Como Encontrar Subdomínios Escondidos: Do DNSDumpster ao Brute Force

O que você vai aprender neste aulão

Se você quer saber como encontrar subdomínios escondidos de qualquer site, este aulão é para você. Eu trouxe esse conhecimento direto do universo de web hacking para a investigação digital e demonstrei tudo ao vivo — usando ferramentas gratuitas que qualquer pessoa pode instalar e rodar hoje mesmo. E Subfinder, DNSDumpster, dnsenum, Sublist3r: todas foram executadas na prática, com resultados reais aparecendo na tela.

Quando você investiga apenas o domínio principal de um site, você está ignorando dezenas (às vezes centenas) de outros sistemas conectados a ele. Subdomínios como intranet.empresa.com, login.empresa.com ou api.empresa.com são sites separados, com servidores próprios, e frequentemente possuem falhas de segurança que o domínio principal não tem. E é justamente aí que a investigação fica interessante.

Depois de assistir este aulão, você vai conseguir: usar o DNSDumpster para mapear subdomínios de forma passiva, instalar e executar o Subfinder no Kali Linux, aplicar força bruta com wordlists do SecLists usando dnsenum e Sublist3r, e entender como a transferência de zona DNS pode expor toda a infraestrutura de um alvo. Tudo isso demonstrado na prática, com exemplos reais de sites de prefeituras, empresas e domínios sugeridos ao vivo pelo público.

O que são subdomínios e por que investigar cada um deles

Um subdomínio é o que vem antes do domínio principal na URL. O site empresa.com é apenas a superfície. Mas email.empresa.com, blog.empresa.com e admin.empresa.com são sistemas completamente diferentes, rodando em servidores separados.

Por que eles existem? Porque é inviável colocar tudo no mesmo servidor. Uma empresa precisa de um software de email, um sistema de autenticação, um blog, um painel administrativo, uma API. Cada função vira um subdomínio. E o YouTube faz isso também — o studio.youtube.com é um subdomínio separado do youtube.com, porque é outra aplicação com outro nível de acesso.

O problema (ou a oportunidade, dependendo do lado que você está) é que o domínio principal recebe toda a atenção de segurança. Os subdomínios, nem tanto. Eu mostrei isso ao vivo quando encontrei o subdomínio mobile.terra.com retornando erro "aplicação não encontrada" e altssoterra.com com um erro de configuração CGI exposto. O site principal do Terra estava impecável. Mas os subdomínios? Cheios de brechas.

Na investigação digital, cada subdomínio que você descobre é um novo ponto de análise. Se você está investigando um phishing ou golpe, por exemplo, o criminoso pode ter netflix.crime.com, bbb.crime.com e banco.crime.com rodando no mesmo servidor. Encontrar os subdomínios revela toda a operação. E quando você precisa descobrir quem está por trás de um site, mapear subdomínios expõe infraestrutura que o WHOIS sozinho não mostra.

Como eu disse na aula: "Sair da superfície de um subdomínio e mapear todos os subdomínios para investigá-lo — você basicamente pega o seu alvo e multiplica a chance de encontrar algo por cada subdomínio, literalmente."

Como encontrar subdomínios com Google Hacking

A técnica mais rápida para encontrar subdomínios indexados é usar o operador de busca site: com asterisco. Basta digitar site:*.dominio.com no Google e ele retorna todos os subdomínios que o buscador já indexou.

Eu demonstrei isso ao vivo com o Terra. Digitei site:*.terra.com e imediatamente apareceram subdomínios como clima.terra.com, games.terra.com e outros que o site principal não mostra em nenhum menu. É uma busca de 5 segundos que já dá resultado.

Mas tem mais. Outra técnica manual que funciona é copiar o link de imagens dentro de um site. Cliquei com o botão direito em uma imagem do Terra, copiei o link, e a URL revelou p2.trrsf.com — um subdomínio de CDN que não aparece em lugar nenhum. Fiz o mesmo percorrendo o site da prefeitura de Florianópolis: cliquei em "Mapas de Obra" e fui redirecionado para obras.gov.pmfc, depois em "Somar Floripa" e cheguei na intranet. Cada clique revelava um subdomínio diferente.

Se você quer se aprofundar nos operadores avançados do Google, eu fiz uma aula inteira sobre isso no Aulão #8 — 7 Buscas Perigosas que Revelam Informações Sensíveis no Google. Mas para subdomínios, essas duas técnicas manuais já são um começo sólido.

DNSDumpster: mapeando subdomínios de forma passiva e gratuita

O DNSDumpster é uma ferramenta web gratuita que consulta caches e históricos de DNS para encontrar subdomínios sem enviar nenhuma requisição direta ao alvo. Você acessa o site, digita o domínio e ele retorna tudo que encontrar.

Eu testei ao vivo com vários domínios. O resultado da prefeitura de Uberlândia (uberlandiamg.gov) foi impressionante: agendamento, alvará, atestado, back-comunicação, back-débito, dados abertos, defesa civil, docs, efiscal, egestão, epidemiológico e até Pix API. Sim, uma API de Pix exposta como subdomínio público. Minha reação ao vivo foi: "Pix API, que isso aqui? Que parada louca."

Depois testei o brunofraga.com e encontrou api, l, lp e www. No tecnicasdeinvasao.com apareceu api, sl e secreto — esse último é onde os alunos fazem login. Até o DNSDumpster encontrou isso.

Mas o teste mais revelador foi com a prefeitura de Florianópolis. Encontrou ADM, ADM2, agendamentos, app, CMS (que tinha um WhatsApp de contato que não aparecia no site principal), cursos, gestão IPTU, ISSnet, e vários servidores de email: meio, meio2, meioz. E ainda achou um painel de login do Zimbra. Se você esquecesse a senha ali, o sistema poderia revelar um email de contato.

O DNSDumpster também gera um mapa gráfico dos subdomínios encontrados, mostrando como eles se conectam entre si. É o ponto de partida perfeito — gratuito, sem instalação, e já revela muita coisa. Mas ele tem uma limitação: só consulta cache. Se o subdomínio nunca foi indexado, ele não encontra.

Subfinder: a ferramenta mais poderosa para enumeração de subdomínios

O Subfinder é a ferramenta que eu considero a mais poderosa para encontrar subdomínios. Diferente do DNSDumpster, ele consulta dezenas de fontes simultaneamente: Google, Shodan, Archive.org e mais de 40 outros serviços.

É uma ferramenta escrita em Go (Golang) pelo ProjectDiscovery, e a instalação no Kali Linux é direta. Primeiro você instala o Golang:

sudo apt-get install golang

Depois instala o Subfinder via go install (o comando está no repositório oficial). O binário fica em ~/go/bin/subfinder. Para executar:

./subfinder -d dominio.com

Só isso. E ProjectDiscovery, a equipe por trás da ferramenta, mantém o código atualizado com novas fontes de dados constantemente.

Para comparar com o DNSDumpster, testei o mesmo domínio: uberlandiamg.gov. Enquanto o DNSDumpster encontrou cerca de 28 subdomínios, o Subfinder trouxe mais de 50 — incluindo web, protestos, project, IoT, requerimentos, imóvel, validador, sepultos, webcam, portal, WebDisco, WebContabilidade, WebZones. Subdomínios que simplesmente não apareciam no DNSDumpster.

Testei também sites sugeridos pelo público ao vivo. O nopba.com retornou apenas www — era um site novo, sem histórico de cache. O silvaeventos.com.br também não tinha subdomínios — site estático simples. Mas o anhanguera.com? O Subfinder encontrou 71 subdomínios: blog, aperfeiçoar, CPC, BI, portal, VooPay, login, colaborador, ensino, inscrição, saque, parceria, app, hub. Cada um desses é uma porta de investigação.

E o arpadigital.com.br (uma agência de tráfego pago de alguém do chat) retornou servidor, API, app, cloud, mail, mailtrack, webdisk, webmail, cPanel, contatos. O dono do site estava assistindo a aula e pode conferir em tempo real. E esse é o ponto: se uma ferramenta gratuita de linha de comando encontra o cPanel, o webmail e a API do seu site em 10 segundos, imagine o que alguém com mais tempo e intenção consegue.

Importante: quando um site não retorna resultados (como aconteceu com nopba.com e silvaeventos.com.br), não significa que não existem subdomínios. Significa que eles nunca foram indexados pelas fontes que o Subfinder consulta. Sites novos, sites pequenos, sites que acabaram de subir — todos podem ter subdomínios que só aparecem na força bruta.

O Subfinder é passivo — ele não envia requisições diretamente ao alvo. Isso garante stealth. Mas como toda ferramenta de cache, ele não encontra subdomínios que nunca foram indexados. É aí que entra a força bruta.

Wordlists: o segredo por trás da descoberta de subdomínios ocultos

Wordlists são listas de palavras usadas para testar possibilidades de forma automatizada. No contexto de subdomínios, uma wordlist contém os nomes mais comuns que programadores usam: admin, intranet, vpn, login, mail, dev, staging, api, blog, test.

O repositório SecLists no GitHub é a referência. Dentro da pasta Discovery/DNS, você encontra arquivos com os top 100 mil, 500 mil e 1 milhão de subdomínios mais utilizados no mundo. Eu abri o arquivo com 1 milhão de entradas ao vivo e mostrei: localhost, cPanel, mail2, pop3, old, new, shop, demo, autodiscover, dev, newsite, transfer, www10. Tudo que você imaginar de possibilidade já está catalogado.

Pedi ao público para sugerir subdomínios que eles achavam que "ninguém encontraria". Alguém sugeriu gatekeeper — estava na lista. Admin? Óbvio que sim. Painel? Vários tipos: painel, painel3, painelstats. A única que não estava na lista de 1 milhão era WPast (WordPress do passado) — mas existem wordlists ainda mais completas no próprio SecLists, com 10 milhões de entradas ou mais.

E não para por aí. Dentro do SecLists você encontra wordlists específicas para CMS (WordPress, Joomla), para diretórios web, para fuzzing de parâmetros, para senhas. A pasta Discovery/DNS é só uma das dezenas de categorias. Se você investiga sites WordPress, por exemplo, tem uma wordlist inteira com caminhos padrão de plugins e admin panels que desenvolvedores esquecem de proteger.

E essas wordlists não vêm do nada. São construídas a partir de dados reais. Vazamentos de grandes plataformas de jogos, por exemplo, alimentaram wordlists de senhas com milhões de credenciais reais. Métricas analíticas de milhões de domínios alimentam as wordlists de subdomínios. Como eu expliquei na aula: "O programador que cria lá um localhost e acha que ninguém vai encontrar — cara, as top 1 milhão estão aqui."

As mesmas wordlists servem para quebrar senhas de Wi-Fi e logins. O conceito é idêntico: testar padrões humanos de forma automatizada. Se você quer aprender a automatizar esse tipo de tarefa com scripts, recomendo o Aulão #25 — Programação do Zero para Investigação Digital, onde eu mostrei como criar automações com Python.

Força bruta com dnsenum, Sublist3r e SubBrute

Força bruta de subdomínios é testar cada palavra de uma wordlist contra o domínio alvo para ver quais respondem. É a técnica que encontra subdomínios que nunca foram indexados por nenhum cache.

dnsenum: enumeração DNS com brute force e zone transfer

O dnsenum já vem instalado no Kali Linux. Você passa o domínio e ele faz tudo: lê registros DNS, tenta transferência de zona e executa brute force com uma wordlist padrão de 1.500 linhas.

dnsenum arpadigital.com.br

Testei ao vivo com arpadigital.com.br e encontrou 5 subdomínios por força bruta — incluindo o cloud, que o Subfinder (passivo) não tinha encontrado. É a prova de que combinar enumeração passiva com força bruta é a estratégia mais completa.

Para usar uma wordlist mais completa, basta passar o parâmetro -f:

dnsenum -f seclists-dns-top1million.txt arpadigital.com.br

Eu baixei a wordlist do SecLists com wget e passei para o dnsenum. Imediatamente encontrou mais resultados que a wordlist padrão.

Mas o dnsenum faz algo ainda mais avançado: tenta a transferência de zona DNS. Essa técnica merece uma seção própria.

Sublist3r: pesquisa multifontes com modo brute force

O Sublist3r é uma ferramenta Python que consulta simultaneamente Baidu, Yahoo, Google, Bing, Ask, Netcraft e DNSDumpster. Instalação no Kali:

sudo apt-get install sublist3r

Uso básico:

sublist3r -d arpadigital.com.br

Ele percorre todos os motores de busca automaticamente e consolida os resultados. Mas o diferencial é o flag -b, que ativa o brute force usando o SubBrute como engine:

sublist3r -b -d arpadigital.com.br

O SubBrute é a ferramenta que eu considero a melhor para força bruta de subdomínios. Ele usa resolvedores DNS abertos para contornar rate-limiting e ordena a wordlist por frequência para retornar subdomínios comuns primeiro. É mais rápido e preciso que o dnsenum para brute force puro.

Se você nunca usou o terminal Linux, recomendo começar pelo Aulão #15 — Seu primeiro passo no Linux antes de instalar essas ferramentas.

Transferência de zona DNS: a técnica avançada que poucos conhecem

A transferência de zona DNS é um protocolo que permite servidores DNS sincronizarem registros entre si. Quando um servidor está mal configurado, qualquer pessoa pode solicitar uma cópia completa de todos os registros DNS — incluindo subdomínios internos que não deveriam ser públicos.

O dnsenum tenta isso automaticamente. Como eu expliquei na aula: "Ele faz uma requisição no servidor de DNS se passando pelos servidores DNS e fala: olá, eu quero atualizar a lista de DNS. E ele expõe DNS interna da rede local. É uma parada sinistra."

Na prática, funciona assim: o protocolo AXFR (transferência completa) é usado legitimamente quando um servidor DNS primário precisa replicar dados para um secundário. Mas quando o administrador não restringe quem pode solicitar essa transferência, um atacante (ou investigador) consegue obter a lista completa de registros — revelando toda a infraestrutura de subdomínios do alvo, incluindo os internos.

E AXFR, o protocolo de transferência completa, é justamente o que o dnsenum tenta explorar. Quando essa técnica funciona? O resultado é devastador. Você recebe subdomínios internos da rede local que não aparecem em nenhum cache, nenhuma wordlist e nenhuma busca no Google. É por isso que eu disse que é "absurdamente séria quando passa, e muitas vezes passa".

A defesa contra isso é simples: restringir transferências de zona apenas para servidores autorizados e usar TSIG (Transaction Signature). Mas a realidade é que a maioria das organizações — especialmente órgãos públicos brasileiros — simplesmente não configuram isso. Se você quer entender mais sobre como Shodan pode identificar servidores vulneráveis a esse tipo de falha, eu cobri isso em detalhes no aulão sobre Shodan.

Estratégia completa: combinando técnicas para máxima cobertura

Nenhuma ferramenta sozinha encontra tudo. A estratégia que eu uso na prática é uma combinação de quatro camadas:

1. Google Hacking — busca rápida com site:*.dominio.com para pegar subdomínios indexados
2. DNSDumpster — reconhecimento passivo via cache, com mapa gráfico gratuito
3. Subfinder — enumeração passiva consultando dezenas de fontes (Google, Shodan, Archive e mais)
4. Força bruta — dnsenum ou Sublist3r com wordlists do SecLists para encontrar subdomínios nunca indexados
5. Transferência de zona — tentativa automática pelo dnsenum que, quando funciona, revela tudo

No caso da prefeitura de Uberlândia, o DNSDumpster encontrou 28 subdomínios. O Subfinder encontrou mais de 50, incluindo IoT, webcam e WebContabilidade. E a força bruta revelaria ainda outros que nenhum cache tinha. Cada camada complementa a anterior. E Kali Linux já vem com a maioria dessas ferramentas pré-instaladas, então você pode começar rapidamente.

Depois de mapear os subdomínios, cada um vira um alvo de investigação. Abra o subdomínio no browser. Procure painéis de login. Verifique erros de configuração. Busque informações sensíveis. Como eu mostrei com as prefeituras — WhatsApp de contato no CMS, Zimbra com recuperação de senha, APIs expostas. E aplique todas as técnicas de investigação que você já conhece: engenharia social, análise de headers, desafios práticos de OSINT.

Ferramentas Utilizadas Neste Aulão

Perguntas Frequentes

O que são subdomínios e para que servem?

Subdomínios são endereços que vêm antes do domínio principal — por exemplo, blog.empresa.com ou mail.empresa.com. Eles existem para isolar funções diferentes: email, autenticação, blog, API, painel administrativo. Cada subdomínio é essencialmente um site separado rodando em seu próprio servidor.

Como descobrir os subdomínios de um site?

Existem quatro abordagens: Google Hacking com operador site:*.dominio.com, ferramentas de cache como DNSDumpster, enumeração passiva com Subfinder, e força bruta com wordlists usando dnsenum ou Sublist3r. A combinação das quatro garante a maior cobertura possível.

Preciso saber programar para usar essas ferramentas?

Não. O DNSDumpster é 100% web — basta acessar o site e digitar o domínio. O Subfinder, dnsenum e Sublist3r rodam via terminal com comandos simples de uma linha. Você precisa de um Kali Linux (ou qualquer Linux) e seguir os comandos de instalação que eu mostrei na aula.

Qual a diferença entre enumeração passiva e força bruta?

Enumeração passiva (Subfinder, DNSDumpster) consulta caches e históricos da internet — não envia requisições ao alvo. Força bruta (dnsenum, SubBrute) testa cada palavra de uma wordlist diretamente contra o servidor DNS do alvo. A passiva é mais discreta; a força bruta encontra subdomínios que nunca foram indexados.

O que é uma wordlist e onde encontrar?

Wordlist é um arquivo de texto com milhares (ou milhões) de palavras comuns. Para subdomínios, o repositório SecLists no GitHub tem listas com os top 100 mil, 500 mil e 1 milhão de subdomínios mais usados no mundo. São construídas a partir de dados reais e métricas analíticas.

O que é transferência de zona DNS e por que é perigosa?

É um protocolo que permite servidores DNS sincronizarem registros. Quando mal configurado, qualquer pessoa pode solicitar uma cópia completa de todos os registros DNS do domínio — incluindo subdomínios internos da rede local. O dnsenum tenta isso automaticamente em cada scan.

Posso usar essas técnicas no Windows?

O DNSDumpster funciona em qualquer browser. O Subfinder tem versão para Windows (basta instalar Golang e rodar go install). Para as ferramentas de força bruta, o ideal é usar Kali Linux em uma máquina virtual ou WSL (Windows Subsystem for Linux). Mas nada impede de rodar no Windows com as adaptações certas.

Encontrar subdomínios é ilegal?

Enumeração de subdomínios usando fontes passivas (cache, buscadores) não envia requisições ao alvo e não é considerada invasão. Força bruta envia requisições DNS ao servidor e pode ser considerada scan não autorizado dependendo da jurisdição. Sempre tenha autorização antes de testar infraestrutura de terceiros. Este conteúdo é estritamente educacional.

Veja também: Primeiro Aulão Presencial no Brasil: Bug Bounty, Flipper Zero e os Bastidores da Equipe — Aulão #30

Veja também: TraceLabs: Vale a Pena ou o Kali Linux Resolve? — Aulão #33

Referências e Recursos

• DNSDumpster — Ferramenta gratuita de reconhecimento DNS
• Subfinder — Enumeração passiva de subdomínios (GitHub)
• Documentação oficial do Subfinder (ProjectDiscovery)
• SecLists — Repositório de wordlists para testes de segurança (GitHub)
• dnsenum — Enumeração DNS com brute force (GitHub)
• Sublist3r — Enumeração de subdomínios multifontes (GitHub)
• SubBrute — Força bruta de subdomínios (GitHub)
• Kali Linux — Distribuição para testes de segurança
• Go (Golang) — Linguagem de programação
• Shodan — Motor de busca para dispositivos conectados
• Transferência de zona DNS — Wikipedia