啊，哒咩，深，深入挖掘子域名，啊被动挖掘？不，不要主动，啊嗯！！！

简介

• 大量的被动源可用，fofa，shodan，hunter 等等
• 多种支持的输出格式（JSON、文件、标准输出）
• STDIN/OUT支持可轻松集成到工作流程中
• Subfinder 也可以用作 go 库进行使用

安装

• go install -v [github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest](http://github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest)  go安装
• brew install subfinder   mac 安装
• docker pull projectdiscovery/subfinder:latest   docker安装
• https://github.com/projectdiscovery/subfinder/releases   二进制文件下载，对于各种系统，包括windows.

配置

BeVigil, BinaryEdge, BufferOver, C99, Censys, CertSpotter, Chaos,Chinaz, DNSDB, Fofa, FullHunt, GitHub, Intelx,PassiveTotal, quake, Robtex, SecurityTrails, Shodan, ThreatBook,VirusTotal, WhoisXML API, ZoomEye, ZoomEye API,dnsrepo, Hunter, Facebook, BuiltWith

subfinder -ls  命令可以列出所有可配置的源

首次运行工具会自动生成，配置文件示例：

binaryedge:
  - 0bf8919b-aab9-42e4-9574-d3b639324597
  - ac244e2f-b635-4581-878a-33f4e79a2c13
censys:
  - ac244e2f-b635-4581-878a-33f4e79a2c13:dd510d6e-1b6e-4655-83f6-f347b363def9
certspotter: []
passivetotal:
  - [email protected]:sample_password
redhuntlabs:
  - ENDPOINT:API_TOKEN
  - https://reconapi.redhuntlabs.com/community/v1/domains/subdomains:joEPzJJp2AuOCw7teAj63HYrPGnsxuPQ
securitytrails: []
shodan:
  - AAAAClP1bJJSRMEYJazgwhJKrggRwKA
github:
  - ghp_lkyJGU3jv1xmwk4SDXavrLDJ4dl2pSJMzj4X
  - ghp_gkUuhkIYdQPj13ifH4KA3cXRn8JD2lqir2d4
zoomeyeapi:
  - 4f73021d-ff95-4f53-937f-83d6db719eec
quake:
  - 0cb9030c-0a40-48a3-b8c4-fca28e466ba3
facebook:
  - APP_ID:APP_SECRET
intelx:
  - HOST:API_KEY
  - 2.intelx.io:s4324-b98b-41b2-220e8-3320f6a1284d

使用

参数详解

目标指定

• -d， -domain string[]    指定需要查找子域的域名
• -dL, -list string file  指定包含域名列表的文件

查找源控制

• -s， -sources string[]   指定查找源，例如（-s crtsh,github）
• -recursive  只使用可以递归处理子域的源(例如subdomain.domain.tld vs domain.tld)
• -ls   显示所有可用源，部分需配置
• -all 使用所有源进行枚举(慢)
• -es, -exclude-sources string[]    指定排除源

过滤匹配

• -m， -match string[]  需要匹配的子域或子域列表文件
• -f， -filter string[]  需要过滤的子域名或者子域名列表文件

速率控制

• -rl， -rate-limit int  每秒发送HTTP请求的最大数量
• -rls value maximum number   每秒最大 http 请求数量 格式 (-rls "hackertarget=10/s,shodan=15/s")
• -t int  用于解析的并发例程数(仅限-active)(默认为10)
• -timeout int   超时前等待的秒数(默认为30秒)
• -max-time int   等待枚举结果的分钟数(默认为10分钟)

输出控制

• -o， -output string 输出文件
• -oJ， -json 以JSONL  (行)格式输出
• -oD， -output-dir string  输出目录(仅限-dL)
• -cs， -collect-sources  包括输出中的所有源(仅限-json)
• -oI， -ip  在输出中包含主机IP(仅-active)

配置

• -config string  程序配置文件   (默认"$ config /subfinder/config.yaml")
• -pc, -provider-config string  源配置文件，(默认"$ config /subfinder/provider-config.yaml")
• -r string[]   用逗号分隔的dns解析器列表 ,如 8.8.8.8
• -rL, -rlist string  包含要使用的解析器列表的列表文件
• -nW， -active    只显示活动子域
• -proxy string   使用 http 代理

其他

• -update  将 subfinder 更新到最新版本
• -duc， -disable-update-check  禁用自动子查找器更新检查
• -silent  只在输出中显示子域
• -version 显示版本
• -v   显示详细输出
• -nc， -no-color  禁用输出颜色
• -ls， -list-sources  列出所有可用的源

测试

• subfinder -d [hackerone.com](http://hackerone.com)  指定域名查找目标子域名
• echo hackerone.com | subfinder -silent | httpx -silent   组合其他工具使用
• 以 go 库的方式调用使用，https://github.com/projectdiscovery/subfinder/blob/dev/v2/examples/main.go

总结

Referenses

• https://docs.projectdiscovery.io/tools/subfinder/overview
• https://blog.projectdiscovery.io/do-you-really-know-subfinder-an-in-depth-guide-to-all-features-of-subfinder-beginner-to-advanced/