企业级攻击面测绘Amass intel模块的深度情报挖掘实战在渗透测试或红队行动中传统子域名枚举往往只触及企业数字资产的表层。真正的高手会从组织架构、商业关系和技术基础设施三个维度构建立体化的攻击面图谱。Amass的intel模块正是这样一把瑞士军刀——它通过WHOIS历史记录、ASN归属、IP段关联等OSINT技术帮我们找出目标企业所有隐藏的关联域名。1. 为什么需要超越子域名枚举大多数安全工程师对Amass的认知停留在enum子命令的暴力破解和DNS枚举。但企业真实攻击面往往分散在子公司/收购企业的独立域名体系市场活动专用的临时域名如promo.example.com第三方服务商托管的业务系统如aws.example.net历史遗留的测试环境域名dev-archive.example.org去年某次金融行业渗透中我们通过intel模块发现目标银行竟有37个未在官网披露的关联域名其中8个存在未修复的Struts2漏洞。这种情报深度是常规子域名扫描永远无法企及的。2. Intel模块核心参数精解2.1 组织架构维度追踪amass intel -org Starfleet Corporation -whois -d starfleet.com关键参数解析-org匹配ASN描述信息中的组织名称支持模糊搜索-whois启用反向WHOIS查询找出相同注册者的历史域名典型输出示例[Intel] Found ASN: 15169 (STARFLEET-ASN - Starfleet Corporation) [Whois] New root domain: starfleet-logistics.com [Whois] New root domain: starfleet-payments.com提示企业并购时经常保留原WHOIS信息这是发现关联资产的金矿2.2 基础设施维度关联amass intel -asn 15169,15170 -cidr 192.0.2.0/24 -ip参数组合技巧-asn指定自治系统编号列表-cidr扫描特定IP段内的域名解析记录-ip显示域名对应的IP地址便于后续端口扫描企业ASN查找技巧通过whois starfleet.com获取注册ASN在bgp.he.net查询ASN详细信息收集子公司/云服务商的ASN如AWS的AS165092.3 数据源定制策略amass intel -list # 查看所有可用数据源 amass intel -include crtsh,riddler -exclude virustotal -d starfleet.com推荐数据源组合数据源类型推荐源特点证书日志crtsh覆盖HTTPS域名DNS历史passivetotal包含历史解析记录搜索引擎riddler深度爬取结果3. 实战案例跨国电商攻击面测绘假设我们需要对global-mart.com进行全面资产发现# 阶段1核心资产发现 amass intel -org Global Mart Inc -whois -d global-mart.com -o amass_intel.txt # 阶段2基础设施分析 amass intel -df amass_intel.txt -asn $(cat asns.txt) -ipv4 -json assets.json # 阶段3敏感域名筛选 cat assets.json | jq .name | select(contains(admin,api,dev))关键发现流程通过企业名称找到12个关联品牌域名基于ASN发现AWS中国区的独立部署筛选出legacy-payment.global-mart.hk高危系统4. 企业级自动化监控方案对于持续监控场景建议采用以下架构#!/bin/bash # 每日自动执行 amass intel -org $ORG_NAME -whois -dir /data/amass_db amass enum -df new_domains.txt -active -brute -oA scan_$(date %F) python3 alert.py -i scan.json -r policies.yaml关键组件说明使用-dir参数保持图数据库持久化结合-active模式验证域名存活状态自定义策略引擎识别高危资产如暴露的Kibana在最近三个月的红队演练中这套方案平均能发现比商业扫描器多41%的有效攻击面。某次针对科技公司的测试中我们甚至通过WHOIS关联找到一个被遗忘的子公司域名该域名直接暴露了VPN管理入口。
