附：完整笔记目录~
ps：本人小白，笔记均在个人理解基础上整理，若有错误欢迎指正！

2.1 域名信息收集

1. 引子：上一章介绍了服务器的信息收集。本篇则介绍在面对存在Web资产企业时，其域名信息该如何收集。

2. 域名信息
   先简单介绍一下域名：往往使用简单易记的名称，去标识互联网中网站或服务的地址。也就是说域名信息，实际就是目标企业在互联网中所提供服务的地址信息。
   那我们该怎样去收集目标的域名信息呢？

3. 备案查询
   几乎所有国内正规&商用Web服务，在上线前均需先进行备案，备案通过后才可正式使用。若已知目标备案信息，则可通过官方&第三方在线平台去查询其备案信息下所对应的所有Web服务。
   以官方平台为例：

   1. 前提：需要得知备案信息
      

      一般备案信息在Web服务最下方，主要通过备案号去查询。

   2. 官方备案查询平台：https://beian.miit.gov.cn/#/Integrated/recordQuery

   3. 在查询平台中输入备案号
      

   附：第三方备案查询平台，https://www.beianx.cn/search。

4. 产权查询
   企业往往会将其旗下在互联网中的服务（如Web、App、小程序）视为其知识产权。若已知企业名称，则可通过在线平台对其旗下互联网产权进行查询。
   常见查询平台，如小蓝本，https://sou.xiaolanben.com/pc、爱企查，https://aiqicha.baidu.com/等。我们以小米为例：

   1. 在小蓝本中搜索：北京小米科技有限责任公司。
   2. 随后可以看到，其所记录小米公司的相关产权。
      

5. 子域名信息
   上文所说的域名信息收集，是指收集目标的主域名信息。但一个主域名下往往会存在很多子域名，用于区分不同内容&服务。而往往一个业务系统的很多功能，都是在其子域下实现的，很多功能意味者很多测试点，因此子域名信息收集也是Web信息收集很重要的一部分。
   下面列举几种常见子域名信息收集的方法，

6. 浏览器语法查询
   若使用Google浏览器，则可通过浏览器语法对子域进行查询。
   以百度为例，Google搜索：site:baidu.com ，其含义为搜索baidu.com的相关地址。
   
   可以看到，搜索结果均为百度子站。

7. DNS查询
   借助在线平台，通过其平台数据库存储的主域历史dns解析记录，去获取主域下的更多子域信息。
   在线DNS查询平台：https://dnsdumpster.com/，查询小迪上课案例（某车之家）：
   
   补：这里再补一个在线子域查询平台，https://www.dnsgrep.cn/subdomain，实现原理应该同上。

8. 子域名枚举
   通过字典进行子域构造，再通过DNS服务器对这些子域进行查询，从而获取能够被解析的子域。
   使用本地工具进行子域名枚举：

   1. TscanPlus
      无影集成了子域名枚举功能，但默认线程速度较慢。
      
      配置选项
      
      部分枚举结果展示。
   2. ksubdomain（github：https://github.com/boy-hack/ksubdomain）
      内置字典10w余行，支持验证与枚举，且枚举速度极快。同样使用小迪上课案例：
      
      可以看到，1分半爆了19w条子域。

   Q：我们可以看到，无论是在线平台还是本地工具，都能获取到很多子域，那这些子域都是有效信息吗？
   A：当然不是，这往往是由于DNS泛解析配置引起的，泛解析会使某一主域下所有未明确指定的子域（无论其子域是否存在）都指向同一ip。因此获取到这些能被DNS解析的子域后，还需借助工具依次对这些域名进行访问，进一步筛选出有价值的域名。

9. 证书查询
   当域名在使用Https协议时，需要配置证书，而同一主域下所使用的证书往往相同。因此可通过查询主域证书信息来获取更多的子域信息。
   在线证书查询平台：https://crt.sh/，案例同上
   

10. 网络空间测绘&威胁情报感知
    实际都是通过搜索在线资产测绘平台去获取主域下更多的子域。常见的测绘平台，fofa、hunter、quake等，情报感知平台，微步在线等。

11. JS提取
    前端JS文件中会含有很多子域，这些子域往往用于API通信，但同样也是我们获取子域信息的一种途径。
    可以手工搜索前端JS所存在子域，也可借助浏览器插件实现。这里以FindSomething插件为例，目标同上