目标信息：

获得主域名

1）通过在查询企业的平台查找目标名称来获得主域名

2）也可以直接查找官网来获得主域名之一：

3）也可以通过备案号查询域名

互联网资产发现：

1.查询下属子公司：

通过查看该公司的股权穿透图

可见北京抖音科技有限公司的下属子公司只有一个。

2.查询备案：

可以在aizhan.com上通过域名之一进行查询，同时也可以获得其余域名。

查询到备案号后可以反查到其他域名

3.子域名资产发现：

1）通过空间测绘平台搜集其子域名

例如鹰图平台（hunter.qianxin.com)、fofa.info等。这里使用的是fofa

可见有716条匹配结果，导出表格文件，因为数据太多，这里只展示部分。

2）主动检测

可以使用layer、oneforall等

4.指纹识别

这里使用的是潮汐指纹识别（tidefinger)

1）以其中一个子域名https://e.douyin.com为例

2）https://www.douyin.com

5.域名反查IP

也可以ip反查域名

1）爱站等平台

2）也可以通过ping方法进行查询(多地ping）

用上图可见，各地ping后的响应ip都为122.14.229.128和122.14.229.127，所以没有cdn服务，不用考虑绕过问题。

6.端口检测

这里只扫描一些常用端口或者是有特殊服务的端口。

1）122.14.229.128

2）122.14.229.127

3）子域名以121.11.2.222（https://e.douyin.com）为例

可见这几个ip只开放了80端口（http）和443端口（https）。

7.目录扫描

1）扫描https://e.douyin.com/site/douyin-mp/login，可能因为是大公司，这种敏感的登陆页面目录扫描不到。

再尝试扫描https://e.douyin.com，使用dirsearch扫描后会自动将扫描结果输出为一个文件，因为这里结果可以直接找到，找到状态码正常的进行目录拼接测试。

找到状态码为200的目录进行拼接

https://e.douyin.com/favicon.ico

https://e.douyin.com/robots.txt

2)对https://www.douyin.com进行目录扫描

3）对https://www.douyin.com/?recommend=1进行目录扫描

整理以上状态码正常的目录，找到可能包含敏感信息或是自己需要的目录都可以尝试拼接。