我們可以使用 （-active） 標志從 SSL 證書中獲取域名。這與 IP 范圍相結合可以產生有趣的結果。

./amass intel -active -addr 8.8.8.8

查找 ASN nr：

自治系統編號是全球可用的唯一標識符，允許其自治系統與其他系統交換路由信息。如果我們找到這個數字，我們就可以提取更多信息。

./amas intel -org “google”

現在我們有了 ASN nr，我們可以尋找更多域。

./amass intel -active -asn 15169

設置默認超時：

Amass 在大型示波器上執(zhí)行時可以運行很長時間。為了限制您的搜索時間，我們可以設置超時。此值以分鐘為單位。

./amass intel -timeout 60 -d google.com

這些是 intel 子命令中可用的一些選項。您還可以將它們鏈接在一起并混合它們以獲得盡可能多的結果。

Amass 枚舉模塊：

這個模塊可能是 Amass 最常用的功能。Enum 將嘗試從你提供的根域中查找子域。使用 ./amass enum 檢查所有選項，或查看 https://github.com/OWASP/Amass/blob/master/doc/user_guide.md 中的用戶指南

使用 enum 模塊，我們可以進行被動和主動掃描。被動掃描要快得多，但不會驗證找到的子域。使用 （-passive） 標志時，并非所有選項都可用。

./amass enum -passive -d owasp.org -src -config config.ini

在主動模式下使用 Amass 時，這將花費更長的時間，但會提供更準確的結果。這與一些參數調整相結合可以產生良好的結果。最基本的 enum 命令只需要一個 domain。我將提供配置文件和 -src 標志來顯示 Amass 從哪里獲取信息。

./amass enum -active -d owasp.org -src -config config.ini

詞表：

您可以使用 （-aw） 標志提供自己的自定義單詞列表以獲得更好的結果。

./amass enum -aw <PATH> -d owasp.org

饋送根域名：

使用我們從 intel 模塊收集的根域名列表，我們可以將這些域名以文件格式提供給 Amass，并使用 （-df） 標志。請記住，這些掃描可能需要很長時間。

./amass enum -df domains.txt

enum 模塊中還有更多選項可供探索，請查看用戶頁面以獲取更詳細的示例。

Amass 可視化模塊

大多數獵人不會使用此模塊，因為它會生成域之間找到的鏈接的可視化，但很高興快速向您展示。有不同的輸出可用，其中之一是一個很好的交互式 HTML 頁面，顯示所有連接。有關更多選項，請運行 ./amass viz。

./amass viz -d3 -d owasp.org

Amass track 模塊

組織會發(fā)生變化，每天都會添加新的域和子域。Amass 有一個很好的模塊來跟蹤這些更改并將其報告給您。當您使用 Amass 進行掃描時，它會將其存儲到您的計算機上。當您稍后再次執(zhí)行此掃描時，您可以發(fā)現新添加的資產。如果您要自動化此過程，這將非常強大。運行 ./amas track 查看選項。

./amass track -d owasp.org

Amass db 模塊

db 模塊基本上是您過去所做的所有掃描的日志。您可以檢索以前的掃描并查看結果。下面是幾個示例

所有掃描：

顯示 Amass 完成的所有掃描的列表

./amass db -list

特定掃描結果：

當您想要查看上一次運行的特定掃描時，需要 （-show） 標志。

./amass db -show -d owasp.org

結論

Amass 可以發(fā)現許多隱藏的資產，這些資產會提供新的攻擊媒介。新發(fā)現的域列表可用于將您的工作流程與其他工具鏈接起來。但為了確保您充分利用該工具，您需要配置盡可能多的 API 密鑰。我希望您喜歡我們的文章，并祝您發(fā)現所有這些新的子域愉快。

轉自：Hacker tools: Amass - hunting for subdomains | Intigriti