当前位置：首页 > news >正文

告别低效手动：用Amass的intel命令挖掘目标企业所有关联域名（实战演示）

news 2026/5/23 18:38:07

企业级攻击面测绘：Amass intel模块的深度情报挖掘实战

在渗透测试或红队行动中，传统子域名枚举往往只触及企业数字资产的表层。真正的高手会从组织架构、商业关系和技术基础设施三个维度构建立体化的攻击面图谱。Amass的intel模块正是这样一把瑞士军刀——它通过WHOIS历史记录、ASN归属、IP段关联等OSINT技术，帮我们找出目标企业所有"隐藏"的关联域名。

1. 为什么需要超越子域名枚举？

大多数安全工程师对Amass的认知停留在enum子命令的暴力破解和DNS枚举。但企业真实攻击面往往分散在：

子公司/收购企业的独立域名体系
市场活动专用的临时域名（如promo.example.com）
第三方服务商托管的业务系统（如aws.example.net）
历史遗留的测试环境域名（dev-archive.example.org）

去年某次金融行业渗透中，我们通过intel模块发现目标银行竟有37个未在官网披露的关联域名，其中8个存在未修复的Struts2漏洞。这种情报深度是常规子域名扫描永远无法企及的。

2. Intel模块核心参数精解

2.1 组织架构维度追踪

amass intel -org "Starfleet Corporation" -whois -d starfleet.com

关键参数解析：

-org：匹配ASN描述信息中的组织名称（支持模糊搜索）
-whois：启用反向WHOIS查询，找出相同注册者的历史域名

典型输出示例：

[Intel] Found ASN: 15169 (STARFLEET-ASN - Starfleet Corporation) [Whois] New root domain: starfleet-logistics.com [Whois] New root domain: starfleet-payments.com

提示：企业并购时经常保留原WHOIS信息，这是发现关联资产的金矿

2.2 基础设施维度关联

amass intel -asn 15169,15170 -cidr 192.0.2.0/24 -ip

参数组合技巧：

-asn：指定自治系统编号列表
-cidr：扫描特定IP段内的域名解析记录
-ip：显示域名对应的IP地址（便于后续端口扫描）

企业ASN查找技巧：

通过whois starfleet.com获取注册ASN
在bgp.he.net查询ASN详细信息
收集子公司/云服务商的ASN（如AWS的AS16509）

2.3 数据源定制策略

amass intel -list # 查看所有可用数据源 amass intel -include crtsh,riddler -exclude virustotal -d starfleet.com

推荐数据源组合：

数据源类型	推荐源	特点
证书日志	crtsh	覆盖HTTPS域名
DNS历史	passivetotal	包含历史解析记录
搜索引擎	riddler	深度爬取结果

3. 实战案例：跨国电商攻击面测绘

假设我们需要对global-mart.com进行全面资产发现：

# 阶段1：核心资产发现 amass intel -org "Global Mart Inc" -whois -d global-mart.com -o amass_intel.txt # 阶段2：基础设施分析 amass intel -df amass_intel.txt -asn $(cat asns.txt) -ipv4 -json assets.json # 阶段3：敏感域名筛选 cat assets.json | jq '.name | select(contains("admin","api","dev"))'

关键发现流程：

通过企业名称找到12个关联品牌域名
基于ASN发现AWS中国区的独立部署
筛选出legacy-payment.global-mart.hk高危系统

4. 企业级自动化监控方案

对于持续监控场景，建议采用以下架构：

#!/bin/bash # 每日自动执行 amass intel -org "$ORG_NAME" -whois -dir /data/amass_db amass enum -df new_domains.txt -active -brute -oA scan_$(date +%F) python3 alert.py -i scan.json -r policies.yaml

关键组件说明：