# 05 - Cкан поддоменов

## Выбор инструмента

Поиск поддоменов расширяет периметр атаки и позволяет получить представление о цели. Можно воспользоваться онлайн сервисами (пассивный режим), которые периодически собирают такую информацию, например [shodan.io](https://www.shodan.io), но я воспользуюсь активным режимом, то есть мы сами будем сканировать поддомены. Выбор инструмента является важной частью, я буду использовать [amass](https://github.com/owasp-amass/amass) ,  инструмент написан на Go, быстрый, имеет встроенный словарь, так же умеет рисовать графы.

```bash
// в обычном варианте (долго и лишь встроенным словарем) и вывод с файл
amass enum -d discord.com -o result.txt
// без брута, только свой словарь
amass enum -passive -aw SecLists/Discovery/DNS/subdomains-top1million-5000.txt -d discord.com
```

<figure><img src="https://2826317613-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FyxXcvCa5Rbt6bHhLblf7%2Fuploads%2FcrjdKBthDLoTY6V6yiwV%2F%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5.png?alt=media&#x26;token=05c45eb8-a55d-4580-81fc-703322717386" alt=""><figcaption><p>Результат работы amass enum</p></figcaption></figure>

\
Ну или можно обойтись скриптом nmap, подробнее об этом методе написано [тут](https://nmap.org/nsedoc/scripts/dns-brute.html).

```bash
// скрипт + 6 потоков
nmap --script dns-brute --script-args dns-brute.domain=discord.com,dns-brute.threads=6,dns-brute 
```

Задачи по subdomain enumeration являются легкими, но долгими, лучше ставить на ночь. После чего все найденные поддомены можно ставить на скан диреторий сайта.<br>

```bash
// быстрый запрос поддоменов через сторонний сервис
curl -s 'https://crt.sh/?q=cia.gov&output=json' --compressed -H 'User-Agent: Mozilla/5.0'|jq -r '.[].common_name,.[].name_value'|sort -u
```