Сравнение скриптов для сбора информации о поддоменах

    Всем привет!


    Хочу поднять тему сбора поддоменов в рамках OSINT. Существует довольно большое количество тулзов для автоматизации этой задачи. Расскажу о тех с которыми сталкивался я. В качестве целевого домена использован group-ib.ru.


    1. DNSDumpster
      Публичный веб сервис от hack the target. Нарядный интерфейс и ряд плюшек. Рисует карту, которую можно показать заказчику. Выводит DNS сервера, MX,TXT,A записи.


      Карта:
      image


      Найдено доменов: 28


    2. Knockpy
      Брутит поддомены по словарю, поддерживает поиск по Virustotal.
      Работает небыстро.


      asciicast


      Найдено доменов: 28


    3. Sublist3r
      Использует ряд сервисов для поиска поддоменов, внутрь также включен Subbrute для брута по словарю.


      asciicast


      Найдено доменов: 107


    4. Subbrute
      Брутит по словарю.Использует открытые DNS резолверы дабы избежать ограничения на число запросов. Работает очень небыстро, но результаты неплохие.


      asciicast


      Найдено доменов: я не дождался завершения, но дождаться стоит.


    5. theHarvester
      Популярный комбайн который ищет практически все — людей, почты, поддомены, виртуальные хосты. Смысл жизни находить пока не научился.


      asciicast


      Найдено доменов: 142


    6. Amass
      Навороченная тулза от OWASP. Как говорит разработчик, Amass собирает данные из различных публичных источников, рекурсивно брутфорсит, ищет в вебархиве, и использует мутации для целевого домена. Также собирает инфу по подсетям и AS и может строить карты. По моему опыту работает все это великолепие нестабильно и криво.


      asciicast


      Найдено доменов: В пассивном режиме — 56. В активном режиме Amass упал с ошибкой.


    7. subfinder
      Позиционируется как преемник sublister. Написан на go, поэтому его нужно либо компилить у себя, либо запускать из докера. Имеет модульную структуру, поэтому при желании можно дописать что-то свое.


      asciicast


      Найдено доменов: 66



    Что в итоге? Средств для решения поставленной задачи — очень много и все они дают разные результаты. Для максимальной эффективности можно попробовать их все и объединить результаты. Не стоит также пренебрегать ручным подходом — зачастую можно найти то, чего машина найти не смогла. О том как это делается в интернете пишут все кому не лень.
    А как поддомены ищете вы?

    • +12
    • 3,6k
    • 6
    Поделиться публикацией
    Комментарии 6
      0
      Для доменов, защищённых DNSSEC, можно использовать nsec3map. В случае с NSEC можно сразу получить полный список доменов, в случае с NSEC3 потребуется брутфорс хэшей. Есть в наличии утилита экспорта задания для брутфорса в форматах hashcat и John the Ripper.
      Сканирование зоны поставлено очень хорошо, так что возможно просканировать даже очень большие зоны, например TLD .com (однако совсем полный список доменов этой зоны вы не получите, так как такие зоны обычно подписываются с DNSSEC opt-out, то есть домены без DNSSEC не охвачены подписями NSEC).
        +1
        Ещё стоит проверить возможность осуществления AXFR-запроса с DNS-серверов, на которые делегирован домен. Шансов мало, но и такое случается. В случае успеха зона так же будет получена полностью.
          0
          1) Aquatone, неплохая тулза, видел что ее рекомендовали несколько багхантеров, юзал сам, остался доволен.
          2) Censys subdomain finder, не знаю можно ли здесь оставлять линки, но гуглится легко по названию (1 ссылка на гитхабе). Ищет на основе SSL сертификатов, т.е если он вообще когда либо существовал у сабдомена, то он его найдет. Из плюсов — находит много сабдоменов. Из минусов — придется просеивать вручную, ибо некоторые сабдомены уже будут мертвы.
            0
            А акватон умеет сам искать? Я думал он только рисует скриншоты по заданному списку доменов.
            Censys полезный, хорошо что автоматизированную тулзу сделали.
              0
              Я акватон давно тестил, но насколько помню он искал.
            +1
            Вот неплохая подборка утилит: pentester.land/cheatsheets/2018/11/14/subdomains-enumeration-cheatsheet.html

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое