Esta dica serve para você (tentar) descobrir todos os subdomínios que pertencem a um domínio.

nmap -script dns-brute -v -sn twitter.com