Enumération DNS

Zone transfer, sous-domaines, records DNS avec dig, dnsrecon, dnsenum, fierce

snippetbeginner 2026-05-10 2 min read

dnsenumerationpentestzone-transfersubdomain

00 Pre-engagement 01 Recon 02 Scanning 03 Enumeration 04 Exploitation 05 Post-expl.06 Reporting

Objectifs

Identifier les enregistrements DNS, tenter un transfert de zone, et énumérer les sous-domaines actifs.

Records essentiels

bash

Variables

{{TARGET_DOMAIN}}Domaine AD ou DNS

# Records de base
dig {{TARGET_DOMAIN}} A
dig {{TARGET_DOMAIN}} AAAA
dig {{TARGET_DOMAIN}} MX
dig {{TARGET_DOMAIN}} NS
dig {{TARGET_DOMAIN}} TXT
dig {{TARGET_DOMAIN}} SOA
dig {{TARGET_DOMAIN}} ANY
# Reverse lookup
dig -x IP_ADDRESS
# Serveurs de noms autoritaires
host -t NS {{TARGET_DOMAIN}}

Zone Transfer (AXFR)

bash

Variables

{{TARGET_DOMAIN}}Domaine AD ou DNS

{{OUTPUT_DIR}}Dossier de sortie

# Identifier les serveurs DNS
dig NS {{TARGET_DOMAIN}} short
# Tenter le zone transfer sur chaque NS
dig AXFR {{TARGET_DOMAIN}} ns1{{TARGET_DOMAIN}} | tee {{OUTPUT_DIR}}/axfr.txt
dig AXFR {{TARGET_DOMAIN}} ns2{{TARGET_DOMAIN}} | tee -a {{OUTPUT_DIR}}/axfr.txt
# Avec host
host -l {{TARGET_DOMAIN}} ns1{{TARGET_DOMAIN}}

Brute-force sous-domaines

bash

Variables

{{OUTPUT_DIR}}Dossier de sortie

{{TARGET_DOMAIN}}Domaine AD ou DNS

# DNSenum (actif + brute-force)
dnsenum --dnsserver 8888 --enum -p 0 -s 0 -o {{OUTPUT_DIR}}/dnsenum.xml 
  -f /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt 
  {{TARGET_DOMAIN}}
# Dnsrecon
dnsrecon -d {{TARGET_DOMAIN}} -t stdbrtaxfr 
  -D /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt 
  -j {{OUTPUT_DIR}}/dnsrecon.json
# Fierce
fierce --domain {{TARGET_DOMAIN}} --subdomains-only 
  --wordlist /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt 
  | tee {{OUTPUT_DIR}}/fierce.txt
# Subfinder (passif + actif)
subfinder -d {{TARGET_DOMAIN}} -o {{OUTPUT_DIR}}/subfinder.txt -all

Checklist DNS0/6

Records A, MX, NS, TXT, SOA collectés

Zone transfer tenté sur tous les NSCRITIQUE

Brute-force sous-domaines effectué

Reverse lookup sur les IPs identifiées

Wildcard DNS vérifié (faux positifs)

DNSSEC activé ou non noté

Pièges fréquents

Wildcard DNS : *.domain.com → tout résout, attention aux faux positifs en brute-force
Rate limiting DNS : ralentir le brute-force si les résultats semblent tronqués
Zone transfer : souvent désactivé mais toujours tester — grosse victoire si disponible
DNS interne : utiliser le DNS du DC comme resolver si on est sur le réseau interne

Voir aussi

security/pentest/01-recon/passive-recon

Sur cette page

Voir aussi

passive-recon

Actions rapides

Exporter MD

OPS·BRAIN v1.075 notes · Securitylocal