在利用網(wǎng)絡(luò)空間搜索引擎獲取資產(chǎn)并進(jìn)行漏洞檢測(cè)時(shí)，會(huì)發(fā)現(xiàn)很多 IP 站存在漏洞，但是又無(wú)法直接證明 IP 的歸屬，通常會(huì)通過(guò) IP 反查域名，然后通過(guò)域名的備案記錄來(lái)確定歸屬，那么，如何通過(guò) IP 反查域名呢？

在此之前，先來(lái)了解下 IP 和 域名的對(duì)應(yīng)關(guān)系，下圖是來(lái)自 chatgpt 關(guān)于 IP 和域名的關(guān)系解釋：

從域名到 IP 的轉(zhuǎn)換，通過(guò) DNS 服務(wù)可以直接查詢到，屬于正向解析，但是從 IP 到域名，DNS 服務(wù)器并沒(méi)有提供這項(xiàng)服務(wù)，屬于不可逆查詢，所以才有了今天的分享。

0x01 第三方平臺(tái)反查

互聯(lián)網(wǎng)上有很多平臺(tái)通過(guò)積累自己的 DNS 記錄庫(kù)來(lái)提供反查域名的服務(wù)，有付費(fèi)平臺(tái)也有免費(fèi)平臺(tái)，這里分享幾個(gè)我已經(jīng)集成到自己腳本中的幾個(gè)平臺(tái)：

1、webscan.cc

http://api.webscan.cc/?action=query&ip=47.94.225.171

2、ip138

https://site.ip138.com/47.94.225.171/

3、rappiddns

https://rapiddns.io/sameip/

4、fofa

https://fofa.info/result?qbase64=aXA9IjQ3Ljk0LjIyNS4xNzEiICYmIGRvbWFpbiAhPSAiIg%3D%3D

5、hunter

https://hunter.qianxin.com/list?search=ip%3D%2247.94.225.171%22%26%26domain!%3D%22%22&conditions=

以上平臺(tái)是我在用的幾個(gè)，當(dāng)然，還有很多其他的平臺(tái)，這里推薦一個(gè)集成大量第三方平臺(tái)的開源工具，模仿 subfinder 開發(fā)：

https://github.com/Lengso/iplookup

0x02 基于備案號(hào)

備案號(hào)？哪里來(lái)的備案號(hào)？國(guó)內(nèi)網(wǎng)站對(duì)外提供服務(wù)均需要備案，且需要在頁(yè)面中明確寫出備案號(hào)，所以當(dāng)你發(fā)現(xiàn)一個(gè)存在漏洞的 IP 站時(shí)，不妨試試，查看主頁(yè)下是否存在備案號(hào)，不過(guò)這個(gè)不一定準(zhǔn)確，因?yàn)檎鹃L(zhǎng)偽造是一件非常容易的事兒。比如：

有了備案號(hào)之后，還要進(jìn)一步確認(rèn)，可以通過(guò)備案號(hào)進(jìn)行反查注冊(cè)的域名，這里可以使用多個(gè)平臺(tái)，比如：

https://icplishi.com/

有了主域名，我們可以組合一些常見字典，進(jìn)行 dns 枚舉，嘗試發(fā)現(xiàn)目標(biāo) IP 所對(duì)應(yīng)的域名是什么。

0x03 證書信息

你所發(fā)現(xiàn)的 IP 站不一定是 443 端口，可能并沒(méi)有綁定證書，但是該 IP 可能不僅僅只開放一個(gè) 80 端口，所以我們可以通過(guò)端口掃描的方式，探測(cè)常見的證書端口，如果存在，則獲取該證書信息，從而提取證書中綁定的域名，也是一種證明歸屬的方式。比如：

0x04 數(shù)據(jù)匯總

將之前提到的幾種方式獲取到的主域名和子域名進(jìn)行整合，先對(duì)子域名進(jìn)行解析比對(duì)，是否有包含目標(biāo) IP 的域名存在，如果不存在，則需要將所有主域名進(jìn)行整合，結(jié)合自定義的子域名字典，進(jìn)行 DNS 枚舉，從而發(fā)現(xiàn)該 IP 的真實(shí)域名。

0x05 總結(jié)

基于以上技術(shù)，我已經(jīng)實(shí)現(xiàn)了一鍵查詢腳本，在查詢到數(shù)據(jù)之后會(huì)進(jìn)行入庫(kù)，下次再次查詢將不再重新獲取，也可以通過(guò)域名枚舉的方式擴(kuò)充本地?cái)?shù)據(jù)庫(kù)，從而讓 IP 反查域名的效率翻倍，最終成果如圖：