在渗透测试中，子域名发现是一项基础且重要的任务，常见的两种方法分别基于 DNS（域名系统） 和 主机头（Host Header）。在真实环境中，我们通常依赖 DNS 查询或爆破技术来发现目标的子域名。然而，在打靶机环境中，这种方法可能不适用，更多情况下需要依赖主机头爆破（如使用 gobuster vhost）来进行子域名发现。本文将深入解析两种方法的区别，并阐明在打靶机场景下选择 gobuster vhost 的原因和使用技巧。

---

一、通过 DNS 发现子域名

1. 方法原理

DNS 是负责将域名与 IP 地址映射的系统。通过 DNS 查询，可以获取目标域的子域名信息。主要方法包括：

DNS 枚举

• 查询 DNS 服务器的记录以获取子域名。
• 目标记录类型包括：
  • SOA（起始授权机构）记录：提供域名的基本信息。
  • NS（域名服务器）记录：列出负责解析该域的 DNS 服务器。
  • MX（邮件交换）记录：与邮件服务相关的子域。
  • AXFR（区域传输）：从 DNS 服务器复制整个域的 DNS 区域文件（需权限）。

DNS 爆破

• 利用字典攻击尝试常见的子域名前缀，如 www、mail、ftp 等。

2. 使用的协议与端口

• 协议：DNS 协议。
• 端口：
  • 默认使用 UDP 的 53 端口。
  • 在某些情况下也可以使用 TCP 的 53 端口（如 AXFR 请求）。

3. 优势与劣势

• 优点：
  • 能发现公开的子域名以及配置不当导致泄露的子域。
  • 不依赖目标 IP 地址，适用于广泛的网络环境。
• 缺点：
  • 如果目标服务器没有开放 53 端口，DNS 爆破将无法进行。
  • 需要强大的字典支持，容易漏掉非标准化的子域名。

---

二、通过主机头发现子域名

1. 方法原理

主机头是 HTTP 请求中的一部分，服务器根据 Host 头内容返回不同的资源。因此，通过修改 Host 头可以探索服务器是否支持其他子域名。常用方法包括：

基于响应内容的变化

• 发送 HTTP 请求到目标服务器的 IP 地址。
• 修改 Host 头为不同的子域名，观察服务器响应内容是否有显著差异。

基于错误信息

• 某些服务器会在 Host 头不匹配时返回特定的错误信息。
• 分析这些错误信息，可以推断潜在的子域名。

2. 使用的协议与端口

• 协议：HTTP/HTTPS 协议。
• 端口：
  • HTTP 使用 TCP 的 80 端口。
  • HTTPS 使用 TCP 的 443 端口。

3. 优势与劣势

• 优点：
  • 适用于没有公开 DNS 记录的内部子域名发现。
  • 能检测到实际运行在目标服务器上的虚拟主机。
• 缺点：
  • 依赖于目标服务器的 IP 和具体的配置。
  • 如果服务器配置严格且无错误信息泄露，效果会受限。

---

三、两种子域名发现方法的对比

特性	DNS 爆破	主机头爆破
使用协议	DNS 协议	HTTP/HTTPS 协议
依赖端口	UDP/TCP 53 端口	TCP 80/443 端口
适用场景	公开域名或企业配置的 DNS 系统	没有 DNS 服务的靶机或隐藏子域的虚拟主机
原理	通过字典枚举常见子域名并查询 DNS 解析记录	修改 HTTP 请求的 Host 头以发现虚拟主机配置
工具	gobuster dns、dnsrecon 等	gobuster vhost
优劣势	优点：适用公开子域，支持更多记录类型 缺点：依赖 DNS 服务	优点：适用隐藏子域，不依赖 DNS 缺点：需目标服务支持 HTTP

---

四、gobuster vhost 的工作原理与使用方法

1. 工作原理

gobuster vhost 是基于 HTTP/HTTPS 协议的主机头爆破工具：

• 它向目标服务器的 IP 地址发送 HTTP 请求。
• 在请求中动态修改 Host 头的值，尝试不同的子域名。
• 根据服务器的响应判断是否存在该子域名（例如响应内容不同或状态码变化）。

2. 常用参数与示例

以下命令演示了如何使用 gobuster vhost：

sudo gobuster vhost -u http://10.129.25.171 --domain crafty.htb \-w /usr/share/wordlists/seclists/Discovery/DNS/subdomains-top1million-110000.txt \--append-domain -k -r -t 100

参数详解：

• -u：目标 URL，通常使用 IP 地址。
• --domain：目标域名，将被附加到字典中的前缀。
• -w：字典路径，用于爆破子域。
• --append-domain：自动将域名附加到子域前缀。否则，完整限定域名需要在单词列表中指定。
• -k：忽略 SSL/TLS 证书验证错误。
• -r：追踪重定向。
• -t：线程数，用于加快测试速度。

---

五、使用中的注意事项

1. 靶机 IP 的正确性
   确保目标服务器的 IP 地址是可访问的，可以使用 ping 或 curl 测试连接性。

2. 字典选择
   使用适合的字典至关重要。推荐使用 Seclists 提供的子域名列表，如：

   /usr/share/wordlists/seclists/Discovery/DNS/subdomains-top1million-110000.txt
   

3. 观察 HTTP 响应
   通过分析不同子域的响应内容，可能发现隐藏服务、敏感页面或其他线索。

---

六、总结

在靶场中，由于环境的隔离性和配置的简化，传统 DNS 爆破往往无法发挥作用。这种情况下，主机头爆破工具（如 gobuster vhost）成为发现子域的首选方法。通过主机头测试，能够高效发现虚拟主机配置的子域名，为后续的渗透测试打下坚实的基础。