OSINT — subdominios
Stack gratuito
Toda la cadena usa herramientas open source. No hace falta Shodan ni Censys para empezar.
Lorem ipsum dolor sit amet. La enumeración de subdominios es la fase más barata y con mayor retorno del kill chain.
Cadena recomendada
# 1. Certificate Transparency
curl -s "https://crt.sh/?q=%25.target.com&output=json" | jq -r '.[].name_value' | sort -u
# 2. DNS brute con wordlist
subfinder -d target.com -silent | tee subs.txt
# 3. Resolución y filtrado
cat subs.txt | httpx -status-code -title -follow-redirects
# 4. URLs interesantes
cat subs.txt | waybackurls | grep -E '\.(js|json|xml|yml|yaml|sql|bak|config|env){{BODY}}#x27;Tabla de herramientas
| Herramienta | Función | Coste |
|---|---|---|
| crt.sh | Certificate Transparency | gratis |
| subfinder | DNS brute | gratis |
| httpx | probe HTTP | gratis |
| waybackurls | URLs históricas | gratis |
| Shodan | internet-wide scan | de pago |
mindmap
root((recon))
pasivo
crt.sh
waybackurls
github dorks
activo
subfinder
amass
dnsx
probe
httpx
nucleiOutput típico
200-2000 subdominios en una organización mediana. Filtrar por status 200 y título relevante reduce a ~50 dianas reales.
Lorem ipsum dolor sit amet. La clave es iterar: añadir palabras del contexto (entornos, regiones) a la wordlist y volver a correr.