H1RD SECURITY

Amass, la mejor aplicación para buscar subdominios

Amass, es una aplicación desarrollada en Go, que es la aplicación más rápida y efectiva para buscar subdominios, parte fundamental de la parte recon de una aplicación web. En este post aprenderás todo lo necesario para usar esta aplicación correctamente.

Amass aplicación recomendada por @Jhaddix
Amass aplicación recomendada por @Jhaddix en su charla Bughunters methodology v3

Instalar Amass

Esta aplicación funciona tanto para sistemas linux como para windows en windows, puedes descargarte la ultima versión de la aplicación desde aquí.

En sistemas linux puedes descargarte la aplicación desde snap, buscando “amass”.

Amass se puede descargar desde snap
Amass se puede descargar desde snap

Usar Amass

Esta aplicación es de las más rápidas para buscar subdominios pero es una aplicación de consola, es decir no tiene interfaz gráfica, es todo por comandos, para mi es un punto a favor.

Comandos básicos

El primer paso más importante, saber donde esta la ayuda en Amass, es mediante -h, donde recibiremos todos los comandos disponibles.

1
    amass -h

Empezando una búsqueda de subdominios básica, con la opción -d

1
    amass -d facebook.com

donde recibiremos algo como esto:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
h1rd@dmz:~$ amass -d facebook.com
register.facebook.com
www.facebook.com
m.facebook.com
de.facebook.com
facebook.com
a.ns.facebook.com
edge-snaptu-http-mini-shv-01-amt2.facebook.com
edge-star-shv-01-mia3.facebook.com
edge-mqtt-shv-01-atl3.facebook.com
edge-z-m-mini-shv-01-iad3.facebook.com
edge-mqtt-shv-01-mia3.facebook.com
<figure class="highlight"><pre><code class="language-xml" data-lang="xml"><table class="rouge-table"><tbody><tr><td class="gutter gl"><pre class="lineno">1
</pre></td><td class="code"><pre>    <span class="cp">&lt;!ENTITY gt       "&amp;#62;"&gt;</span> 
</pre></td></tr></tbody></table></code></pre></figure>

edge-star-shv-01-amt2.facebook.com
edge-z-m-mini-shv-01-atl3.facebook.com
edge-snaptu-http-p2-shv-01-sea1.facebook.com
secure-edge-latest-shv-01-mad1.facebook.com
cromwelledge-bgp-01-mad1.facebook.com
edge-atlas-shv-01-amt2.facebook.com
traceroute-bgp-01-sea1.facebook.com
edge-mqtt-mini-shv-01-mia3.facebook.com
edgeray-shv-01-sea1.facebook.com
edge-atlas-shv-01-iad3.facebook.com
edge-z-p3-shv-01-mia3.facebook.com
edge-z-p3-shv-01-sea1.facebook.com
edge-z-1-p2-shv-01-vie1.facebook.com
...

Extrayendo más datos, usando la opción -ip recibiremos la ip desde donde esta el subdominio alojado

1
    amass -ip -d facebook.com

Y veremos los subdominios detectados con sus ips

1
2
3
4
5
6
7
8
9
10
h1rd@dmz:~$ amass -ip -d facebook.com
work-98949980.facebook.com,179.60.192.3
work-94644431.facebook.com,179.60.192.3
mail2000.facebook.com,179.60.192.3
work-70529761.facebook.com,31.13.90.2
edge-snaptu-http-p2-shv-01-sea1.facebook.com,31.13.76.73
experiment-dns-science-300.facebook.com,66.220.152.19
m.0.facebook.com,31.13.90.37
0.facebook.com,31.13.90.37
...

Comandos de fuerza bruta

En este apartado veremos varios comandos interesantes para buscar subdominios por fuerza bruta. Ten cuidado con estas operaciones ya que pueden sobrecargar tu red.

Comandos:

-brute después de buscar subdominios ejecuta las operaciones de fuerza bruta -min-for-recursive numero esta operación habilita la posibilidad de volver a hacer fuerza bruta recursiva, es decir si pones -min-for-recursive 3 y en esta vuelta de fuerza bruta el programa solo encuentra 2 subdominios, no volverá a revisar a pasar -norecursive esta opción es para que el ataque de fuerza bruta solo sea sobre el dominio principal -w nombrefichero cambias el diccionario de fuerza bruta que usara amass.

Comandos para exportar datos

En esta sección encontraras los comandos necesarios para exportar los resultados

-json nombrefichero con este comando exportaras los resultados a un fichero en formato json. -o nombrefichero con este comando exportaras el resultado al fichero que digas. -log nombrefichero con este comando podrás exportar.