【神兵利器】高精自动化敏感接口收集神器

免责声明

文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

工具介绍

项目地址：

https://github.com/projectdiscovery/subfinder

作者师傅：
1Ice3man543、RamanaReddy0M、tarunKoyalwar、dogancanbakir等

subfinder是一款快速被动子域枚举工具，用来查询域名的子域名信息，可以使用很多国外安全网站的api接口进行自动化搜索子域名信息，返回网站的有效子域。它具有简单的模块化架构，并针对速度进行了优化。专为只做一件事——被动子域枚举。subfinder符合所有使用的被动源许可证和使用限制。被动模型保证了可利用的速度性和隐蔽性

工具特点

1、快速而强大的分辨率和通配符替换模块

2、精心策划的被动源，以最大限度地提高结果

3、支持多种输出格式（JSON、文件、标准输出）

4、针对速度和轻量级资源进行了优化

5、STDIN/OUT支持可轻松集成到工作流程中

工具安装

Windows

需要安装go1.10+环境，最好在1.20+版本

安装指令

go install -v github.com/projectdiscovery/subfinder/releases/tag/v2.6.3

Docker Container

运行Git clone repo，然后使用以下命令在container中构建并运行subfinder：

git clone https://github.com/projectdiscovery/subfinder/releases/tag/v2.6.3

创建你的docker container

docker build -t subfinder 

在container创建后，执行以下命令。

docker run -it subfinder

注意：请务必按照后安装步骤正确配置该工具。 例如，以下将针对baidu.com运行该工具，并将结果输出到你的主机文件系统：

docker run -v$HOME/.config/subfinder:/root/.config/subfinder -it subfinder -d baidu.com >0x01.txt

后安装说明： 在成功安装Subfinder后，我们还需要做一些配置工作。某些服务的使用，需要我们手中有API密钥。如果没有，以下服务将会无法正常工作：

Virustotal
Passivetotal
SecurityTrails
Censys
Riddler
Shodan
URLScan

这些是你必须通过命令行指定的配置选项。

VirustotalAPIKey
PassivetotalUsername
PassivetotalKey
SecurityTrailsKey
RiddlerEmail
RiddlerPassword
CensysUsername
CensysSecret
ShodanAPIKey

这些值存储在首次运行该工具时被创建的$HOME/.config/subfinder/config.json文件中。使用-provider-config 选项设置服务API密钥：

./subfinder -provider-config VirustotalAPIKey=0x41414141
./subfinder -provider-config PassivetotalUsername=hackerPassivetotalKey=supersecret

如果使用的是docker，则首先需要手动来创建保存subfinder配置文件的目录结构。可以在主机系统中运行二进制文件，然后让它创建文件的目录结构，之后可以使用 -provider-config 选项设置api值。手动创建命令如下：

`mkdir $HOME/.config/subfinder
cp config.json $HOME/.config/subfinder/config.json
nano $HOME/.config/subfinder/config.json`

配置完成后，可以运行以下命来枚举目标子域：

sudo docker run -v$HOME/.config/subfinder:/root/.config/subfinder -it subfinder -d baidu.com

subfinder可以在安装后立即使用，但以下服务需要配置 API 密钥才能工作：

BeVigil、BinaryEdge、BufferOver、C99、Censys、CertSpotter、Chaos、Chinaz、DNSDB、Fofa、FullHunt、GitHub、Intelx、PassiveTotal、quake、Robtex、SecurityTrails、Shodan、ThreatBook、VirusTotal、WhoisXML API、ZoomEye、ZoomEye API、dnsrepo、Hunter、Facebook、BuiltWith

可以使用命令subfinder -ls显示所有可用源。 这些值存储在首次运行该工具时将创建的文件中。配置文件使用 YAML 格式。多个 API 密钥 可以为每个服务指定，以其中一个服务将用于枚举。

$CONFIG/subfinder/provider-config.yaml、CensysPassiveTotalFofaIntellix360quake

提供程序配置文件示例：

binaryedge:
  - 0bf8919b-aab9-42e4-9574-d3b639324597
  - ac244e2f-b635-4581-878a-33f4e79a2c13
censys:
  - ac244e2f-b635-4581-878a-33f4e79a2c13:dd510d6e-1b6e-4655-83f6-f347b363def9
certspotter: []
passivetotal:
  - [email protected]:sample_password
redhuntlabs:
  - ENDPOINT:API_TOKEN
  - https://reconapi.redhuntlabs.com/community/v1/domains/subdomains:joEPzJJp2AuOCw7teAj63HYrPGnsxuPQ
securitytrails: []
shodan:
  - AAAAClP1bJJSRMEYJazgwhJKrggRwKA
github:
  - ghp_lkyJGU3jv1xmwk4SDXavrLDJ4dl2pSJMzj4X
  - ghp_gkUuhkIYdQPj13ifH4KA3cXRn8JD2lqir2d4
zoomeyeapi:
  - 4f73021d-ff95-4f53-937f-83d6db719eec
quake:
  - 0cb9030c-0a40-48a3-b8c4-fca28e466ba3
facebook:
  - APP_ID:APP_SECRET
intelx:
  - HOST:API_KEY
  - 2.intelx.io:s4324-b98b-41b2-220e8-3320f6a1284d

注意：RedHunt Labs 的 攻击面侦察 API 具有不同的 API 端点，具体取决于用户的订阅。请确保在运行任何扫描之前添加相应的终结点。

使用细节

subfinder.exe-h 查看使用方法

-config API密钥等的配置文件
-d 查找子域
-dL 包含要枚举的域列表的文件
-exclude-sources 清单中要排除的来源清单
-max-time 等待枚举结果的分钟数（默认为10）
-nC 不要在输出中使用颜色
-nW 从输出中删除通配符和失效子域
-o 输出到指定文件（可选）
-oD 将枚举结果写入指定目录（可选）
-oI 以Host，IP格式写入输出
-oJ 以JSON行格式写入输出
-r 以逗号分隔的要使用的解析程序列表
-rL 包含要使用的解析器列表的文本文件
-silent 仅显示输出中的子域
-sources 用逗号分隔的来源列表
-t 用于解析的并发 goroutine 的数量（默认为10）
-timeout 超时时间（默认为30）
-v 显示详细输出

子域名枚举并输出到指定文件

subfinder.exe-d qq.com -o output.txt  ##-d 子域名 -o 指定输出文件

发现的子域也可以通过管道传递到其他工具。例如，将发现的子域通过管道传递给 httpx，然后 httpx 将找到 在主机上运行 HTTP 服务器。

echo hackerone.com | subfinder -silent | httpx -silent

http://hackerone.com
http://www.hackerone.com
http://docs.hackerone.com
http://api.hackerone.com
https://docs.hackerone.com
http://mta-sts.managed.hackerone.com