Проблема в том, что все 100% вряд ли найдёшь, т.к. эта информация не раскрывается полностью. Разве что если будет уязвимость dns transfer, когда у сервера можно запросить все имена.
Как обычно получают домены - брутят по словарям. Есть утилиты вроде DirBuster, dirsearch, Sublist3r, gobuster. Можно и онлайн посканить, чем-то вроде
URL Fuzzer или
METASCAN.
Ну и про силу гугла никогда не надо забывать, посмотри shodan.io, censys.io, fofa.so, они по IP могут выдавать массу полезной информации.