全球排名前十的子域名枚举工具

开发 开发工具
在渗透测试的全生命周期阶段过程中, 信息收集是前期非常重要的环节, 直接关系到渗透测试的效率和准确度。在这个阶段过程中发现的任何子域名都可能成为新的潜在攻击向量, 发现更多子域名意味着可以从更多角度测试和发现漏洞, 如:管理界面、测试服务器或其他应用程序都可能在子域上运行。

Google Dorking

在全球范围内, 寻找子域名最简单方法之一是使用Google Dorking, 例如:可以使用以下命令来查找与目标相关的子域:

site:*.domain.com -www
  • site:domain.com:这部分告诉Google只在domain.com中搜索。
  • 星号(*):这是一个通配符, 匹配domain.com的所有子域, 例如:只查找如subdomain.domain.com这样的任何子域。
  • -www:这部分排除了任何包含www的结果, 减号(-)用于否定一个搜索项, 所以在这种情况下, 它过滤掉了包含www的结果。

以下是一个使用Google Dorking子域名搜素的例子:

图片图片

Sublist3r

Sublist3r(https://github.com/aboul3la/Sublist3r)是一个使用起来比较舒适的子域名搜索工具, 通过各种标志提供了定制功能, 这些标志可以将结果保存到文件中或扫描发现指定TCP端口的子域名。

如果要搜索特定的子域, 可以使用以下命令, 并使用"-d"标志来表示枚举的目标域:

sublist3r -d domain.com

该工具使用界面如下:

图片图片

Amass

OWASP中的Amass(https://github.com/owasp-amass/amass)是一款功能强大的工具, 它可以通过其API集成连接到其他服务, 使其获取额外的扩展功能, 下面只是介绍一下该工具的基本用法, 如以下命令:

amass enum -passive -d domain.com -o subdomains.txt

执行该命令后, 就可以将输出结果保存到文件中, 以下是输出的内容:

图片图片

输出文件生成后, 可以使用sed和grep命令来进行过滤, 以创建一个只包含子域名列表的干净内容, 命令如下:

cat output.txt | sed 's/\x1b[[0-9;]m//g' | grep -oP '(?<=\s)[a-zA-Z0-9.-].(com)' > cleaned_subdomains.txt

过滤后的文本内容如下:

图片图片


Recon-ng

Recon-ng(https://github.com/lanmaster53/recon-ng)是一款全能型OSINT侦查工具, 可以执行各种任务, 包括: 收集电子邮件, 这里只展示其搜集子域的功能, 从命令行启动Recon-ng:

recon-ng

执行成功后界面如下:

图片图片

输入以下命令来搜索需要使用的功能模块:

marketplace search

搜索结果如下图:

图片图片

这里我比较感兴趣的模块是:hackertarget, 如图:

图片图片

要安装该模块, 输入以下命令:

marketplace install hackertarget

如果要加载使用它, 则输入以下命令:

modules load hackertarget

安装完成后, 可以快速设置该模块并枚举子域, 如果要检查需要设置哪些选项, 输入:info, 而对于该模块,只需要输入以下命令即可开始枚举子域:

options set SOURCE domain.com
run

命令执行效果如图:

图片图片

扫描完成后, 输入: show hosts, 将显示所有已找到的子域, 如图:

图片图片

SubDomainizer

SubDomainizer(https://github.com/nsonaniya2010/SubDomainizer)不仅仅是一款子域名枚举工具, 还可以找到其他关键信息,例如: API密钥, 该工具语法简单, 易于使用, 只需要输入以下命令, 便可以获取到一份干净完整的子域名列表:

python3 SubDomainizer.py -u https://www.domain.com

执行结果如下:

图片图片

Pentest Tools Subdomain Finder

Pentest Tools Subdomain Finder(https://pentest-tools.com/information-gathering/find-subdomains-of-domain)是一款基于网页的轻量级子域名枚举工具, 使用者可以在没有账号的情况下执行扫描, 但如果想要更多的扫描和更多的工具, 可以注册一个免费账户使用, 以下是使用界面:

图片图片

扫描完成后,获取的结果如下图:

图片图片

Crt.sh

https://crt.sh/ 这是一个利用证书透明性收集子域名的工具, 其原理是所有SSL/TLS证书都会被记录并公开访问, 只需要要前往crt.sh并输入要枚举的域名即可,如图:

图片图片

点击搜索以生成目标域的子域列表, 如图:

图片图片

Shodan

Shodan(https://www.shodan.io/)Shodan可以定位子域,并提供基于Web和命令行的界面。要使用Web界面查找子域,访问 https://www.shodan.io/domain/domain.com,将“domain.com”替换为想要枚举的域名。

图片图片

如果要从命令行使用Shodan,键入shodan domain domain.com,将domain.com替换为希望搜索的域名。

图片图片

PureDNS

PureDNS(https://github.com/d3mondev/puredns)PureDNS可以通过启用每秒数千个同时DNS请求来执行快速的子域名枚举,使用公共解析器。要查找子域名,输入以下命令:

puredns bruteforce mywordlist.txt -r resolvers.txt domain.com -l 5000

该命令指示PureDNS为domain.com执行暴力破解子域名枚举,使用来自mywordlist.txt的潜在子域名列表,并通过resolvers.txt中提供的一组DNS解析器执行DNS查询。它限制DNS查询的速率为每秒5000个。

图片图片

完成后, 将显示输出结果,如图:

图片图片

ffuf

ffuf(https://github.com/ffuf/ffuf)采用更主动的方法进行枚举。它接受一个给定的单词列表,并通过发出HTTP/S请求检查每个条目,从而确定哪些子域存在。

可以使用以下命令,它将对子域进行模糊搜索,将输出文件保存为HTML,并在请求之间设置两秒的延迟。

ffuf -w wordlist -u https://fuzz.domain.com -of html -o result -p 2

图片 图片

责任编辑:武晓燕 来源: 二进制空间安全
相关推荐

2013-06-20 14:54:30

开发语言

2014-07-03 11:26:51

Positive视频会议华为

2015-12-22 17:50:12

2014-02-26 09:57:50

PHP调试工具

2012-08-16 13:45:20

云计算

2022-08-10 06:25:00

UEBA数据泄露• 网络安全

2021-04-22 12:43:00

华为云IaaS

2021-08-13 06:24:17

勒索软件赎金黑客

2018-03-16 14:27:58

Java工具类

2012-03-22 15:15:58

微软

2020-06-11 09:32:39

数据中心IT技术

2015-10-21 16:57:21

九州云

2018-01-20 22:16:22

2019-12-04 10:15:10

GitHub代码开发者

2017-01-18 17:00:35

编辑器

2012-02-06 13:34:15

中国互联网网速宽带

2020-02-27 15:42:27

5G专利华为

2021-01-29 23:33:14

程序员北京薪资

2011-02-25 17:26:51

Android应用

2013-01-06 20:10:02

点赞
收藏

51CTO技术栈公众号