每个域名都会通过DNS指向特定的IP地址。通过枚举DNS的方法，我们可以知道指向当前IP地址的域名有哪些。从而收集我们我需要的子域名，以方便我们后期的肾透。

01 nmap

nmap将尝试使用 DNS 服务协议发现主机。通过发送DNS-SD查询并收集所有响应。通过对常见子域的暴力猜测来枚举 DNS 主机名。我们只需加dns-brute.srv 参数即可。dns-brute 还能尝试枚举常见的 DNS SRV 记录。对于 IPv4 和 IPv6，通配符记录分别列为*A和*AAAA。

nmap -T4 -p 53 --script dns-brute www.bbskali.cn

02 DNSEnum

DNSEnum是多线程 的Perl脚本，用于枚举DNS信息。

🌈特色

• 获取主机的地址（A 记录）。
• 获取名称服务器。
• 获取 MX 记录。
• 在名称服务器上执行axfr查询并获取BIND版本。
• 通过谷歌抓取获取额外的名称和子域名（谷歌查询=allinurl：-www site：domain）。
• 文件中的暴力破解子域还可以在具有 NS 记录（全部线程化）的子域上执行递归。
• 计算 C 类域网络范围并对其执行 whois 查询。
• 对网络范围（C 类或/和 whoisnetrange）。

dnsenum --noreverse -o bbskali.xml bbskali.cn 

03 DNSRecon

🦌特色

• 检查区域传输的所有 NS 记录
• 枚举给定域（MX、SOA、NS、A、AAA、SPF 和 TXT）的常规 DNS 记录
• 执行常见的 SRV 记录枚举。
• 对给定 IP范围或 CIDR执行 PTR 记录查找
• 检查 DNS 服务器 缓存记录是否为 A、AAAA 和 CNAME 记录提供了文本文件中的主机记录列表以进行检查。枚举本地网络中的常见 DNS 记录 使用 Google 枚举主机和子域。

dnsrecon -d bbskali.cn

04 fierce

该工具是一个域名扫描综合性工具。它可以快速获取指定域名的DNS服务器，并检查是否存在区域传输（Zone Transfer）漏洞。

参数说明：

--domain 指定查询的域名。

--dns-file 用文件指定反向查询DNS服务器列表。

--wide 扫描入口IP地址的c段，会收集到更多的信息，产生大流量。

--search 指定dns服务器。

fierce --domain bbskali.cn

05 dnsmap

dnsmap 只有字典爆破一个手段来收集目标的 dns 信息，不像 dnsenum那样可以通过搜索引擎、whois 查询、区域传输等其他手段获取 dns 信息。

dnsmap bbskali.cn

06 结束语

在后期实际的肾透中，子域名收集的意义在于当主站A通过测试，没有任何可下手的地方。但是我们可以通过旁站B的漏洞拿下主站。也是所谓的迂回之计矣！