staging-api.company.com

# Требуется Go 1.21+
go
install
-v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest
# Проверка установки
subfinder -version
# Вывод: subfinder version 2.6.9

# Linux/MacOS
wget
https://github.com/projectdiscovery/subfinder/releases/download/v2.6.9/subfinder_2.6.9_linux_amd64.zip
unzip
subfinder_2.6.9_linux_amd64.zip
chmod
+x subfinder
sudo
mv
subfinder /usr/local/bin/
# Windows - скачайте .zip с GitHub Releases и добавьте в PATH

docker pull projectdiscovery/subfinder:latest
docker run projectdiscovery/subfinder -d example.com

subfinder -d hackerone.com

# Детальный поиск с сохранением результатов
subfinder -d hackerone.com -o subdomains.txt -v -t
50
-timeout
30
# Расшифровка флагов:
# -o subdomains.txt — сохранить результаты в файл
# -v — показать какие источники работают/не работают
# -t 50 — использовать 50 потоков (ускорение в 5x)
# -timeout 30 — ждать ответа до 30 секунд

# Linux/Mac
mkdir
~/.config/subfinder
nano
~/.config/subfinder/provider-config.yaml
# Windows
# Создайте C:\Users\%USERNAME%\.config\subfinder\provider-config.yaml

# provider-config.yaml
# Формат для SubFinder 2.6.9
securitytrails
:
api_key
:
"ВАШ_API_КЛЮЧ_SECURITYTRAILS"
censys
:
app_id
:
"ВАШ_CENSYS_APP_ID"
secret
:
"ВАШ_CENSYS_SECRET"
virustotal
:
-
"ВАШ_API_КЛЮЧ_VIRUSTOTAL"
chaos
:
api_key
:
"ВАШ_API_КЛЮЧ_CHAOS"
shodan
:
-
"ВАШ_API_КЛЮЧ_SHODAN"
# Новые источники 2025
bevigil
:
api_key
:
"ВАШ_API_КЛЮЧ_BEVIGIL"
fullhunt
:
api_key
:
"ВАШ_API_КЛЮЧ_FULLHUNT"
netlas
:
api_key
:
"ВАШ_API_КЛЮЧ_NETLAS"
# Дополнительные платные/премиум источники
binaryedge
:
-
"ВАШ_API_КЛЮЧ_BINARYEDGE"
passivetotal
:
username
:
"ВАШ_EMAIL"
api_key
:
"ВАШ_API_КЛЮЧ"
github
:
-
"ВАШ_GITHUB_TOKEN"
# Создайте token с правами public_repo

# Тест с verbose режимом чтобы видеть какие API работают
subfinder -d example.com -v
# Вы увидите:
# [INF] Loading provider config from /home/user/.config/subfinder/provider-config.yaml
# [INF] Enumerating subdomains for example.com
# [INF] Found 127 subdomains for example.com from SecurityTrails
# [INF] Found 89 subdomains for example.com from Censys
# ...

# Используйте прокси
subfinder -d target.com -proxy http://proxy:8080
# Или исключите проблемные источники
subfinder -d target.com -exclude-sources securitytrails,censys,binaryedge,passivetotal
# Рабочие источники без блокировок в РФ (ноябрь 2025):
# chaos, virustotal (медленно), alienvault, urlscan, waybackarchive, crtsh, bevigil, netlas

subfinder -d company.com -o initial.txt
# Результат: 67 поддоменов

# Внимание: используем новый флаг -use-sources all вместо устаревшего -all
subfinder -d company.com -use-sources all -config ~/.config/subfinder/provider-config.yaml -o full.txt
# Результат: 523 поддомена!

# Находим уникальные поддомены, которых не было в первом сканировании
comm
-13

new_discoveries.txt
# Результат: 456 новых поддоменов

# Используем httpx для проверки живых хостов (обновленные флаги для версии 1.3.x)
cat
new_discoveries.txt
|
httpx -silent -td -mc
200,301
,302,403 -o alive.txt
# Результат: 89 живых хостов

api-v1-deprecated.company.com

# GraphQL introspection запрос
curl
-X POST https://api-v1-deprecated.company.com/graphql
\
-H
"Content-Type: application/json"
\
-d
'{"query": "{__schema{types{name,fields{name,type{name}}}}}"}'
# Ответ: полная схема API с внутренними endpoints

#!/bin/bash
# osint-pipeline.sh - Полная автоматизация разведки
# Требуется: subfinder 2.6.9+, dnsx 1.2+, httpx 1.3+, gowitness, nuclei 3.0+
TARGET
=
$1
OUTPUT_DIR
=
"recon_$TARGET_$(date +%Y%m%d)"
mkdir
-p
$OUTPUT_DIR
echo
"[*] Этап 1: Поиск поддоменов с SubFinder"
# Используем rate-limit для избежания блокировок
subfinder -d
$TARGET
-use-sources all -rate-limit
10
-o
$OUTPUT_DIR
/subdomains.txt
echo
"[*] Этап 2: Резолвинг DNS и поиск живых хостов"
# Обновленные флаги для dnsx 1.2+
cat
$OUTPUT_DIR
/subdomains.txt
|
dnsx -silent -a -resp-only -o
$OUTPUT_DIR
/resolved.txt
echo
"[*] Этап 3: Проверка HTTP/HTTPS сервисов"
# Обновленные флаги для httpx 1.3+ (-td вместо -tech-detect)
cat
$OUTPUT_DIR
/resolved.txt
|
httpx -silent -title -status-code -td -mc
200,301
,302,403 -o
$OUTPUT_DIR
/httpx.txt
echo
"[*] Этап 4: Скриншоты интересных целей"
# gowitness вместо устаревшего aquatone
cat
$OUTPUT_DIR
/httpx.txt
|
grep
-E
"200|301|302"
|
cut
-d
' '
-f1
>
$OUTPUT_DIR
/alive_urls.txt
gowitness
file
-f
$OUTPUT_DIR
/alive_urls.txt --screenshot-path
$OUTPUT_DIR
/screenshots
echo
"[*] Этап 5: Поиск уязвимостей с Nuclei"
# Правильный путь для nuclei 3.0+ и rate limiting
nuclei -l
$OUTPUT_DIR
/httpx.txt -t ~/.local/nuclei-templates/ -rl
10
-c
10
-o
$OUTPUT_DIR
/vulns.txt
echo
"[+] Разведка завершена! Результаты в $OUTPUT_DIR"
echo
"[!] Логи SubFinder сохранены в ~/.config/subfinder/logs/"

# subfinder_automation.py
import
subprocess
import
json
from
datetime
import
datetime
def
run_subfinder
(
domain
,
api_config_path
)
:
"""Запуск SubFinder с Python обработкой результатов (для версии 2.6.9+)"""
cmd
=
[
'subfinder'
,
'-d'
,
domain
,
'-use-sources'
,
'all'
,
# Новый флаг вместо -all
'-config'
,
api_config_path
,
'-json'
,
# Изменен флаг для JSON вывода
'-silent'
]
result
=
subprocess
.
run
(
cmd
,
capture_output
=
True
,
text
=
True
)
subdomains
=
[
]
# Обработка NDJSON формата (каждая строка - отдельный JSON объект)
for
line
in
result
.
stdout
.
strip
(
)
.
split
(
'\n'
)
:
if
line
:
try
:
data
=
json
.
loads
(
line
)
subdomains
.
append
(
{
'host'
:
data
.
get
(
'host'
,
''
)
,
'source'
:
data
.
get
(
'source'
,
'unknown'
)
,
'timestamp'
:
datetime
.
now
(
)
.
isoformat
(
)
}
)
except
json
.
JSONDecodeError
:
continue
# Пропускаем невалидные строки
return
subdomains
def
enrich_with_shodan
(
subdomains
,
api_key
)
:
"""Обогащение данных через Shodan API"""
import
shodan
    api
=
shodan
.
Shodan
(
api_key
)
enriched
=
[
]
for
subdomain
in
subdomains
:
try
:
# Получаем только хост без протокола
host
=
subdomain
[
'host'
]
.
replace
(
'http://'
,
''
)
.
replace
(
'https://'
,
''
)
host_info
=
api
.
host
(
host
)
subdomain
[
'ports'
]
=
host_info
.
get
(
'ports'
,
[
]
)
subdomain
[
'vulns'
]
=
host_info
.
get
(
'vulns'
,
[
]
)
subdomain
[
'org'
]
=
host_info
.
get
(
'org'
,
''
)
except
Exception
as
e
:
subdomain
[
'error'
]
=
str
(
e
)
enriched
.
append
(
subdomain
)
return
enriched
# Использование
domains
=
[
'example.com'
,
'target.org'
]
all_results
=
[
]
for
domain
in
domains
:
print
(
f"[*] Сканирование{domain}..."
)
subs
=
run_subfinder
(
domain
,
'~/.config/subfinder/provider-config.yaml'
)
print
(
f"[+] Найдено{len(subs)}поддоменов"
)
enriched
=
enrich_with_shodan
(
subs
,
'YOUR_SHODAN_KEY'
)
all_results
.
extend
(
enriched
)
# Сохранение для дальнейшего анализа
with
open
(
'recon_results.json'
,
'w'
)
as
f
:
json
.
dump
(
all_results
,
f
,
indent
=
2
,
ensure_ascii
=
False
)
print
(
f"[+] Результаты сохранены в recon_results.json"
)

# 1. Быстрая разведка с SubFinder (2 минуты)
subfinder -d target.com -use-sources all -o subfinder_results.txt
# 2. Проверка облачной инфраструктуры с CloudRecon (5 минут)
cloudrecon -d target.com -p aws,azure,gcp -o cloud_assets.txt
# 3. Если нужно больше данных - запускаем Amass (30 минут)
amass enum -passive -d target.com -o amass_results.txt
# 4. Объединяем и фильтруем уникальные
cat
subfinder_results.txt cloud_assets.txt amass_results.txt
|
sort
-u
>
all_subdomains.txt

-recursive

-use-sources all

-all

# HTTP прокси
subfinder -d target.com -proxy http://proxy:8080
# SOCKS5 прокси
subfinder -d target.com -proxy socks5://127.0.0.1:9050
# Исключение всех проблемных источников для РФ
subfinder -d target.com -exclude-sources securitytrails,censys,binaryedge,passivetotal,builtwith,hunter
# Использование только гарантированно рабочих в РФ источников
subfinder -d target.com -sources crtsh,waybackarchive,alienvault,bevigil,netlas,fullhunt

# Ограничение запросов (обязательно для 2025)
subfinder -d target.com -rate-limit
5
# 5 запросов/сек на источник
# Увеличение таймаутов для медленных API
subfinder -d target.com -timeout
60
# Использование только стабильных источников
subfinder -d target.com -sources crtsh,chaos,virustotal,bevigil

~/.config/subfinder/logs/

# Проверьте что записано в логах
ls
-la ~/.config/subfinder/logs/
# Очистите логи после работы
rm
-rf ~/.config/subfinder/logs/*
# Отключите логирование (добавьте в ~/.bashrc)
export
SUBFINDER_LOG_LEVEL
=
silent

□ Подготовка:
  □ Пройдите KYC верификацию на HackerOne/Bugcrowd (2-5 дней)
  □ Оформите самозанятость/ИП для легальных выплат (для РФ)
  □ Настройте криптокошелек для получения выплат (USDT/BTC)
□ Выбор цели:
  □ Найдите программу с широким scope (*.company.com)
  □ Проверьте минимальные выплаты (от $100 в 2025)
  □ Изучите out-of-scope (staging/dev часто исключены)
□ Разведка:
  □ Настройте минимум 5 API для SubFinder
  □ Запустите: subfinder -d target.com -use-sources all
  □ Проверьте живые хосты: cat subs.txt | httpx -silent -td
□ Поиск уязвимых целей:
  □ Ищите: api-v1, api-old, legacy, deprecated, backup
  □ Избегайте: staging, dev, test (часто out-of-scope)
  □ Проверьте: robots.txt, security.txt, /.git/, /graphql
□ Автоматизация проверок:
  □ nuclei -l alive.txt -t ~/.local/nuclei-templates/exposures/
  □ Проверьте GraphQL интроспекцию
  □ Ищите открытые админки и дашборды
□ Отчет и выплата:
  □ Пишите отчет сразу после находки (конкуренция!)
  □ Используйте шаблоны платформы
  □ Ожидайте выплату 30-90 дней
  □ Учтите налоги: 15% для нерезидентов США