Puede intentar rastrear el tráfico hacia / desde el servidor (por ejemplo, tcpdump, wireshark) y buscar las URL allí. Probablemente eso no ayude con el tráfico del puerto 443 (aunque la cantidad de tráfico le dirá un poco sobre qué tan popular es el servidor y tal vez incluso cómo se usa o qué hace (tráfico en forma de transmisión, consultas regulares (automatizadas) y en qué dirección, etc.), y puede proporcionarle una lista de personas a las que dirigirse para obtener más información sobre el servidor), y solo funcionará si logra que "entre" el servidor y los hosts se comuniquen con él (por ejemplo, si tener libertad para conectarse a diferentes puertos Ethernet); también requiere que alguien más use activamente el servidor.
Dependiendo del tipo de acceso a la red que tenga, puede buscar referencias al servidor web en otras comunicaciones (p. ej., buscar correos electrónicos de los usuarios para las URL en ese servidor, o encontrar referencias en la documentación en línea o en SharePoint / wikis / boletines informativos (cada intranet que se hace lo suficientemente grande reinventa su propia versión interna de Google, solo para que los usuarios autorizados puedan encontrar lo que necesitan).
Si puede obtener acceso al servidor, puede consultar webroot (y otros directorios web como ~ / public_html) para ver qué archivos están alojados allí. Si usa una SO obsoleta o una versión de Apache, es posible que pueda explotar errores conocidos para obtener acceso.
other than guessing : puede intentar encontrar una lista de URL comunes, lo que es una especie de adivinación dirigida. Pero una URL a la que nadie accede o habla, y que no tiene acceso en el servidor mismo, permanecerá oculta.