Nerd Level Tech logo
الدرس 6 من 24

الاستطلاع واكتشاف الأهداف

تعداد النطاقات الفرعية

4 دقيقة للقراءة

تعداد النطاقات الفرعية يوسع سطح هجومك. كل نطاق فرعي هو نقطة دخول محتملة. في 2026، دمج الأدوات يعطي أفضل تغطية.

خط أنابيب الاستطلاع

المصادر السلبية → القوة العمياء النشطة → حل DNS → فحص HTTP
     ↓                   ↓                    ↓              ↓
 subfinder            amass              dnsx           httpx

Subfinder: التعداد السلبي السريع

Subfinder يستعلم مصادر سلبية متعددة بسرعة:

# الاستخدام الأساسي
subfinder -d example.com -o subs.txt

# جميع المصادر (أبطأ لكن شامل)
subfinder -d example.com -all -o subs-all.txt

# نطاقات متعددة
subfinder -dL domains.txt -o all-subs.txt

# الوضع الصامت (المخرجات فقط)
subfinder -d example.com -silent

المصادر: سجلات الشهادات، مجمعات DNS، محركات البحث، تغذيات معلومات التهديدات.

Amass: الاكتشاف الشامل

Amass يوفر تعداداً أعمق مع قدرات نشطة:

# الوضع السلبي (موصى به أولاً)
amass enum -passive -d example.com -o amass-passive.txt

# الوضع النشط مع القوة العمياء
amass enum -active -d example.com -brute -o amass-active.txt

# مع قائمة كلمات محددة
amass enum -active -d example.com -brute -w ~/wordlists/subdomains.txt

# تتبع التغييرات عبر الوقت
amass track -d example.com

نصيحة احترافية: أمر intel في Amass يجد نطاقات مرتبطة:

amass intel -whois -d example.com

القوة العمياء لـ DNS

ولّد تبديلات لإيجاد نطاقات فرعية غير مدرجة:

# استخدام dnsx للحل
cat subdomains.txt | dnsx -silent -a -resp -o resolved.txt

# استخدام puredns للقوة العمياء + الحل
puredns bruteforce ~/wordlists/best-dns-wordlist.txt example.com -r resolvers.txt -w brute-results.txt

# التبديل مع alterx
echo "example.com" | alterx -enrich | dnsx -silent

دمج النتائج

دمج وإزالة التكرارات:

# دمج جميع المصادر
cat subfinder.txt amass.txt brute.txt | sort -u > all-subdomains.txt

# عد النتائج
wc -l all-subdomains.txt

حل DNS والتحقق

ليست كل النطاقات الفرعية المكتشفة حية:

# الحل مع dnsx
cat all-subdomains.txt | dnsx -silent -a -aaaa -cname -resp -o dns-resolved.txt

# التحقق من احتمال استيلاء DNS (CNAME لخدمات معلقة)
cat dns-resolved.txt | grep -E "(cloudfront|s3|github|heroku|azure)"

مؤشرات استيلاء النطاق الفرعي

الخدمة نمط CNAME ضعيف إذا
AWS S3 .s3.amazonaws.com Bucket غير موجود
GitHub Pages .github.io Repo غير مُعد
Heroku .herokuapp.com التطبيق محذوف
Azure .cloudapp.net المورد محذوف

فحص HTTP

تحديد خوادم الويب الحية:

# استخدام httpx
cat all-subdomains.txt | httpx -silent -status-code -title -tech-detect -o live-hosts.txt

# مع لقطات شاشة
cat all-subdomains.txt | httpx -silent -screenshot -o live-with-screens/

# فلترة برمز الحالة
cat live-hosts.txt | grep "\[200\]"

سكربت استطلاع كامل

#!/bin/bash
# recon.sh - تعداد النطاقات الفرعية الآلي
DOMAIN=$1
OUTPUT_DIR="./recon/$DOMAIN"
mkdir -p $OUTPUT_DIR

echo "[*] تشغيل subfinder..."
subfinder -d $DOMAIN -silent > $OUTPUT_DIR/subfinder.txt

echo "[*] تشغيل amass السلبي..."
amass enum -passive -d $DOMAIN -o $OUTPUT_DIR/amass.txt 2>/dev/null

echo "[*] دمج النتائج..."
cat $OUTPUT_DIR/*.txt | sort -u > $OUTPUT_DIR/all-subs.txt

echo "[*] حل DNS..."
cat $OUTPUT_DIR/all-subs.txt | dnsx -silent > $OUTPUT_DIR/resolved.txt

echo "[*] فحص HTTP..."
cat $OUTPUT_DIR/resolved.txt | httpx -silent -status-code -title > $OUTPUT_DIR/live.txt

echo "[+] وُجد $(wc -l < $OUTPUT_DIR/live.txt) مضيف حي"

النجاح في العالم الحقيقي

وجد صائد ثغرات:

  • subfinder: 234 نطاق فرعي
  • amass: 312 نطاق فرعي
  • الفريد المدمج: 389 نطاق فرعي
  • HTTP الحي: 156 مضيف
  • خادم اختبار منسي أدى لـ RCE بقيمة 5,000 دولار

رؤية رئيسية: استخدم أدوات متعددة. لا أداة واحدة تجد كل شيء. التداخل يظهر الثقة؛ الاكتشافات الفريدة هي ميزتك.

في الدرس التالي، سنبصم التقنيات ونكتشف المحتوى المخفي. :::

اختبار

الوحدة 2: الاستطلاع واكتشاف الأهداف

خذ الاختبار
نشرة أسبوعية مجانية

ابقَ على مسار النيرد

بريد واحد أسبوعياً — دورات، مقالات معمّقة، أدوات، وتجارب ذكاء اصطناعي.

بدون إزعاج. إلغاء الاشتراك في أي وقت.