子域名的查找与扫描

关于查找和扫描子域名的作用，我想对于每一个搞渗透的同志来说是至关重要的。就一点：当主站无从下手的时候，你可以从C段，同IP站点下手，但往往子域名站点存在的潜在漏洞概率是非常高的。同时，这也对摸清目标的组织结构至关重要。

下面说一下常见的子域名查询的四种方法：
1、nslookup查询法
nslookup可以指定查询的类型，可以查到DNS记录的生存时间还可以指定使用那个DNS服务器进行解释。在已安装TCP/IP协议的电脑上面均可以使用这个命令。主要用来诊断域名系统 (DNS) 基础结构的信息。
具体的命令及参数此处不再细讲，有兴趣的可以查询：http://support.microsoft.com/kb/200525
以 www.yumingco.com 为例。做了一下测试，如下图：

很抱歉我所在的DNS服务器无法查询
优点：非常直观，通过查询DNS服务器的A记录、CNAME等，可以准确得到相关信息，较全。
缺点：有很大的局限性，很多DNS是禁止查询的。因此不推荐

2、网页查找法：
http://alexa.chinaz.com/?domain=
例如：http://alexa.chinaz.com/?domain=yumingco.com

只有两个站点（这是不准确的）
另外一种是通过 搜索引擎推荐google和bing
google hacking 想必关心此贴的人已经非常熟悉了，其实很简单。
例如：site:pediy.com
这种方式非常好，也比较全。具体的优缺点我会在后面讲解。
搜索引擎的利用效率非常高，但是其重复项和无休止的翻页会很头痛。如果有数据采集器会好一点。

优点：检索速度快，内容较全。
缺点：由于网站和引擎的机制不一样，造成了收录条目的差异。

3、暴力扫描法
这个情况网上是有工具的，无论是c++，还是python。现在先介绍一下其原理：
一种情况是：利用字典库，发送页面请求包，接受包，分析其返回码，如：200，404等，以此判断页面是否存在。此种方法非常bug，尤其是现在Redirect重定向功能，很容易出现误报。如Zwell写的一个demon。

另外一种是：利用暴力破解的形式，采用a-z，0-9，3位或4位的方式，以判断IP是否存在或能否ping成功为标志，判断页面是否存在。

优点：对于一些规律性域名的网站有绝对的优势。
缺点：速度非常慢，误报率很高。

4、查询+扫描法
这也是我自己想到的一种方法，不知道有没有前辈这么做过，我通过bing收集到网站，在通过一些常见的二级头进行快速判断，这样可以避免两方的缺点，但是依旧无法收集完全。只是一个演示（因该软件包含其他功能，故不提供下载了）：