Google Dorking

在全球范圍內(nèi), 尋找子域名最簡(jiǎn)單方法之一是使用Google Dorking, 例如:可以使用以下命令來(lái)查找與目標(biāo)相關(guān)的子域:

site:*.domain.com -www

• site:domain.com:這部分告訴Google只在domain.com中搜索。
• 星號(hào)(*):這是一個(gè)通配符, 匹配domain.com的所有子域, 例如:只查找如subdomain.domain.com這樣的任何子域。
• -www:這部分排除了任何包含www的結(jié)果, 減號(hào)(-)用于否定一個(gè)搜索項(xiàng), 所以在這種情況下, 它過(guò)濾掉了包含www的結(jié)果。

以下是一個(gè)使用Google Dorking子域名搜素的例子:

圖片

Sublist3r

Sublist3r(https://github.com/aboul3la/Sublist3r)是一個(gè)使用起來(lái)比較舒適的子域名搜索工具, 通過(guò)各種標(biāo)志提供了定制功能, 這些標(biāo)志可以將結(jié)果保存到文件中或掃描發(fā)現(xiàn)指定TCP端口的子域名。

如果要搜索特定的子域, 可以使用以下命令, 并使用"-d"標(biāo)志來(lái)表示枚舉的目標(biāo)域:

sublist3r -d domain.com

該工具使用界面如下:

圖片

Amass

OWASP中的Amass(https://github.com/owasp-amass/amass)是一款功能強(qiáng)大的工具, 它可以通過(guò)其API集成連接到其他服務(wù), 使其獲取額外的擴(kuò)展功能, 下面只是介紹一下該工具的基本用法, 如以下命令:

amass enum -passive -d domain.com -o subdomains.txt

執(zhí)行該命令后, 就可以將輸出結(jié)果保存到文件中, 以下是輸出的內(nèi)容:

圖片

輸出文件生成后, 可以使用sed和grep命令來(lái)進(jìn)行過(guò)濾, 以創(chuàng)建一個(gè)只包含子域名列表的干凈內(nèi)容, 命令如下:

cat output.txt | sed 's/\x1b[[0-9;]m//g' | grep -oP '(?<=\s)[a-zA-Z0-9.-].(com)' > cleaned_subdomains.txt

過(guò)濾后的文本內(nèi)容如下:

圖片

Recon-ng

Recon-ng(https://github.com/lanmaster53/recon-ng)是一款全能型OSINT偵查工具, 可以執(zhí)行各種任務(wù), 包括: 收集電子郵件, 這里只展示其搜集子域的功能, 從命令行啟動(dòng)Recon-ng:

recon-ng

執(zhí)行成功后界面如下:

圖片

輸入以下命令來(lái)搜索需要使用的功能模塊:

marketplace search

搜索結(jié)果如下圖:

圖片

這里我比較感興趣的模塊是:hackertarget, 如圖:

圖片

要安裝該模塊, 輸入以下命令:

marketplace install hackertarget

如果要加載使用它, 則輸入以下命令:

modules load hackertarget

安裝完成后, 可以快速設(shè)置該模塊并枚舉子域, 如果要檢查需要設(shè)置哪些選項(xiàng), 輸入:info, 而對(duì)于該模塊,只需要輸入以下命令即可開(kāi)始枚舉子域:

options set SOURCE domain.com
run

命令執(zhí)行效果如圖:

圖片

掃描完成后, 輸入: show hosts, 將顯示所有已找到的子域, 如圖:

圖片

SubDomainizer

SubDomainizer(https://github.com/nsonaniya2010/SubDomainizer)不僅僅是一款子域名枚舉工具, 還可以找到其他關(guān)鍵信息,例如: API密鑰, 該工具語(yǔ)法簡(jiǎn)單, 易于使用, 只需要輸入以下命令, 便可以獲取到一份干凈完整的子域名列表:

python3 SubDomainizer.py -u https://www.domain.com

執(zhí)行結(jié)果如下:

圖片

Pentest Tools Subdomain Finder

Pentest Tools Subdomain Finder(https://pentest-tools.com/information-gathering/find-subdomains-of-domain)是一款基于網(wǎng)頁(yè)的輕量級(jí)子域名枚舉工具, 使用者可以在沒(méi)有賬號(hào)的情況下執(zhí)行掃描, 但如果想要更多的掃描和更多的工具, 可以注冊(cè)一個(gè)免費(fèi)賬戶使用, 以下是使用界面:

圖片

掃描完成后,獲取的結(jié)果如下圖:

圖片

Crt.sh

https://crt.sh/ 這是一個(gè)利用證書(shū)透明性收集子域名的工具, 其原理是所有SSL/TLS證書(shū)都會(huì)被記錄并公開(kāi)訪問(wèn), 只需要要前往crt.sh并輸入要枚舉的域名即可,如圖:

圖片

點(diǎn)擊搜索以生成目標(biāo)域的子域列表, 如圖:

圖片

Shodan

Shodan(https://www.shodan.io/)Shodan可以定位子域，并提供基于Web和命令行的界面。要使用Web界面查找子域，訪問(wèn) https://www.shodan.io/domain/domain.com，將“domain.com”替換為想要枚舉的域名。

圖片

如果要從命令行使用Shodan，鍵入shodan domain domain.com，將domain.com替換為希望搜索的域名。

圖片

PureDNS

PureDNS(https://github.com/d3mondev/puredns)PureDNS可以通過(guò)啟用每秒數(shù)千個(gè)同時(shí)DNS請(qǐng)求來(lái)執(zhí)行快速的子域名枚舉，使用公共解析器。要查找子域名，輸入以下命令：

puredns bruteforce mywordlist.txt -r resolvers.txt domain.com -l 5000

該命令指示PureDNS為domain.com執(zhí)行暴力破解子域名枚舉，使用來(lái)自mywordlist.txt的潛在子域名列表，并通過(guò)resolvers.txt中提供的一組DNS解析器執(zhí)行DNS查詢。它限制DNS查詢的速率為每秒5000個(gè)。

圖片

完成后, 將顯示輸出結(jié)果,如圖:

圖片

ffuf

ffuf(https://github.com/ffuf/ffuf)采用更主動(dòng)的方法進(jìn)行枚舉。它接受一個(gè)給定的單詞列表，并通過(guò)發(fā)出HTTP/S請(qǐng)求檢查每個(gè)條目，從而確定哪些子域存在。

可以使用以下命令，它將對(duì)子域進(jìn)行模糊搜索，將輸出文件保存為HTML，并在請(qǐng)求之間設(shè)置兩秒的延遲。

ffuf -w wordlist -u https://fuzz.domain.com -of html -o result -p 2

圖片