Como Encontrar Subdominios Escondidos: Do DNSDumpster ao Brute Force

O que você vai aprender neste aulão

Se você quer saber como encontrar subdomínios escondidos de qualquer site, este aulão é para você. Eu trouxe esse conhecimento direto do universo de web hacking para a investigação digital e demonstrei tudo ao vivo — usando ferramentas gratuitas que qualquer pessoa pode instalar e rodar hoje mesmo. E Subfinder, DNSDumpster, dnsenum, Sublist3r: todas foram executadas na prática, com resultados reais aparecendo na tela.

Quando voce investiga apenas o dominio principal de um site, voce esta ignorando dezenas (as vezes centenas) de outros sistemas conectados a ele. Subdominios como intranet.empresa.com, login.empresa.com ou api.empresa.com sao sites separados, com servidores proprios, e frequentemente possuem falhas de seguranca que o dominio principal nao tem. E e justamente ai que a investigacao fica interessante.

Depois de assistir este aulao, voce vai conseguir: usar o DNSDumpster para mapear subdominios de forma passiva, instalar e executar o Subfinder no Kali Linux, aplicar forca bruta com wordlists do SecLists usando dnsenum e Sublist3r, e entender como a transferencia de zona DNS pode expor toda a infraestrutura de um alvo. Tudo isso demonstrado na pratica, com exemplos reais de sites de prefeituras, empresas e dominios sugeridos ao vivo pelo publico.

O que sao subdominios e por que investigar cada um deles

Um subdominio e o que vem antes do dominio principal na URL. O site empresa.com e apenas a superficie. Mas email.empresa.com, blog.empresa.com e admin.empresa.com sao sistemas completamente diferentes, rodando em servidores separados.

Por que eles existem? Porque e inviavel colocar tudo no mesmo servidor. Uma empresa precisa de um software de email, um sistema de autenticacao, um blog, um painel administrativo, uma API. Cada funcao vira um subdominio. E o YouTube faz isso tambem — o studio.youtube.com e um subdominio separado do youtube.com, porque e outra aplicacao com outro nivel de acesso.

O problema (ou a oportunidade, dependendo do lado que voce esta) e que o dominio principal recebe toda a atencao de seguranca. Os subdominios, nem tanto. Eu mostrei isso ao vivo quando encontrei o subdominio mobile.terra.com retornando erro "aplicacao nao encontrada" e altssoterra.com com um erro de configuracao CGI exposto. O site principal do Terra estava impecavel. Mas os subdominios? Cheios de brechas.

Na investigacao digital, cada subdominio que voce descobre e um novo ponto de analise. Se voce esta investigando um phishing ou golpe, por exemplo, o criminoso pode ter netflix.crime.com, bbb.crime.com e banco.crime.com rodando no mesmo servidor. Encontrar os subdominios revela toda a operacao. E quando voce precisa descobrir quem esta por tras de um site, mapear subdominios expoe infraestrutura que o WHOIS sozinho nao mostra.

Como eu disse na aula: "Sair da superficie de um subdominio e mapear todos os subdominios para investiga-lo — voce basicamente pega o seu alvo e multiplica a chance de encontrar algo por cada subdominio, literalmente."

Como encontrar subdominios com Google Hacking

A tecnica mais rapida para encontrar subdominios indexados e usar o operador de busca site: com asterisco. Basta digitar site:*.dominio.com no Google e ele retorna todos os subdominios que o buscador ja indexou.

Eu demonstrei isso ao vivo com o Terra. Digitei site:*.terra.com e imediatamente apareceram subdominios como clima.terra.com, games.terra.com e outros que o site principal nao mostra em nenhum menu. E uma busca de 5 segundos que ja da resultado.

Mas tem mais. Outra tecnica manual que funciona e copiar o link de imagens dentro de um site. Cliquei com o botao direito em uma imagem do Terra, copiei o link, e a URL revelou p2.trrsf.com — um subdominio de CDN que nao aparece em lugar nenhum. Fiz o mesmo percorrendo o site da prefeitura de Florianopolis: cliquei em "Mapas de Obra" e fui redirecionado para obras.gov.pmfc, depois em "Somar Floripa" e cheguei na intranet. Cada clique revelava um subdominio diferente.

Se voce quer se aprofundar nos operadores avancados do Google, eu fiz uma aula inteira sobre isso no Aulao #8 — 7 Buscas Perigosas que Revelam Informacoes Sensiveis no Google. Mas para subdominios, essas duas tecnicas manuais ja sao um comeco solido.

DNSDumpster: mapeando subdominios de forma passiva e gratuita

O DNSDumpster e uma ferramenta web gratuita que consulta caches e historicos de DNS para encontrar subdominios sem enviar nenhuma requisicao direta ao alvo. Voce acessa o site, digita o dominio e ele retorna tudo que encontrar.

Eu testei ao vivo com varios dominios. O resultado da prefeitura de Uberlandia (uberlandiamg.gov) foi impressionante: agendamento, alvara, atestado, back-comunicacao, back-debito, dados abertos, defesa civil, docs, efiscal, egestao, epidemiologico e ate Pix API. Sim, uma API de Pix exposta como subdominio publico. Minha reacao ao vivo foi: "Pix API, que isso aqui? Que parada louca."

Depois testei o brunofraga.com e encontrou api, l, lp e www. No tecnicasdeinvasao.com apareceu api, sl e secreto — esse ultimo e onde os alunos fazem login. Ate o DNSDumpster encontrou isso.

Mas o teste mais revelador foi com a prefeitura de Florianopolis. Encontrou ADM, ADM2, agendamentos, app, CMS (que tinha um WhatsApp de contato que nao aparecia no site principal), cursos, gestao IPTU, ISSnet, e varios servidores de email: meio, meio2, meioz. E ainda achou um painel de login do Zimbra. Se voce esquecesse a senha ali, o sistema poderia revelar um email de contato.

O DNSDumpster tambem gera um mapa grafico dos subdominios encontrados, mostrando como eles se conectam entre si. E o ponto de partida perfeito — gratuito, sem instalacao, e ja revela muita coisa. Mas ele tem uma limitacao: so consulta cache. Se o subdominio nunca foi indexado, ele nao encontra.

Subfinder: a ferramenta mais poderosa para enumeracao de subdominios

O Subfinder e a ferramenta que eu considero a mais poderosa para encontrar subdominios. Diferente do DNSDumpster, ele consulta dezenas de fontes simultaneamente: Google, Shodan, Archive.org e mais de 40 outros servicos.

E uma ferramenta escrita em Go (Golang) pelo ProjectDiscovery, e a instalacao no Kali Linux e direta. Primeiro voce instala o Golang:

sudo apt-get install golang

Depois instala o Subfinder via go install (o comando esta no repositorio oficial). O binario fica em ~/go/bin/subfinder. Para executar:

./subfinder -d dominio.com

So isso. E ProjectDiscovery, a equipe por tras da ferramenta, mantém o código atualizado com novas fontes de dados constantemente.

Para comparar com o DNSDumpster, testei o mesmo dominio: uberlandiamg.gov. Enquanto o DNSDumpster encontrou cerca de 28 subdominios, o Subfinder trouxe mais de 50 — incluindo web, protestos, project, IoT, requerimentos, imovel, validador, sepultos, webcam, portal, WebDisco, WebContabilidade, WebZones. Subdominios que simplesmente nao apareciam no DNSDumpster.

Testei tambem sites sugeridos pelo publico ao vivo. O nopba.com retornou apenas www — era um site novo, sem historico de cache. O silvaeventos.com.br tambem nao tinha subdominios — site estatico simples. Mas o anhanguera.com? O Subfinder encontrou 71 subdominios: blog, aperfeicoar, CPC, BI, portal, VooPay, login, colaborador, ensino, inscricao, saque, parceria, app, hub. Cada um desses e uma porta de investigacao.

E o arpadigital.com.br (uma agencia de trafego pago de alguem do chat) retornou servidor, API, app, cloud, mail, mailtrack, webdisk, webmail, cPanel, contatos. O dono do site estava assistindo a aula e pode conferir em tempo real. E esse e o ponto: se uma ferramenta gratuita de linha de comando encontra o cPanel, o webmail e a API do seu site em 10 segundos, imagine o que alguem com mais tempo e intencao consegue.

Importante: quando um site nao retorna resultados (como aconteceu com nopba.com e silvaeventos.com.br), nao significa que nao existem subdominios. Significa que eles nunca foram indexados pelas fontes que o Subfinder consulta. Sites novos, sites pequenos, sites que acabaram de subir — todos podem ter subdominios que so aparecem na forca bruta.

O Subfinder e passivo — ele nao envia requisicoes diretamente ao alvo. Isso garante stealth. Mas como toda ferramenta de cache, ele nao encontra subdominios que nunca foram indexados. E ai que entra a forca bruta.

Wordlists: o segredo por tras da descoberta de subdominios ocultos

Wordlists sao listas de palavras usadas para testar possibilidades de forma automatizada. No contexto de subdominios, uma wordlist contem os nomes mais comuns que programadores usam: admin, intranet, vpn, login, mail, dev, staging, api, blog, test.

O repositorio SecLists no GitHub e a referencia. Dentro da pasta Discovery/DNS, voce encontra arquivos com os top 100 mil, 500 mil e 1 milhao de subdominios mais utilizados no mundo. Eu abri o arquivo com 1 milhao de entradas ao vivo e mostrei: localhost, cPanel, mail2, pop3, old, new, shop, demo, autodiscover, dev, newsite, transfer, www10. Tudo que voce imaginar de possibilidade ja esta catalogado.

Pedi ao publico para sugerir subdominios que eles achavam que "ninguem encontraria". Alguem sugeriu gatekeeper — estava na lista. Admin? Obvio que sim. Painel? Varios tipos: painel, painel3, painelstats. A unica que nao estava na lista de 1 milhao era WPast (WordPress do passado) — mas existem wordlists ainda mais completas no proprio SecLists, com 10 milhoes de entradas ou mais.

E nao para por ai. Dentro do SecLists voce encontra wordlists especificas para CMS (WordPress, Joomla), para diretórios web, para fuzzing de parametros, para senhas. A pasta Discovery/DNS e so uma das dezenas de categorias. Se voce investiga sites WordPress, por exemplo, tem uma wordlist inteira com caminhos padrao de plugins e admin panels que desenvolvedores esquecem de proteger.

E essas wordlists nao vem do nada. Sao construidas a partir de dados reais. Vazamentos de grandes plataformas de jogos, por exemplo, alimentaram wordlists de senhas com milhoes de credenciais reais. Metricas analiticas de milhoes de dominios alimentam as wordlists de subdominios. Como eu expliquei na aula: "O programador que cria la um localhost e acha que ninguem vai encontrar — cara, as top 1 milhao estao aqui."

As mesmas wordlists servem para quebrar senhas de Wi-Fi e logins. O conceito e identico: testar padroes humanos de forma automatizada. Se voce quer aprender a automatizar esse tipo de tarefa com scripts, recomendo o Aulao #25 — Programacao do Zero para Investigacao Digital, onde eu mostrei como criar automacoes com Python.

Forca bruta com dnsenum, Sublist3r e SubBrute

Forca bruta de subdominios e testar cada palavra de uma wordlist contra o dominio alvo para ver quais respondem. E a tecnica que encontra subdominios que nunca foram indexados por nenhum cache.

dnsenum: enumeracao DNS com brute force e zone transfer

O dnsenum ja vem instalado no Kali Linux. Voce passa o dominio e ele faz tudo: le registros DNS, tenta transferencia de zona e executa brute force com uma wordlist padrao de 1.500 linhas.

dnsenum arpadigital.com.br

Testei ao vivo com arpadigital.com.br e encontrou 5 subdominios por forca bruta — incluindo o cloud, que o Subfinder (passivo) nao tinha encontrado. E a prova de que combinar enumeracao passiva com forca bruta e a estrategia mais completa.

Para usar uma wordlist mais completa, basta passar o parametro -f:

dnsenum -f seclists-dns-top1million.txt arpadigital.com.br

Eu baixei a wordlist do SecLists com wget e passei para o dnsenum. Imediatamente encontrou mais resultados que a wordlist padrao.

Mas o dnsenum faz algo ainda mais avancado: tenta a transferencia de zona DNS. Essa tecnica merece uma secao propria.

Sublist3r: pesquisa multifontes com modo brute force

O Sublist3r e uma ferramenta Python que consulta simultaneamente Baidu, Yahoo, Google, Bing, Ask, Netcraft e DNSDumpster. Instalacao no Kali:

sudo apt-get install sublist3r

Uso basico:

sublist3r -d arpadigital.com.br

Ele percorre todos os motores de busca automaticamente e consolida os resultados. Mas o diferencial e o flag -b, que ativa o brute force usando o SubBrute como engine:

sublist3r -b -d arpadigital.com.br

O SubBrute e a ferramenta que eu considero a melhor para forca bruta de subdominios. Ele usa resolvedores DNS abertos para contornar rate-limiting e ordena a wordlist por frequencia para retornar subdominios comuns primeiro. E mais rapido e preciso que o dnsenum para brute force puro.

Se voce nunca usou o terminal Linux, recomendo comecar pelo Aulao #15 — Seu primeiro passo no Linux antes de instalar essas ferramentas.

Transferencia de zona DNS: a tecnica avancada que poucos conhecem

A transferencia de zona DNS e um protocolo que permite servidores DNS sincronizarem registros entre si. Quando um servidor esta mal configurado, qualquer pessoa pode solicitar uma copia completa de todos os registros DNS — incluindo subdominios internos que nao deveriam ser publicos.

O dnsenum tenta isso automaticamente. Como eu expliquei na aula: "Ele faz uma requisicao no servidor de DNS se passando pelos servidores DNS e fala: ola, eu quero atualizar a lista de DNS. E ele expoe DNS interna da rede local. E uma parada sinistra."

Na pratica, funciona assim: o protocolo AXFR (transferencia completa) e usado legitimamente quando um servidor DNS primario precisa replicar dados para um secundario. Mas quando o administrador nao restringe quem pode solicitar essa transferencia, um atacante (ou investigador) consegue obter a lista completa de registros — revelando toda a infraestrutura de subdominios do alvo, incluindo os internos.

E AXFR, o protocolo de transferencia completa, e justamente o que o dnsenum tenta explorar. Quando essa tecnica funciona? O resultado e devastador. Voce recebe subdominos internos da rede local que nao aparecem em nenhum cache, nenhuma wordlist e nenhuma busca no Google. E por isso que eu disse que e "absurdamente seria quando passa, e muitas vezes passa".

A defesa contra isso e simples: restringir transferencias de zona apenas para servidores autorizados e usar TSIG (Transaction Signature). Mas a realidade e que a maioria das organizacoes — especialmente orgaos publicos brasileiros — simplesmente nao configuram isso. Se voce quer entender mais sobre como Shodan pode identificar servidores vulneraveis a esse tipo de falha, eu cobri isso em detalhes no aulao sobre Shodan.

Estrategia completa: combinando tecnicas para maxima cobertura

Nenhuma ferramenta sozinha encontra tudo. A estrategia que eu uso na pratica e uma combinacao de quatro camadas:

1. Google Hacking — busca rapida com site:*.dominio.com para pegar subdominios indexados
2. DNSDumpster — reconhecimento passivo via cache, com mapa grafico gratuito
3. Subfinder — enumeracao passiva consultando dezenas de fontes (Google, Shodan, Archive e mais)
4. Forca bruta — dnsenum ou Sublist3r com wordlists do SecLists para encontrar subdominios nunca indexados
5. Transferencia de zona — tentativa automatica pelo dnsenum que, quando funciona, revela tudo

No caso da prefeitura de Uberlandia, o DNSDumpster encontrou 28 subdominios. O Subfinder encontrou mais de 50, incluindo IoT, webcam e WebContabilidade. E a forca bruta revelaria ainda outros que nenhum cache tinha. Cada camada complementa a anterior. E Kali Linux ja vem com a maioria dessas ferramentas pre-instaladas, entao voce pode comecar rapidamente.

Depois de mapear os subdominios, cada um vira um alvo de investigacao. Abra o subdominio no browser. Procure paineis de login. Verifique erros de configuracao. Busque informacoes sensiveis. Como eu mostrei com as prefeituras — WhatsApp de contato no CMS, Zimbra com recuperacao de senha, APIs expostas. E aplique todas as tecnicas de investigacao que voce ja conhece: engenharia social, analise de headers, desafios praticos de OSINT.

Ferramentas Utilizadas Neste Aulao

Perguntas Frequentes

O que sao subdominios e para que servem?

Subdominios sao enderecos que vem antes do dominio principal — por exemplo, blog.empresa.com ou mail.empresa.com. Eles existem para isolar funcoes diferentes: email, autenticacao, blog, API, painel administrativo. Cada subdominio e essencialmente um site separado rodando em seu proprio servidor.

Como descobrir os subdominios de um site?

Existem quatro abordagens: Google Hacking com operador site:*.dominio.com, ferramentas de cache como DNSDumpster, enumeracao passiva com Subfinder, e forca bruta com wordlists usando dnsenum ou Sublist3r. A combinacao das quatro garante a maior cobertura possivel.

Preciso saber programar para usar essas ferramentas?

Nao. O DNSDumpster e 100% web — basta acessar o site e digitar o dominio. O Subfinder, dnsenum e Sublist3r rodam via terminal com comandos simples de uma linha. Voce precisa de um Kali Linux (ou qualquer Linux) e seguir os comandos de instalacao que eu mostrei na aula.

Qual a diferenca entre enumeracao passiva e forca bruta?

Enumeracao passiva (Subfinder, DNSDumpster) consulta caches e historicos da internet — nao envia requisicoes ao alvo. Forca bruta (dnsenum, SubBrute) testa cada palavra de uma wordlist diretamente contra o servidor DNS do alvo. A passiva e mais discreta; a forca bruta encontra subdominios que nunca foram indexados.

O que e uma wordlist e onde encontrar?

Wordlist e um arquivo de texto com milhares (ou milhoes) de palavras comuns. Para subdominios, o repositorio SecLists no GitHub tem listas com os top 100 mil, 500 mil e 1 milhao de subdominios mais usados no mundo. Sao construidas a partir de dados reais e metricas analiticas.

O que e transferencia de zona DNS e por que e perigosa?

E um protocolo que permite servidores DNS sincronizarem registros. Quando mal configurado, qualquer pessoa pode solicitar uma copia completa de todos os registros DNS do dominio — incluindo subdominios internos da rede local. O dnsenum tenta isso automaticamente em cada scan.

Posso usar essas tecnicas no Windows?

O DNSDumpster funciona em qualquer browser. O Subfinder tem versao para Windows (basta instalar Golang e rodar go install). Para as ferramentas de forca bruta, o ideal e usar Kali Linux em uma maquina virtual ou WSL (Windows Subsystem for Linux). Mas nada impede de rodar no Windows com as adaptacoes certas.

Encontrar subdominios e ilegal?

Enumeracao de subdominios usando fontes passivas (cache, buscadores) nao envia requisicoes ao alvo e nao e considerada invasao. Forca bruta envia requisicoes DNS ao servidor e pode ser considerada scan nao autorizado dependendo da jurisdicao. Sempre tenha autorizacao antes de testar infraestrutura de terceiros. Este conteudo e estritamente educacional.

Referencias e Recursos

• DNSDumpster — Ferramenta gratuita de reconhecimento DNS
• Subfinder — Enumeracao passiva de subdominios (GitHub)
• Documentacao oficial do Subfinder (ProjectDiscovery)
• SecLists — Repositorio de wordlists para testes de seguranca (GitHub)
• dnsenum — Enumeracao DNS com brute force (GitHub)
• Sublist3r — Enumeracao de subdominios multifontes (GitHub)
• SubBrute — Forca bruta de subdominios (GitHub)
• Kali Linux — Distribuicao para testes de seguranca
• Go (Golang) — Linguagem de programacao
• Shodan — Motor de busca para dispositivos conectados
• Transferencia de zona DNS — Wikipedia