Google Dorking

在全球范圍內(nèi), 尋找子域名最簡單方法之一是使用Google Dorking, 例如:可以使用以下命令來查找與目標(biāo)相關(guān)的子域:

site:*.domain.com -www

• site:domain.com:這部分告訴Google只在domain.com中搜索。
• 星號(*):這是一個通配符, 匹配domain.com的所有子域, 例如:只查找如subdomain.domain.com這樣的任何子域。
• -www:這部分排除了任何包含www的結(jié)果, 減號(-)用于否定一個搜索項, 所以在這種情況下, 它過濾掉了包含www的結(jié)果。

以下是一個使用Google Dorking子域名搜素的例子:

圖片

Sublist3r

Sublist3r(https://github.com/aboul3la/Sublist3r)是一個使用起來比較舒適的子域名搜索工具, 通過各種標(biāo)志提供了定制功能, 這些標(biāo)志可以將結(jié)果保存到文件中或掃描發(fā)現(xiàn)指定TCP端口的子域名。

如果要搜索特定的子域, 可以使用以下命令, 并使用"-d"標(biāo)志來表示枚舉的目標(biāo)域:

sublist3r -d domain.com

該工具使用界面如下:

圖片

Amass

OWASP中的Amass(https://github.com/owasp-amass/amass)是一款功能強大的工具, 它可以通過其API集成連接到其他服務(wù), 使其獲取額外的擴展功能, 下面只是介紹一下該工具的基本用法, 如以下命令:

amass enum -passive -d domain.com -o subdomains.txt

執(zhí)行該命令后, 就可以將輸出結(jié)果保存到文件中, 以下是輸出的內(nèi)容:

圖片

輸出文件生成后, 可以使用sed和grep命令來進行過濾, 以創(chuàng)建一個只包含子域名列表的干凈內(nèi)容, 命令如下:

cat output.txt | sed 's/\x1b[[0-9;]m//g' | grep -oP '(?<=\s)[a-zA-Z0-9.-].(com)' > cleaned_subdomains.txt

過濾后的文本內(nèi)容如下:

圖片

Recon-ng

Recon-ng(https://github.com/lanmaster53/recon-ng)是一款全能型OSINT偵查工具, 可以執(zhí)行各種任務(wù), 包括: 收集電子郵件, 這里只展示其搜集子域的功能, 從命令行啟動Recon-ng:

recon-ng

執(zhí)行成功后界面如下:

圖片

輸入以下命令來搜索需要使用的功能模塊:

marketplace search

搜索結(jié)果如下圖:

圖片

這里我比較感興趣的模塊是:hackertarget, 如圖:

圖片

要安裝該模塊, 輸入以下命令:

marketplace install hackertarget

如果要加載使用它, 則輸入以下命令:

modules load hackertarget

安裝完成后, 可以快速設(shè)置該模塊并枚舉子域, 如果要檢查需要設(shè)置哪些選項, 輸入:info, 而對于該模塊,只需要輸入以下命令即可開始枚舉子域:

options set SOURCE domain.com
run

命令執(zhí)行效果如圖:

圖片

掃描完成后, 輸入: show hosts, 將顯示所有已找到的子域, 如圖:

圖片

SubDomainizer

SubDomainizer(https://github.com/nsonaniya2010/SubDomainizer)不僅僅是一款子域名枚舉工具, 還可以找到其他關(guān)鍵信息,例如: API密鑰, 該工具語法簡單, 易于使用, 只需要輸入以下命令, 便可以獲取到一份干凈完整的子域名列表:

python3 SubDomainizer.py -u https://www.domain.com

執(zhí)行結(jié)果如下:

圖片

Pentest Tools Subdomain Finder

Pentest Tools Subdomain Finder(https://pentest-tools.com/information-gathering/find-subdomains-of-domain)是一款基于網(wǎng)頁的輕量級子域名枚舉工具, 使用者可以在沒有賬號的情況下執(zhí)行掃描, 但如果想要更多的掃描和更多的工具, 可以注冊一個免費賬戶使用, 以下是使用界面:

圖片

掃描完成后,獲取的結(jié)果如下圖:

圖片

Crt.sh

https://crt.sh/ 這是一個利用證書透明性收集子域名的工具, 其原理是所有SSL/TLS證書都會被記錄并公開訪問, 只需要要前往crt.sh并輸入要枚舉的域名即可,如圖:

圖片

點擊搜索以生成目標(biāo)域的子域列表, 如圖:

圖片

Shodan

Shodan(https://www.shodan.io/)Shodan可以定位子域，并提供基于Web和命令行的界面。要使用Web界面查找子域，訪問 https://www.shodan.io/domain/domain.com，將“domain.com”替換為想要枚舉的域名。

圖片

如果要從命令行使用Shodan，鍵入shodan domain domain.com，將domain.com替換為希望搜索的域名。

圖片

PureDNS

PureDNS(https://github.com/d3mondev/puredns)PureDNS可以通過啟用每秒數(shù)千個同時DNS請求來執(zhí)行快速的子域名枚舉，使用公共解析器。要查找子域名，輸入以下命令：

puredns bruteforce mywordlist.txt -r resolvers.txt domain.com -l 5000

該命令指示PureDNS為domain.com執(zhí)行暴力破解子域名枚舉，使用來自mywordlist.txt的潛在子域名列表，并通過resolvers.txt中提供的一組DNS解析器執(zhí)行DNS查詢。它限制DNS查詢的速率為每秒5000個。

圖片

完成后, 將顯示輸出結(jié)果,如圖:

圖片

ffuf

ffuf(https://github.com/ffuf/ffuf)采用更主動的方法進行枚舉。它接受一個給定的單詞列表，并通過發(fā)出HTTP/S請求檢查每個條目，從而確定哪些子域存在。

可以使用以下命令，它將對子域進行模糊搜索，將輸出文件保存為HTML，并在請求之間設(shè)置兩秒的延遲。

ffuf -w wordlist -u https://fuzz.domain.com -of html -o result -p 2

圖片