子域名挖掘——可以看到旗下所有的子域名，teemo非常好用！！！

最好用的是这个工具：

项目地址：https://github.com/bit4woo/teemo

使用示例：

python teemo.py -d hkaspire.net 
output:
a.hkaspire.net                		47.106.102.137
mtc.hkaspire.net              		121.40.216.101
mt.hkaspire.net               		121.40.216.101
test.hkaspire.net             		47.110.139.171
m.hkaspire.net
www.hkaspire.net              		121.196.203.24
xcx.hkaspire.net
a.hkaspire.net
m.hkaspire.net
mt.hkaspire.net
mtc.hkaspire.net
test.hkaspire.net
www.hkaspire.net
xcx.hkaspire.net
121.40.216.101
47.106.102.137
47.110.139.171
121.196.203.24
[+] 11 sub domains found in total
[+] 0 related domains found in total
[+] 0 emails found in total
[+] Results saved to output/hkaspire.net-2021-05-23-16-45.txt

域名收集及枚举工具

提莫(teemo)是个侦察兵，域名的收集如同渗透和漏洞挖掘的侦察，故命名为提莫（Teemo）！

特色：具有相关域名搜集能力，即会收集当前域名所在组织的其他域名。原理是通过证书中"Subject Alternative Name"的内容。

相信这部分功能和 domain_hunter 中类似域名的收集一样有用！

该工具主要有三大模块：

利用搜索引擎：

• http://www.ask.com/ （无请求限制，需要代理）
• https://www.baidu.com/ （无请求限制，不需要代理）
• http://cn.bing.com/
• https://api.cognitive.microsoft.com （bing API 尚未完成）
• http://www.dogpile.com/ （无需代理）
• https://duckduckgo.com （尚未完成，页面控制）
• http://www.exalead.com/search/web/
• http://www.fofa.so/ （需要购买）
• https://www.so.com/
• https://www.google.com （可能被block，需要代理）
• https://search.yahoo.com/
• https://yandex.com/ （可能被block）
• http://www.exalead.com/ （可能被block）
• http://www.googleapis.com/ （需要API key，google CSE）
• https://www.zoomeye.org/
• https://shodan.io/

利用第三方站点：

1. Alexa
2. Chaxunla
3. CrtSearch
4. DNSdumpster
5. Googlect
6. Ilink
7. Netcraft
8. PassiveDNS
9. Pgpsearch
10. Sitedossier
11. ThreatCrowd
12. Threatminer
13. Virustotal
14. HackerTarget

whois查询及反向查询(接口需付费,暂未加入到主功能当中)：

1. https://www.whoxy.com/
2. DOMAINTOOLS
3. WHOISXMLAPI
4. ROBOWHOIS
5. ZIPWHOIS

利用枚举

• subDomainsBrute https://github.com/lijiejie/subDomainsBrute

 

各API申请指引(非必要)

其中部分接口需要API Key，如果有相应账号，可以在config.py中进行配置，没有也不影响程序的使用。

Google CSE(自定义搜索引擎):

• 创建自定义的搜索引擎（CSE）https://cse.google.com/cse/all
• 申请API Key: https://developers.google.com/custom-search/json-api/v1/overview

Bing API:

• https://azure.microsoft.com/zh-cn/try/cognitive-services/my-apis/
• https://api.cognitive.microsoft.com/bing/v5.0/search
• https://docs.microsoft.com/en-us/azure/cognitive-services/bing-web-search/quick-start

Fofa:

• 需要购买会员

Shodan:

• 登陆后页面右上角“show API key”

 

基本使用

运行环境：python 2.7.*

• 查看帮助:

python teemo.py -h

• 枚举指定域名（会使用搜索引擎和第三方站点模块）:

python teemo.py -d example.com

• 使用代理地址（默认会使用config.py中的设置）:

python teemo.py -d example.com -x "http://127.0.0.1:9999"

• 启用枚举模式:

python teemo.py -b -d example.com

• 将结果保存到指定文件(默认会根据config.py中的设置保存到以域名命名的文件中):

python teemo.py -d example.com -o result.txt

 

参考

参考以下优秀的工具修改而来:

• https://github.com/ring04h/wydomain
• https://github.com/aboul3la/Sublist3r
• https://github.com/laramies/theHarvester

Thanks for their sharing.

 

Change Log

2017-08-17 : Update "domainsite" part, use logging to output; fix some bug. 2017-09-08 : Remove port scan function,leave it to nmap, add IP and Network analysis. 2018-04-03 : Add HackerTarget API 2018-04-04 : Add Censys API; Add function that to get "Related Domains" which base on Censys,Crt.sh and GoogleCert.

 

To Do

• 优化DNS查询部分，抽象成一个函数
• 模糊匹配，例如包含"qq"的所有域名，比如qqimg.com
• 文件搜索

 

相关思维导图

 此外还可以使用子域名挖掘机，不过是在win下使用

see：https://github.com/euphrat1ca/LayerDomainFinder

https://dnsdb.io/zh-cn/search?q=youku.com 用这个也是可以查的

此外，https://crt.sh/?q=youku.com 可以查询同一个证书下的子域名

--------------------

直接用搜索引擎搜索 site：主域名

在线子域名挖掘：

http://z.zcjun.com/

http://tools.bugscaner.com/subdomain/

子域名挖掘机：

链接：https://pan.baidu.com/s/1L2nheZUZhrx7NZSgLa97Uw
提取码：so87

信息搜集-子域名挖掘
小刚127.0.0.1 2020-10-16 16:44:21 371 收藏 5
分类专栏： 信息搜集笔记 文章标签： web安全 信息搜集
版权

    作者：小刚
    一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢
    本实验仅用于信息防御教学，切勿用于其它用途

子域名挖掘

    域名
    收集原理
    网站和工具
        1.在线子域名查询https://phpinfo.me/domain/
        2.一会儿~ https://dns.bufferover.run/dns?q=
        3. https://dnsdumpster.com/
        4.快速DNS rapiddns.io/subdomain
        5.crt.sh 证书查询
        4.Layer子域名挖掘机
    总结

域名

域名有级别之分，可以分为顶级域名（一级域名）、二级域名、三级域名、多级域名
二级三级和多级则是此网站的子域名。
举个例子啊
顶级域名：pornhub.com
二级域名：www.pornhub.com； rtsp.pornhub.com；fr.pornhub.com
三级域名：ams.upload.pornhub.com
多级域名以此类推~

为什么要收集子域名?
通常来说，一个网站的主站防御力非常强的，而他们的非主站则相对较弱，俗话说苍蝇不叮无缝的蛋 ，柿子还得挑软的捏，我们通过收集的子域名进行扩大攻击范围，从子站入手，进一步渗透测试更加容易成功。
收集原理

1.字典爆破
字典爆破就是通过收集来的字典，拼接到顶级域名前面，然后通过自动化工具进行访问，判断返回结果，从而跑出子域名是否存在。
爆破处理接货主要是依赖于字典的精准度，一本好的字典可以让你事半功倍。

2.DNS信息收集
DNS原理就是搜集DNS的解析历史，通过查询dns记录来获取到对方的解析记录，从而获取到子域名，正常来说你的域名经DNS解析过一般就会搜到。

3.证书查询
通过HTTPS 证书，ssl证书等搜集子域名记录。

4.爬虫提取子域名
可以利用爬虫从页面源代码中提取子域名。
网站和工具

在这介绍我平时用到搜索子域名的网站和工具。

    为啥要用好几个工具?
    当你的字典精度不高时，你搜集的信息是不完整的，我的方法是通过网站和本地跑字典，然后去重整合结果

1.在线子域名查询https://phpinfo.me/domain/

使用比较多的一个在线爆破子域名网站。
在这里插入图片描述
2.一会儿~ https://dns.bufferover.run/dns?q=

一款DNS在线查询网站，需要在url后面拼接所要收集的网站
在这里插入图片描述
3. https://dnsdumpster.com/

dns侦查和研究，查找和查找dns记录
在这里插入图片描述
4.快速DNS rapiddns.io/subdomain

在这里插入图片描述
5.crt.sh 证书查询

https://crt.sh/
一款通过证书查询子域名的网站
在这里插入图片描述
4.Layer子域名挖掘机

一款非常好用的Win平台工具
在这里插入图片描述
总结

最好找几个比较好的网站和工具，最后将结果去重组合，这样的子域名查询比较全面。

获得Layer子域名挖掘机
可关注微信公众号:XG小刚
回复：Layer或子域名挖掘机
————————————————
版权声明：本文为CSDN博主「小刚127.0.0.1」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_43221560/article/details/109118270