子域名收集

• • 子域名信息收集
  • • subDomainsBrute
    • Sublist3r
    • ESD
    • OneForAll
    • • 被动搜索
    • 总结

子域名信息收集

1. layer子域名挖掘机（主动扫描）

2. 御剑

3. subDomainsBrute

4. Sublist3r

5. ESD

6. OneForAll (可以被动搜索域名)

7. dnsprobe （go语言）

8. subfinder （go语言）

9. shuffledns

10. massdns

11. google hacking(site:xxx.com) 被动搜索

12. 在线网站

    hacktarget：https://hackertarget.com/find-dns-host-records/

    crt：https://crt.sh/

    dnsdumpster：https://dnsdumpster.com/

    IP138：https://site.ip138.com

    爱站：https://baidurank.aizhan.com/baidu/{domain}/

    https://phpinfo.me/domain/ （主动扫描）

    Dnsdb：https://www.dnsdb.io/zh-cn/

主动：layer，subDomainsBrute ，Sublist3r，ESD

被动：OneForAll，google hacking

注：上述攻击在github上开源

subDomainsBrute

通过纯DNS爆破来找到子域名，为了最大提升效率，subDomainBrute用协程+多进程的方式进行爆破。

属于主动扫描，容易被发现

Sublist3r

在暴力破解的基础上还会通过接口枚举来获取域名

ESD

支持泛域名解析

基于RSC（响应相似度对比）技术对泛解析域名进行枚举（受网络质量、网站带宽等影响，速度会比较慢）

基于aioHTTP获取一个不存在子域名的响应内容，并将其和字典子域名响应进行相似度比对。 超过阈值则说明是同个页面，否则则为可用子域名，并对最终子域名再次进行响应相似度对比。

OneForAll

OneForAll https://github.com/shmilylty/OneForAll

OneForAll的功能也很多，被动搜索域名，子域爆破，子域接管，端口探测，指纹识别，导出等等。

被动搜索

主动搜索：通过字典进行暴力破解，容易被发现

被动搜索：收集网上公开的信息，比如有的在线网站有自己的数据库，查询子域名就是被动搜索

总结

• subDomainBrute老牌DNS爆破工具，使用让人感觉很稳很友好，依赖较少，很好安装。
• ESD 域名收集方法很多，对接的web接口比较少，支持python调用，用于集成到扫描器应该不错。
• OneForAll依赖较多，功能比较全面，但功能还是有些欠缺，有些地方效率考虑的不够好。适合对一个新的域名爆破，结果比较多。

对于子域名收集，我推荐的组合是subfinder和dnsprobe，它们都是go语言，直接下载二进制就能跑，subfinder用于收集网上接口（但接口似乎没有OneForAll多），dnsprobe用于爆破/验证域名。