Quelle est la meilleure façon de trouver des sous-domaines d'un domaine?

Question

J'ai besoin de trouver la plupart des sous-domaines d'un domaine. Je sais qu'il existe de nombreuses options.

J'en ai essayé plusieurs disponibles dans Kali Linux:

dnsmap dnsenum dnsrecon dnswalk fierce urlcrazy

La plupart d'entre eux ne trouvent que 2 ou 3 sous-domaines de travail, alors qu'en utilisant cet outil en ligne , il en trouve beaucoup plus.

Depuis pentest-tools nécessite d'acheter des crédits pour fonctionner, j'essaie de trouver un outil qui permettrait de récupérer des résultats similaires comme celui-ci. Je n'ai pas réussi jusqu'à présent.

Comment puis-je obtenir les meilleurs résultats de ces outils?

schroeder · Answer

L'outil que vous avez lié a expliqué leurs techniques:

 DNS zone transfer DNS enumeration based on a specially chosen wordlist Public search engine queries Word mutation techniques

Les outils Kali que vous avez mentionnés peuvent faire certaines de ces choses, mais peut-être pas toutes. Vous devrez peut-être les combiner ou les configurer différemment.

Sans connaître les détails de ce qu'un outil a constaté qu'un autre n'a pas fait, il sera difficile de trouver une réponse plus technique.

Derek Callaway · Answer

Essentiellement, vous devez rechercher coupes de zone ou faisant autorité NS enregistrements. Une coupure de zone peut être détectée en vérifiant l'en-tête de réponse DNS pour un NOERROR lorsque vous tentez de résoudre un enregistrement de ressource de tout type pour ce sous-domaine. Un enregistrement faisant autorité NS peut être trouvé en demandant à un serveur de noms que la zone du sous-domaine réel répertorie (le domaine parent peut être en mesure de répondre , mais cela ne le rend pas correct.) Cette présentation du Centre d'analyse des opérations DNS et de recherche élucide.

J'ai pu le démontrer en comparant les résultats entre les réponses aux requêtes pour les enregistrements de ressources dans websecurity.symantec.com. contre symantec.com. Remarquez comment le serveur de noms fait autorité pour symantec.com. me donne le NS record pour le websecurity.symantec.com. serveur de noms faisant autorité lorsque je demande son enregistrement A, même s'il existe une réponse.

$ Dig @8.8.4.4 IN NS symantec.com. | head -1 symantec.com. 3596 IN NS pdns1.ultradns.net. *$ Dig @8.8.4.4 IN NS websecurity.symantec.com. | head -1 websecurity.symantec.com. 542 IN NS k4.nstld.com. $ Dig @k4.nstld.com. IN A websecurity.symantec.com. | head -1 websecurity.symantec.com. 900 IN A 155.64.49.125 *$ Dig @pdns1.ultradns.net. IN A websecurity.symantec.com. | head -1 websecurity.symantec.com. 3600 IN NS j4.nstld.com.