您可以使用 Metasploit Framework HTTP Virtual Host Brute Force Scanner模块。

Nmap 最好从Metasploit 内部启动。有关详细信息，请参阅端口扫描上的 Metasploit Unleashed（Offensive-Security 提供免费培训）部分。

如果目标 IP 地址可从全球 Internet 获得，那么我建议您也检查一下MyIPNeighbors和SHODAN，它们对于此类侦察活动非常有资源。

缓存服务器、CDN 基础设施、反向 Web 代理、负载平衡器、内部 IP 前缀、存档内容和相关主机的识别也可能有助于调查虚拟托管基础设施。请务必查看主机/IP 模式提取工具(host-extract.rb)、Halberd、Web 存档、HTTP 存档和W3AF等工具。

回到您最初的问题，可以使用名为http-vhosts的 NSE（Nmap 脚本引擎）脚本扫描虚拟主机。然而，在最终决定已经发现/尚未发现什么之前，最好了解整个目标架构的复杂性。

通常，我发现首先找到导致文件读取包含漏洞的路径泄露漏洞更容易——然后下载 Web 服务器配置以手动完成它。或通过电子邮件/电话/文本/DM/FaceBook 向有权访问的 Web 服务器管理员发送消息，然后向他或她索取 Web 服务器配置的副本。

如果您在本地 LAN（使用 强制--send-eth），您可以将 MAC 地址的 OUI 12 位扩展标识符映射映射到 IEEE 注册管理机构分配的组织。Nessus 和其他一些工具默认执行此操作。我最喜欢的是流量的 NetworkMiner，因为它还提供了数据包分析示例，并为主动故障排除提供了一个很好的视图。

以下链接对此进行了很好的概述：

http://lab.lonerunners.net/blog/virtual-host-and-dns-names-enumeration-techniques

涵盖： 1. 为什么需要枚举 2. 技术 2.1 DNS 枚举技术 2.2 横幅抓取 2.3 SSL/TLS 协议枚举技术 2.4 HTTP 协议枚举技术 2.5 被动 Web 枚举技术 2.6 主动 Web 枚举技术

如果是本地子网，可以获取主机的MAC地址，查看是否属于vmware或其他公司。通常没有人会费心改变它们。nmap 也会用 -A 开关等告诉你。

在 David Stubley 的链接页面底部是一个链接，指向一个名为 hostmap 的 Ruby 工具，看起来很有希望。

http://hostmap.lonerunners.net/