latest version
11:50:15,113 [INFOR] oneforall:241 - Start running OneForAll
... 此处省略 1w 字
11:53:19,143 [ALERT] takeover:161 - Takeover module takes 0.1 seconds, There are 0 subdomains exists takeover
11:53:19,144 [INFOR] takeover:163 - Subdomain takeover results: /home/OneForAll/results/takeover_check_result_1690977199.csv
11:53:19,144 [INFOR] takeover:164 - Finished Takeover module
11:53:19,144 [INFOR] oneforall:255 - Finished OneForAll扫描结果如下所示 app.yzhcs.io 域名是没有 SSL 保护且显示可以被爆破获取这个是需要注意的。
访问地址域名是否有 CDN 加速端口扫描状态扫描结果扫描返回证书供应商https://app.yzhcs.ioapp.yzhcs.io有443200OKBrutehttp://app.yzhcs.ioapp.yzhcs.io有80200OKBrutehttp://def.yzhcs.iodef.yzhcs.io无80401Unauthorized‘{“message”:“认证信息异常”}’MySSLQueryhttps://def.yzhcs.iodef.yzhcs.io无443401Unauthorized‘{“message”:“认证信息异常”}’MySSLQuery
另外“/home/OneForAll/results/”路径下的 takeover_check_result_1690977199.csv 文件中并没有任何信息反馈因此可以认定该域名下没有发现子域劫持漏洞。
3. 根据域名爆破收集子域
除了通过 python oneforall.py 的方式获取子域外OFA 还提供了单独的 brute.py 脚本进行爆破获取。所谓“爆破”据我理解就是通过字典方式进行碰撞匹配说白了就是多线程的穷举碰撞获取所有子域没有看过源码瞎猜而已。
值得注意的是 brute.py 脚本中以下几个参数的使用
–concurrent此为并发数默认 2000不要设置太高会影响到目标服务器的使用–recursive是否开启递归扫描模式若设置为 True这会根据 --depth 参数中提供的层级深度进行扫描。需要注意的是一旦扫描出错这不会继续扫描下去譬如depth 递归层级设置为 3 级那么 yzhcs.io 域名就应该扫描到三级域名若扫描到其中一个二级域名中出现 Error 后之后的其他二级域名将不会被扫描扫描程序也会停留在 Error 层级–depth递归深度默认为 2 级–word是否启用单词模式生成词典
至于其他的参数像 --fuzz 、–rule 等参数都比较少用这里就不介绍了各位可以上网搜一下能够找到的。
由于 yzhcs.io 也最多只有二级域名因此并不需要那么多参数参与扫描执行结果如下图所示
┌──(rootb8ef6c2abc47)-[/home/OneForAll]
└─# python brute.py --target yzhcs.io --word True runProcessed queries: 1721
Received packets: 1721
Progress: 100.00% (00 h 00 min 03 sec / 00 h 00 min 03 sec)
Current incoming rate: 25 pps, average: 797 pps
Current success rate: 25 pps, average: 797 pps
Finished total: 1721, success: 1721 (100.00%)
Mismatched domains: 0 (0.00%), IDs: 0 (0.00%)
Failures: 0: 53.86%, 1: 33.12%, 2: 9.88%, 3: 2.91%, 4: 0.23%, 5: 0.00%, 6: 0.00%, 7: 0.00%, 8: 0.00%, 9: 0.00%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%,
Response: | Success: | Total:
Processed queries: 95247
Received packets: 95266
Progress: 100.00% (00 h 00 min 22 sec / 00 h 00 min 22 sec)
Current incoming rate: 2 pps, average: 4239 pps
Current success rate: 2 pps, average: 4239 pps
Finished total: 95247, success: 95247 (100.00%)
Mismatched domains: 19 (0.02%), IDs: 0 (0.00%)
Failures: 0: 61.23%, 1: 22.92%, 2: 9.18%, 3: 3.82%, 4: 1.60%, 5: 0.68%, 6: 0.31%, 7: 0.15%, 8: 0.05%, 9: 0.03%, 10: 0.01%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%,
Response: | Success: | Total:
OK: | 2 ( 0.00%) | 2 ( 0.00%)
NXDOMAIN: | 68172 ( 71.57%) | 68174 ( 71.56%)
SERVFAIL: | 27073 ( 28.42%) | 27090 ( 28.44%)
REFUSED: | 0 ( 0.00%) | 0 ( 0.00%)
FORMERR: | 0 ( 0.00%) | 0 ( 0.00%)
11:21:59,613 [INFOR] brute:197 - Counting IP cname appear times
11:21:59,616 [INFOR] brute:238 - Processing result
11:21:59,618 [ALERT] brute:451 - Brute module takes 22.8 seconds, found 2 subdomains of yzhcs.io
11:21:59,649 [INFOR] brute:489 - Finished Brute module to brute yzhcs.io
11:21:59,655 [ALERT] export:66 - The subdomain result for yzhcs.io: /home/OneForAll/results/yzhcs.io.csv访问地址子域名端口爆破结果证书来源http://app.yzhcs.ioapp.yzhcs.io80OKBrutehttp://def.yzhcs.iodef.yzhcs.io80OKBrute
结果显示app 和 def 两个域名都可以被爆破获取。
4. 修复建议
既然OFA 这类工具能够通过子域劫持Subdomain Takeover从 DNS 记录中找到第三方服务或托管平台从而接管子域那么可以试试从源头 DNS 那边做一些防御措施
设置 DNS 查询频率限制在 DNS 服务器上设置查询频率限制以防止过多的 DNS 查询。这可以阻止恶意用户使用暴力破解方式来获取子域信息使用 DNSSEC使用 DNSSECDomain Name System Security Extensions来增强 DNS 的安全性。DNSSEC 可以保护 DNS 解析过程防止数据篡改和欺骗攻击限制子域查询权限只允许授权用户或合作伙伴查询子域信息。使用访问控制列表ACL或防火墙来限制 DNS 查询的来源合理设置 DNS TTL合理设置 DNS 记录的 Time-to-LiveTTL较短的 TTL 可以更快地更新 DNS 记录但会增加 DNS 查询的频率
但一般人大多是租用云服务供应商的机器进行部署基本不可能接触到基于网络层面的 DNS 防御这时只能尽力而为
使用 HTTPS确保您的项目使用 HTTPS 加密协议来保护数据传输配置防火墙和安全组在云服务器控制台中配置防火墙规则和安全组以限制对服务器的访问使用安全的数据库连接可以的话使用加密连接和凭证管理去连接数据库
