05 - Cкан поддоменов

Выбор инструмента

Поиск поддоменов расширяет периметр атаки и позволяет получить представление о цели. Можно воспользоваться онлайн сервисами (пассивный режим), которые периодически собирают такую информацию, например shodan.io, но я воспользуюсь активным режимом, то есть мы сами будем сканировать поддомены. Выбор инструмента является важной частью, я буду использовать amass , инструмент написан на Go, быстрый, имеет встроенный словарь, так же умеет рисовать графы.

// в обычном варианте (долго и лишь встроенным словарем) и вывод с файл
amass enum -d discord.com -o result.txt
// без брута, только свой словарь
amass enum -passive -aw SecLists/Discovery/DNS/subdomains-top1million-5000.txt -d discord.com

Ну или можно обойтись скриптом nmap, подробнее об этом методе написано тут.

// скрипт + 6 потоков
nmap --script dns-brute --script-args dns-brute.domain=discord.com,dns-brute.threads=6,dns-brute

Задачи по subdomain enumeration являются легкими, но долгими, лучше ставить на ночь. После чего все найденные поддомены можно ставить на скан диреторий сайта.

// быстрый запрос поддоменов через сторонний сервис
curl -s 'https://crt.sh/?q=cia.gov&output=json' --compressed -H 'User-Agent: Mozilla/5.0'|jq -r '.[].common_name,.[].name_value'|sort -u

Previous04 - Скан директорий сайта Next06 - Скан WordPress

Last updated 2 months ago