OSINT技术揭秘:高效发现子域名的顶级工具指南

本文详细介绍了使用FindSubDomains工具进行子域名发现的OSINT技术,对比分析了多种传统工具的局限性,并深入探讨了该工具的技术原理、过滤功能和实际应用场景,为安全研究人员提供实用指南。

OSINT: 发现子域名 | 网络罪与安全

网络罪与安全 - Rishi Narang的博客

引言

许多从事安全咨询、漏洞赏金或网络情报工作的人员经常需要发现子域名。无论是顾问评估客户的网络存在,还是公司验证自身的数字足迹,这种需求都普遍存在。过去十多年中,经常出现企业不了解自己运行的旧资产的情况,这些资产可能被利用来损害品牌形象或实际网络,甚至被用作代理或跳板来访问本应受到严密保护的数据。

传统方法及其局限性

最常见的子域名搜索方法是使用Google dork进行老式搜索:site:example.com。为了深入挖掘,可以对结果中所有可见的子域名进行迭代,例如site:example.com -wwwsite:example.com -www -test。这将排除example.com、www.example.com和test.example.com等。但这种方法在4-5次搜索/迭代后变得繁琐,尝试自动化时,Google会弹出re-captcha验证。虽然适用于少数目标域,但不适合查询大量子域名。

其他工具如Pentest Tool Subdomain、DNS Dumster、Cloudpiercer和Netcraft要么价格昂贵,要么效果不佳。例如,pentest-tools的免费搜索仅找到87个apple.com的子域名,Netcraft找到180条记录但无法下载或过滤,DNSDumster限制在150条结果且UI/UX糟糕。

FindSubDomains:革命性工具

在与SPYSE团队(CertDB项目的杰出团队)交流后,我了解到他们的新项目FindSubDomains,这是一个免费且出色的工具,用于查找给定域的子域名。该工具不仅列出子域名,还提供大量情报,如IP地址、DNS记录、国家、子网、AS块和组织名称等。这些参数可用于过滤或搜索子域名列表,功能强大。

工具对比测试

以apple.com为例,使用不同工具进行测试:

  • Google搜索:繁琐且受限
  • pentest-tools:仅87个子域名
  • Netcraft:180条记录,无下载功能
  • DNSDumster:150条结果,UI差

而FindSubDomains找到了1900多个结果,远超其他工具。所有结果免费提供,无弹窗广告、积分或限制,可下载为TXT文件,并查看每个子域名的IP地址、地理区域、IP段和AS块详情。无需脚本或无限迭代,即可获得卓越的开源情报。

搜索和过滤功能

除了搜索,其过滤器也非常出色,可用于搜索域、子域或其相关字段的特定信息。还有一些预过滤结果或琐事点:

  • 前100个站点及其子域名:https://findsubdomains.com/world-top
  • 子域名数量最多的站点:https://findsubdomains.com/top-subdomain-count
  • 子域名数量最多的国家:https://findsubdomains.com/countries
    • 美国:https://findsubdomains.com/world-top?country=US
    • 印度:https://findsubdomains.com/world-top?country=IN
    • 中国:https://findsubdomains.com/world-top?country=CN
  • 最常见的子域名名称:https://findsubdomains.com/top-subdomain-name-count(我的最爱)

最后一项在网络调查客户或震惊于其数字足迹时非常方便。

仪表板和自定义任务

登录后(注册简单),会看到一个显示总任务、进行中任务和剩余任务的仪表板。可以通过域或单词搜索启动新任务。单词搜索在不知道完整域名时非常有用。此任务执行能力可补充主页面或现有数据库(相信我,它很大)中未找到的内容。每个任务最多可列出50,000个子域名,耗时约6分钟(可设置警报,平台会通过电子邮件通知完成情况)。

执行子域名发现任务时,它使用多种技术:

  • 通过站点爬虫和分析其页面及资源文件定义许多子域名;
  • 对某些域的AXFR(DNS区域传输)请求通常揭示大量有价值信息;
  • 搜索和分析历史数据通常与搜索词匹配。

尽管工具令人印象深刻,但我希望具备通过API执行任务的能力,以及通过命令行/终端自动化的可编程方式。我知道可以用curl实现,但API密钥会使事情更舒适和方便。

使用场景

以下是一些使用此工具的场景:

  • 在渗透测试侦察阶段,收集目标网络信息;
  • 作为收集公司及其域的网络情报的支持工具;
  • 评估公司网络和数字足迹。很多时候,你会惊讶地发现广泛的未计入暴露;
  • 跟踪面向外部的子域名 - UAT、SIT、STAGING等,这些理想情况下应被锁定或白名单化。想象一下这些通常包含生产数据的平台有多不安全。

总结

这是继CertDB之后又一个惊人的工具,展示了SPYSE团队的潜力。FindSubDomains使我的搜索更轻松高效。我强烈推荐读者使用此工具来发现子域名。

封面图片:由[Himesh Kumar Behera]拍摄
https://unsplash.com/@whoishimesh

产品赞助
« 上一篇:Cloudflare Quad-1 DNS
下一篇:独家采访SPYSE团队 »
© 2025 网络罪。
向Astrid致谢支持。感谢Vimux的Mainroad基础主题和Turtle Media的logo。用💛和Hugo制作。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次