Кто чем ищет поддомены?

[zdestuta]

По быстрому понятно дело https://crt.sh поискать по выданным сертификатам или даже просто поисковиком доркнуть "site:*.domain.tld" типа того.

По поисковикам ищет sublist3r это хорошо, плюс у его модуля subbrute есть словарь, но словарь смешной всего-то на ~129k поддоменов см. /usr/lib/python3/dist-packages/subbrute/names.txt
И к сожалению в sublist3r нет опции другой словать подсунуть :-(

Есть годный словарь 9M поддоменов от assetnote: https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt
Но если его прогонять ffuf, то он во-первых будет "тыкаться" искать HTTP или HTTPS, а поддомен может вообще не иметь Web сервера же и много раз на такое натыкался хотя там по факту были "вкусные" сервисы.

Чем лучше массово и очень быстро прочекать поддомены что они просто в IP резолвятся (ну или не резолвятся) ? И какой DNS сервер не начнёт блочить/троттлить столько запросов?

Свой скрипт писать не предлагайте, это крайний вариант, мне лениво да и наверняка тулза есть для этого готовая.

 

[acc2ss]

Попробуй https://securitytrails.com/
Неплохой инструмент

 

[zdestuta]

Попробуй https://securitytrails.com/
Неплохой инструмент

спасибо.

мне бы конечно лучше что-то консольное с шелла то оно быстрее.
подумываю в общем-то symlink сделать sublist3r'овскогих names.txt чтоб указывал на 9M поддоменов файл от assetnote.

 

[Voruem]

ещё видел на шодане или его аналоге подобное что там уже выдают на блюдечке готовое (может не точно на шодане а на аналоге - давно не юзал это) (выдают в беплатных вариантах пробива, даже рега не нужна)

 

[infra]

И какой DNS сервер не начнёт блочить/троттлить столько запросов?

Ни разу не видел, чтобы резолвер блочил запросы, но ничего не мешает поднять свой. Конечные ответы все равно будут давать авторитативные DNS самой зоны, там где обслуживается домен, для них запросы будут приходить с резолвера, который ты используешь. Можно например прямо у них и спрашивть, это наиболее быстрый способ, я так делал.

 

[zdestuta]

Ни разу не видел, чтобы резолвер блочил запросы, но ничего не мешает поднять свой. Конечные ответы все равно будут давать авторитативные DNS самой зоны, там где обслуживается домен, для них запросы будут приходить с резолвера, который ты используешь. Можно например прямо у них и спрашивть, это наиболее быстрый способ, я так делал.

блочит-блочит, особенно 1.1.1.1 какой-нибудь.
посмотри в sublist3r в его subbrute файл resolvers.txt он не просто так 998 DNS серверов разных ;-)

 

[zdestuta]

ещё видел на шодане или его аналоге подобное что там уже выдают на блюдечке готовое (может не точно на шодане а на аналоге - давно не юзал это) (выдают в беплатных вариантах пробива, даже рега не нужна)

это хорошо для быстрого прогона
но самое вкусное оно не показывает как правило, приходится сканить

 

[zdestuta]

А у всех так sublist3r ищет поддомены что после поиска subbrute (находит, всё ОК) падает с ошибкой?

Успешно всё находит но в конце вот:

Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/dns/resolver.py", line 1197, in _enrich_nameservers
    raise NotImplementedError
NotImplementedError

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/lib/python3.11/multiprocessing/process.py", line 314, in _bootstrap
    self.run()
  File "/usr/lib/python3/dist-packages/subbrute/subbrute.py", line 334, in run
    response = self.check(hostname, record_type)
              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  File "/usr/lib/python3/dist-packages/subbrute/subbrute.py", line 221, in check
    self.resolver.nameservers += self.get_ns()
    ^^^^^^^^^^^^^^^^^^^^^^^^^
  File "/usr/lib/python3/dist-packages/dns/resolver.py", line 1232, in nameservers
    self._enrich_nameservers(nameservers, self.nameserver_ports, self.port)
  File "/usr/lib/python3/dist-packages/dns/resolver.py", line 1199, in _enrich_nameservers
    raise ValueError(
ValueError: nameserver False is not a dns.nameserver.Nameserver instance or text form, IP address, nor a valid https URL

Меня не напрягает, находить то он находит что надо, но хотел уточнить у других так же или нет.
Kali последний самый 2024.2

 

[EelStefano]

censys, subfinder, securitytrails.com, дальше брут feroxbuster'ом

 

[Эрмано]

Если нужно быстро, то dnsdumpster, но иногда бывает больше сотни доменов и он не позволяет найти больше, на основе пользуюь subfinder(один раз, сканил гравардский сайт или типо него и нашёл больше 1000 поддоменов), также есть sublist3r и куча инструментов для перебора, однако зачастую они требуют списки

 

[Kitayoza]

Если быстро - subfinder
Можно ещё assetfinder + httpx/httprobe
Если дотошно - BBot/Amass
Можно ещё глянуть "OSINT Template Engine" (он же SubSuite)

Ручками через Zoomeye + Censys + Shodan + Fofa

Потом Gobuster/Feroxbuster

 

[xargs]

но словарь смешной всего-то на ~129k поддоменов

Всего лишь да? То есть по твоему нормально отправить на сервак 130к запросов, небось еще и в 50 потоков, хотя тут уже не важно даже в 10 потоков это будет как ДДОС. В seclist'е словарь на 20к назвали большой, а у тебя 130к маленький. Померяй температуру))

P.S. И кстати, ваши NS'ы могут не знать про существование VHOST так что помимо пасивной разведки нужна и активная.

 

[FantasticExploits]

К выше описанному добавлю поиск в поисковиках -site: основной домен доман intext:admin или login. -filetype: тут все возможные расширения + dnsmap cо славарём от dirbuster directory-list-lowercase-2.3-small.txt

 

[k0priz]

crt.sh попробуй

 

[zdestuta]

по твоему нормально отправить на сервак 130к запросов, небось еще и в 50 потоков,

этож DNS запросы, естественно не напрямую (socks5 умеет DNS проксить), так что... а кого это еб*т то?

 

[zdestuta]

crt.sh попробуй

хорошая штука однозначно. но там увы далеко не всё.

 

[zdestuta]

И кстати, ваши NS'ы могут не знать про существование VHOST так что помимо пасивной разведки нужна и активная.

OMG! скрытые vhost на HTTP серваке, которые не прописаны даже на NS серваках! (а где? в /etc/hosts только что-ли они прописаны внутри организации?) - вот ты сейчас серьёзно? а ещё "cкрытые параметры намайнить в апи" - ты как-то упоминал (ну да, техника то рабочая не отрицаю, только % выхлопа близок к нулю обычно).
не надоело в "теорию заговора" то играть и "неуловимого Джо" (который неуловим потому что захер никому не нужен) искать?
приведи уже (с примерами естественно) % успешных атак, которые если бы не нашёл "скрытые ото всех даже из DNS поддомены в vhosts на серваке" и там на нашёл в апи "тайные скрытые параметры" то те атки точно провалились бы. удиви.

и то что у поддомена "хост даже не пингуется" (subdomain->IP невтуда показывает) - это как раз не фейл, а большая удача (потенциальный subdomain takeover)

 

[xargs]

OMG! скрытые vhost на HTTP серваке, которые не прописаны даже на NS серваках! (а где? в /etc/hosts только что-ли они прописаны внутри организации?) - вот ты сейчас серьёзно?

Естественно что серьезно, вот зачем помещать внутрение сервисы для команды/разрабов в публичные ДНС? Ты если просканишь ЛЮБОЙ крупный проэкт найдешь таких поддоменов вагон, это обычное дело, нормальная практика. Остальное комментировать не буду я ничего не понял, там похоже на пьяный бред))

 

[CoreLab]

Subdomain Finder - C99.nl

Subdomain Finder is a scanner that scans an entire domain to find as many subdomains as possible.

subdomainfinder.c99.nl

crt.sh | Certificate Search

Free CT Log Certificate Search Tool from Sectigo (formerly Comodo CA)

crt.sh

 

[zdestuta]

Естественно что серьезно, вот зачем помещать внутрение сервисы для команды/разрабов в публичные ДНС? Ты если просканишь ЛЮБОЙ крупный проэкт найдешь таких поддоменов вагон, это обычное дело, нормальная практика. Остальное комментировать не буду я ничего не понял, там похоже на пьяный бред))

понял о чём ты - misconfig web сервера когда в заголовок "Host:" можно сунуть внутренние (intranet) поддомены или даже IP из внутренней сетки (на которых внутренние веб-сервера) и он выдаст инфу оттуда. да, прикольная тема.
вот тут согласен. и как видишь я могу признавать свои ошибки в рассуждениях.

а вот насчёт скрытых параметров у API - на практике такое реже (исчезающе мало) встречается. мы же про фаззинг параметров HTTP запросах рассуждаем, я правильно понял? ну так вот такой фаззинг даёт выхлопа почему-то сильно меньше чем фаззинг например "unlisted" файлов в каталоге для которого не выводится index page (тупо index.html в этом каталоге пустой - уже не получишь листинг иначе как фаззингом), фаззинг файлов даёт на практике и env файлы разные и даже бэкапы порой. а можешь привести пример успешного фаззинга скрытых параметров?