الاستطلاع واكتشاف الأهداف
تعداد النطاقات الفرعية
4 دقيقة للقراءة
تعداد النطاقات الفرعية يوسع سطح هجومك. كل نطاق فرعي هو نقطة دخول محتملة. في 2026، دمج الأدوات يعطي أفضل تغطية.
خط أنابيب الاستطلاع
المصادر السلبية → القوة العمياء النشطة → حل DNS → فحص HTTP
↓ ↓ ↓ ↓
subfinder amass dnsx httpx
Subfinder: التعداد السلبي السريع
Subfinder يستعلم مصادر سلبية متعددة بسرعة:
# الاستخدام الأساسي
subfinder -d example.com -o subs.txt
# جميع المصادر (أبطأ لكن شامل)
subfinder -d example.com -all -o subs-all.txt
# نطاقات متعددة
subfinder -dL domains.txt -o all-subs.txt
# الوضع الصامت (المخرجات فقط)
subfinder -d example.com -silent
المصادر: سجلات الشهادات، مجمعات DNS، محركات البحث، تغذيات معلومات التهديدات.
Amass: الاكتشاف الشامل
Amass يوفر تعداداً أعمق مع قدرات نشطة:
# الوضع السلبي (موصى به أولاً)
amass enum -passive -d example.com -o amass-passive.txt
# الوضع النشط مع القوة العمياء
amass enum -active -d example.com -brute -o amass-active.txt
# مع قائمة كلمات محددة
amass enum -active -d example.com -brute -w ~/wordlists/subdomains.txt
# تتبع التغييرات عبر الوقت
amass track -d example.com
نصيحة احترافية: أمر intel في Amass يجد نطاقات مرتبطة:
amass intel -whois -d example.com
القوة العمياء لـ DNS
ولّد تبديلات لإيجاد نطاقات فرعية غير مدرجة:
# استخدام dnsx للحل
cat subdomains.txt | dnsx -silent -a -resp -o resolved.txt
# استخدام puredns للقوة العمياء + الحل
puredns bruteforce ~/wordlists/best-dns-wordlist.txt example.com -r resolvers.txt -w brute-results.txt
# التبديل مع alterx
echo "example.com" | alterx -enrich | dnsx -silent
دمج النتائج
دمج وإزالة التكرارات:
# دمج جميع المصادر
cat subfinder.txt amass.txt brute.txt | sort -u > all-subdomains.txt
# عد النتائج
wc -l all-subdomains.txt
حل DNS والتحقق
ليست كل النطاقات الفرعية المكتشفة حية:
# الحل مع dnsx
cat all-subdomains.txt | dnsx -silent -a -aaaa -cname -resp -o dns-resolved.txt
# التحقق من احتمال استيلاء DNS (CNAME لخدمات معلقة)
cat dns-resolved.txt | grep -E "(cloudfront|s3|github|heroku|azure)"
مؤشرات استيلاء النطاق الفرعي
| الخدمة | نمط CNAME | ضعيف إذا |
|---|---|---|
| AWS S3 | .s3.amazonaws.com |
Bucket غير موجود |
| GitHub Pages | .github.io |
Repo غير مُعد |
| Heroku | .herokuapp.com |
التطبيق محذوف |
| Azure | .cloudapp.net |
المورد محذوف |
فحص HTTP
تحديد خوادم الويب الحية:
# استخدام httpx
cat all-subdomains.txt | httpx -silent -status-code -title -tech-detect -o live-hosts.txt
# مع لقطات شاشة
cat all-subdomains.txt | httpx -silent -screenshot -o live-with-screens/
# فلترة برمز الحالة
cat live-hosts.txt | grep "\[200\]"
سكربت استطلاع كامل
#!/bin/bash
# recon.sh - تعداد النطاقات الفرعية الآلي
DOMAIN=$1
OUTPUT_DIR="./recon/$DOMAIN"
mkdir -p $OUTPUT_DIR
echo "[*] تشغيل subfinder..."
subfinder -d $DOMAIN -silent > $OUTPUT_DIR/subfinder.txt
echo "[*] تشغيل amass السلبي..."
amass enum -passive -d $DOMAIN -o $OUTPUT_DIR/amass.txt 2>/dev/null
echo "[*] دمج النتائج..."
cat $OUTPUT_DIR/*.txt | sort -u > $OUTPUT_DIR/all-subs.txt
echo "[*] حل DNS..."
cat $OUTPUT_DIR/all-subs.txt | dnsx -silent > $OUTPUT_DIR/resolved.txt
echo "[*] فحص HTTP..."
cat $OUTPUT_DIR/resolved.txt | httpx -silent -status-code -title > $OUTPUT_DIR/live.txt
echo "[+] وُجد $(wc -l < $OUTPUT_DIR/live.txt) مضيف حي"
النجاح في العالم الحقيقي
وجد صائد ثغرات:
- subfinder: 234 نطاق فرعي
- amass: 312 نطاق فرعي
- الفريد المدمج: 389 نطاق فرعي
- HTTP الحي: 156 مضيف
- خادم اختبار منسي أدى لـ RCE بقيمة 5,000 دولار
رؤية رئيسية: استخدم أدوات متعددة. لا أداة واحدة تجد كل شيء. التداخل يظهر الثقة؛ الاكتشافات الفريدة هي ميزتك.
في الدرس التالي، سنبصم التقنيات ونكتشف المحتوى المخفي. :::