史上最全的子域名收集姿势-Toy模板网

这篇具有很好参考价值的文章主要介绍了史上最全的子域名收集姿势。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

1.被动子域名收集

信息泄露

Github 、Gitee等代码仓库中，可能有相关子域名的信息
抓包分析获取，如一些静态资源的请求、一些APP或者小程序接口、邮件服务器等等
很多网站有跨域策略文件crossdomain.xml、站点地图sitemap.xml和robots.txt等，其中也可能存在子域名的信息。

搜索引擎&网络资产搜索引擎

使用Google Hacker语法：

site:*.baidu.com

史上最全的子域名收集姿势

使用FOFA搜索：

domain="baidu.com"

史上最全的子域名收集姿势

第三方DNS服务

Virus Total

VirusTotal会运行DNS复制功能，通过存储用户访问URL时执行的DNS解析来构建数据库

史上最全的子域名收集姿势

证书透明

证书透明（CT）是证书颁发机构（CA）必须将其发布的每个SSL/TLS证书发布到公共日志的项目。SSL/TLS证书通常包含域名，子域名和电子邮件地址等信息

常用证书透明查询网站：

censys：https://censys.io/certificates
crtsh：https://crt.sh/
spyse：https://spyse.com/search/certificate
certspotter：https://sslmate.com/certspotter/api/
entrust：https://www.entrust.com/ct-search/
facebook：https://developers.facebook.com/tools/ct
google：https://developers.facebook.com/tools/ct

史上最全的子域名收集姿势

2.主动子域名收集

字典枚举

利用常见的子域名字典，进行暴力破击

例如使用Layer子域名挖掘机：

史上最全的子域名收集姿势

WebRobot中也有类似的枚举爆破功能：

史上最全的子域名收集姿势

常见的子域名字典：

https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056
https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS
https://github.com/pentester-io/commonspeak
https://localdomain.pw/subdomain-bruteforce-list/all.txt.zip

置换扫描/第二轮DNS暴力破解

使用已知域/子域名的排列组合来识别新的子域名，使得字典有一定的针对性，提高准确率，常用工具：altdns

虚拟主机发现

如果你找到一个包含一个或多个网页的IP地址，属于子域名，你可以尝试通过在OSINT来源中查找IP中的域名或通过暴力破解虚拟主机域名来找到该IP中的其他子域名

可以使用HostHunter 或其他API来查找IP中的一些虚拟主机

HostHunter工具使用教程

CORS暴力破解

有时只有在_Origin头中设置了有效的域名/子域名时，页面才会返回Access-Control-Allow-Origin头。在这种情况下，您可以滥用这种行为来发现新的子域名

DNSSEC

即域名系统安全扩展，主要功能是通过建立信任链来保护DNS中数据的完整性和真实性。由于DNSSEC处理不存在域名的方式，可以遍历DNSSEC域并枚举该域中的所有域名

常用工具：nsec3walker

DNS缓存