mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-21 20:23:18 +00:00
Translated ['generic-methodologies-and-resources/external-recon-methodol
This commit is contained in:
parent
9737747232
commit
bd81ef3f7c
1 changed files with 66 additions and 66 deletions
|
@ -10,7 +10,7 @@
|
|||
|
||||
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
|
||||
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||||
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
|
||||
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
|
||||
|
||||
</details>
|
||||
{% endhint %}
|
||||
|
@ -27,27 +27,27 @@
|
|||
|
||||
这个阶段的目标是获取**母公司拥有的所有公司**,然后获取这些公司的所有**资产**。为此,我们将:
|
||||
|
||||
1. 找到母公司的收购,这将给我们提供范围内的公司。
|
||||
2. 找到每个公司的 ASN(如果有的话),这将给我们提供每个公司拥有的 IP 范围。
|
||||
1. 查找母公司的收购,这将给我们提供范围内的公司。
|
||||
2. 查找每个公司的 ASN(如果有的话),这将给我们提供每个公司拥有的 IP 范围。
|
||||
3. 使用反向 whois 查询搜索与第一个相关的其他条目(组织名称、域名...)(这可以递归进行)。
|
||||
4. 使用其他技术,如 shodan `org` 和 `ssl` 过滤器搜索其他资产(`ssl` 技巧可以递归进行)。
|
||||
4. 使用其他技术,如 shodan `org` 和 `ssl` 过滤器来搜索其他资产(`ssl` 技巧可以递归进行)。
|
||||
|
||||
### **收购**
|
||||
|
||||
首先,我们需要知道**母公司拥有的其他公司**。\
|
||||
一个选项是访问 [https://www.crunchbase.com/](https://www.crunchbase.com),**搜索** **母公司**,并**点击**“**收购**”。在那里你将看到母公司收购的其他公司。\
|
||||
另一个选项是访问母公司的 **维基百科** 页面并搜索 **收购**。
|
||||
另一个选项是访问母公司的**维基百科**页面并搜索**收购**。
|
||||
|
||||
> 好吧,到这个时候你应该知道范围内的所有公司。让我们弄清楚如何找到它们的资产。
|
||||
|
||||
### **ASNs**
|
||||
|
||||
自治系统编号(**ASN**)是由 **互联网分配号码管理局 (IANA)** 分配给 **自治系统**(AS)的 **唯一编号**。\
|
||||
一个 **AS** 由 **IP 地址块** 组成,这些地址块有明确的政策来访问外部网络,并由单一组织管理,但可能由多个运营商组成。
|
||||
自治系统编号(**ASN**)是由**互联网分配号码管理局(IANA)**分配给**自治系统**(AS)的**唯一编号**。\
|
||||
一个**AS**由**IP 地址块**组成,这些地址块具有明确的外部网络访问政策,并由单一组织管理,但可能由多个运营商组成。
|
||||
|
||||
查找**公司是否分配了任何 ASN** 以找到其 **IP 范围** 是很有趣的。对所有**范围内的主机**进行 **漏洞测试** 并 **查找这些 IP 内的域名** 将是很有意义的。\
|
||||
你可以在 [**https://bgp.he.net/**](https://bgp.he.net)** 中按公司 **名称**、**IP** 或 **域名** 进行 **搜索**。\
|
||||
**根据公司的地区,这些链接可能对收集更多数据有用:** [**AFRINIC**](https://www.afrinic.net) **(非洲),** [**Arin**](https://www.arin.net/about/welcome/region/)**(北美),** [**APNIC**](https://www.apnic.net) **(亚洲),** [**LACNIC**](https://www.lacnic.net) **(拉丁美洲),** [**RIPE NCC**](https://www.ripe.net) **(欧洲)。无论如何,所有** 有用的信息 **(IP 范围和 Whois)** 可能已经在第一个链接中出现。
|
||||
查找**公司是否分配了任何 ASN**以找到其**IP 范围**是很有趣的。对范围内的所有**主机**进行**漏洞测试**并**查找这些 IP 内的域名**将是很有趣的。\
|
||||
你可以在 [**https://bgp.he.net/**](https://bgp.he.net)**中按公司**名称、**IP**或**域名**进行**搜索**。\
|
||||
**根据公司的地区,这些链接可能对收集更多数据有用:** [**AFRINIC**](https://www.afrinic.net) **(非洲),** [**Arin**](https://www.arin.net/about/welcome/region/)**(北美),** [**APNIC**](https://www.apnic.net) **(亚洲),** [**LACNIC**](https://www.lacnic.net) **(拉丁美洲),** [**RIPE NCC**](https://www.ripe.net) **(欧洲)。无论如何,所有** 有用的信息 **(IP 范围和 Whois)**可能已经在第一个链接中出现。
|
||||
```bash
|
||||
#You can try "automate" this with amass, but it's not very recommended
|
||||
amass intel -org tesla
|
||||
|
@ -75,8 +75,8 @@ bbot -t tesla.com -f subdomain-enum
|
|||
|
||||
### **寻找漏洞**
|
||||
|
||||
在这一点上,我们知道 **范围内的所有资产**,所以如果您被允许,可以对所有主机启动一些 **漏洞扫描器**(Nessus, OpenVAS)。\
|
||||
此外,您可以启动一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) **或使用像** shodan **这样的服务来查找** 开放端口 **,根据您发现的内容,您应该** 查看本书以了解如何对多个可能运行的服务进行渗透测试。\
|
||||
此时我们知道 **范围内的所有资产**,所以如果您被允许,可以对所有主机启动一些 **漏洞扫描器**(Nessus, OpenVAS)。\
|
||||
此外,您还可以启动一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) **或使用像** shodan **这样的服务来查找** 开放端口 **,根据您发现的内容,您应该** 查看本书以了解如何对多个可能运行的服务进行渗透测试。\
|
||||
**此外,值得一提的是,您还可以准备一些** 默认用户名 **和** 密码 **列表,并尝试使用 [https://github.com/x90skysn3k/brutespray](https://github.com/x90skysn3k/brutespray) 进行** 暴力破解服务**。
|
||||
|
||||
## 域名
|
||||
|
@ -89,7 +89,7 @@ _请注意,在以下提出的技术中,您还可以找到子域名,这些
|
|||
|
||||
### **反向 DNS**
|
||||
|
||||
由于您已经找到了域名的所有 IP 范围,您可以尝试对这些 **IP 执行反向 DNS 查找,以查找范围内的更多域名**。尝试使用受害者的某些 DNS 服务器或一些知名的 DNS 服务器(1.1.1.1, 8.8.8.8)。
|
||||
由于您已经找到了域名的所有 IP 范围,您可以尝试对这些 **IP 执行反向 DNS 查找,以查找范围内的更多域名**。尝试使用受害者的一些 DNS 服务器或一些知名的 DNS 服务器(1.1.1.1, 8.8.8.8)。
|
||||
```bash
|
||||
dnsrecon -r <DNS Range> -n <IP_DNS> #DNS reverse of all of the addresses
|
||||
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
|
||||
|
@ -101,7 +101,7 @@ dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns
|
|||
|
||||
### **反向 Whois(循环)**
|
||||
|
||||
在 **whois** 中,您可以找到很多有趣的 **信息**,如 **组织名称**、**地址**、**电子邮件**、电话号码……但更有趣的是,如果您通过这些字段中的任何一个执行 **反向 whois 查询**,您可以找到 **与公司相关的更多资产**(例如,其他 whois 注册处中出现相同电子邮件的情况)。\
|
||||
在 **whois** 中,您可以找到很多有趣的 **信息**,如 **组织名称**、**地址**、**电子邮件**、电话号码……但更有趣的是,如果您通过这些字段中的任何一个执行 **反向 whois 查询**(例如其他 whois 注册处中出现相同的电子邮件),您可以找到 **与公司相关的更多资产**。\
|
||||
您可以使用在线工具,如:
|
||||
|
||||
* [https://viewdns.info/reversewhois/](https://viewdns.info/reversewhois/) - **免费**
|
||||
|
@ -145,7 +145,7 @@ python3 favihash.py -f https://target/favicon.ico -t targets.txt -s
|
|||
```bash
|
||||
shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'
|
||||
```
|
||||
这是您如何**计算网页的 favicon 哈希**:
|
||||
这是您如何**计算网站的 favicon 哈希**:
|
||||
```python
|
||||
import mmh3
|
||||
import requests
|
||||
|
@ -174,13 +174,13 @@ Check out this [**writeup for more information**](https://swarm.ptsecurity.com/d
|
|||
|
||||
### Mail DMARC information
|
||||
|
||||
You can use a web such as [https://dmarc.live/info/google.com](https://dmarc.live/info/google.com) or a tool such as [https://github.com/Tedixx/dmarc-subdomains](https://github.com/Tedixx/dmarc-subdomains) to find **共享相同 dmarc 信息的域名和子域名**.
|
||||
You can use a web such as [https://dmarc.live/info/google.com](https://dmarc.live/info/google.com) or a tool such as [https://github.com/Tedixx/dmarc-subdomains](https://github.com/Tedixx/dmarc-subdomains) to find **domains and subdomain sharing the same dmarc information**.
|
||||
|
||||
### **Passive Takeover**
|
||||
|
||||
Apparently is common for people to assign subdomains to IPs that belongs to cloud providers and at some point **失去该 IP 地址但忘记删除 DNS 记录**. Therefore, just **在云中创建一个虚拟机** (like Digital Ocean) you will be actually **接管一些子域名**.
|
||||
Apparently is common for people to assign subdomains to IPs that belongs to cloud providers and at some point **lose that IP address but forget about removing the DNS record**. Therefore, just **spawning a VM** in a cloud (like Digital Ocean) you will be actually **taking over some subdomains(s)**.
|
||||
|
||||
[**This post**](https://kmsec.uk/blog/passive-takeover/) explains a store about it and propose a script that **在 DigitalOcean 中创建一个虚拟机**, **获取** the **IPv4** of the new machine, and **在 Virustotal 中搜索指向它的子域名记录**.
|
||||
[**This post**](https://kmsec.uk/blog/passive-takeover/) explains a store about it and propose a script that **spawns a VM in DigitalOcean**, **gets** the **IPv4** of the new machine, and **searches in Virustotal for subdomain records** pointing to it.
|
||||
|
||||
### **Other ways**
|
||||
|
||||
|
@ -190,21 +190,21 @@ Apparently is common for people to assign subdomains to IPs that belongs to clou
|
|||
|
||||
As you already know the name of the organisation owning the IP space. You can search by that data in shodan using: `org:"Tesla, Inc."` Check the found hosts for new unexpected domains in the TLS certificate.
|
||||
|
||||
You could access the **TLS certificate** of the main web page, obtain the **组织名称** and then search for that name inside the **TLS certificates** of all the web pages known by **shodan** with the filter : `ssl:"Tesla Motors"` or use a tool like [**sslsearch**](https://github.com/HarshVaragiya/sslsearch).
|
||||
You could access the **TLS certificate** of the main web page, obtain the **Organisation name** and then search for that name inside the **TLS certificates** of all the web pages known by **shodan** with the filter : `ssl:"Tesla Motors"` or use a tool like [**sslsearch**](https://github.com/HarshVaragiya/sslsearch).
|
||||
|
||||
**Assetfinder**
|
||||
|
||||
[**Assetfinder** ](https://github.com/tomnomnom/assetfinder) is a tool that look for **与主域名相关的域名** and **它们的子域名**, pretty amazing.
|
||||
[**Assetfinder** ](https://github.com/tomnomnom/assetfinder)是一个查找与主域名相关的**域名**和其**子域名**的工具,非常惊人。
|
||||
|
||||
### **Looking for vulnerabilities**
|
||||
|
||||
Check for some [domain takeover](../../pentesting-web/domain-subdomain-takeover.md#domain-takeover). Maybe some company is **使用某个域名** but they **失去了所有权**. Just register it (if cheap enough) and let know the company.
|
||||
Check for some [domain takeover](../../pentesting-web/domain-subdomain-takeover.md#domain-takeover). Maybe some company is **using some a domain** but they **lost the ownership**. Just register it (if cheap enough) and let know the company.
|
||||
|
||||
If you find any **域名的 IP 地址与您在资产发现中找到的不同**, you should perform a **基本漏洞扫描** (using Nessus or OpenVAS) and some [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) with **nmap/masscan/shodan**. Depending on which services are running you can find in **this book some tricks to "attack" them**.\
|
||||
If you find any **domain with an IP different** from the ones you already found in the assets discovery, you should perform a **basic vulnerability scan** (using Nessus or OpenVAS) and some [**port scan**](../pentesting-network/#discovering-hosts-from-the-outside) with **nmap/masscan/shodan**. Depending on which services are running you can find in **this book some tricks to "attack" them**.\
|
||||
_Note that sometimes the domain is hosted inside an IP that is not controlled by the client, so it's not in the scope, be careful._
|
||||
|
||||
<img src="../../.gitbook/assets/i3.png" alt="" data-size="original">\
|
||||
**Bug bounty tip**: **注册** for **Intigriti**, a premium **bug bounty platform created by hackers, for hackers**! Join us at [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) today, and start earning bounties up to **$100,000**!
|
||||
**Bug bounty tip**: **sign up** for **Intigriti**, a premium **bug bounty platform created by hackers, for hackers**! Join us at [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) today, and start earning bounties up to **$100,000**!
|
||||
|
||||
{% embed url="https://go.intigriti.com/hacktricks" %}
|
||||
|
||||
|
@ -220,7 +220,7 @@ Note that some of the tools and techniques to find domains can also help to find
|
|||
|
||||
### **DNS**
|
||||
|
||||
Let's try to get **子域名** from the **DNS** records. We should also try for **区域传输** (If vulnerable, you should report it).
|
||||
Let's try to get **subdomains** from the **DNS** records. We should also try for **Zone Transfer** (If vulnerable, you should report it).
|
||||
```bash
|
||||
dnsrecon -a -d tesla.com
|
||||
```
|
||||
|
@ -340,7 +340,7 @@ python3 DomainTrail.py -d example.com
|
|||
* [**securitytrails.com**](https://securitytrails.com/) 提供免费的 API 用于搜索子域名和 IP 历史
|
||||
* [**chaos.projectdiscovery.io**](https://chaos.projectdiscovery.io/#/)
|
||||
|
||||
该项目提供 **与漏洞奖励计划相关的所有子域名** 的免费访问。您还可以使用 [chaospy](https://github.com/dr-0x0x/chaospy) 访问这些数据,甚至可以访问该项目使用的范围 [https://github.com/projectdiscovery/chaos-public-program-list](https://github.com/projectdiscovery/chaos-public-program-list)
|
||||
该项目提供 **与漏洞悬赏计划相关的所有子域名** 的免费访问。您还可以使用 [chaospy](https://github.com/dr-0x0x/chaospy) 访问这些数据,甚至可以访问该项目使用的范围 [https://github.com/projectdiscovery/chaos-public-program-list](https://github.com/projectdiscovery/chaos-public-program-list)
|
||||
|
||||
您可以在这里找到许多这些工具的 **比较**: [https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off](https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off)
|
||||
|
||||
|
@ -399,7 +399,7 @@ goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3
|
|||
```
|
||||
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
|
||||
```
|
||||
* [**altdns**](https://github.com/infosec-au/altdns): 除了生成子域名排列,它还可以尝试解析它们(但最好使用之前提到的工具)。
|
||||
* [**altdns**](https://github.com/infosec-au/altdns):除了生成子域名排列外,它还可以尝试解析它们(但最好使用之前提到的工具)。
|
||||
* 你可以在 [**这里**](https://github.com/infosec-au/altdns/blob/master/words.txt) 获取 altdns 排列的 **wordlist**。
|
||||
```
|
||||
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
|
||||
|
@ -469,47 +469,47 @@ ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http:
|
|||
### **Buckets Brute Force**
|
||||
|
||||
在寻找 **subdomains** 时,注意是否指向任何类型的 **bucket**,在这种情况下 [**检查权限**](../../network-services-pentesting/pentesting-web/buckets/)**.**\
|
||||
此外,既然你已经知道了所有在范围内的域名,尝试 [**暴力破解可能的 bucket 名称并检查权限**](../../network-services-pentesting/pentesting-web/buckets/)。
|
||||
此外,由于此时您将知道所有在范围内的域名,请尝试 [**暴力破解可能的 bucket 名称并检查权限**](../../network-services-pentesting/pentesting-web/buckets/)。
|
||||
|
||||
### **Monitorization**
|
||||
|
||||
你可以通过监控 **证书透明度** 日志来 **监控** 是否创建了域的新 **subdomains**,[**sublert**](https://github.com/yassineaboukir/sublert/blob/master/sublert.py) 可以做到这一点。
|
||||
您可以通过监控 **Certificate Transparency** 日志来 **监控** 是否创建了域的新 **subdomains**,[**sublert**](https://github.com/yassineaboukir/sublert/blob/master/sublert.py) 可以做到这一点。
|
||||
|
||||
### **Looking for vulnerabilities**
|
||||
|
||||
检查可能的 [**subdomain 接管**](../../pentesting-web/domain-subdomain-takeover.md#subdomain-takeover)。\
|
||||
如果 **subdomain** 指向某个 **S3 bucket**,[**检查权限**](../../network-services-pentesting/pentesting-web/buckets/)。
|
||||
|
||||
如果你发现任何 **subdomain 的 IP 与你在资产发现中找到的不同**,你应该进行 **基本漏洞扫描**(使用 Nessus 或 OpenVAS)和一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) 使用 **nmap/masscan/shodan**。根据运行的服务,你可以在 **这本书中找到一些“攻击”它们的技巧**。\
|
||||
如果您发现任何 **subdomain 的 IP 与您在资产发现中找到的不同**,您应该执行 **基本漏洞扫描**(使用 Nessus 或 OpenVAS)和一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) 使用 **nmap/masscan/shodan**。根据运行的服务,您可以在 **本书中找到一些“攻击”它们的技巧**。\
|
||||
_请注意,有时 subdomain 托管在不受客户控制的 IP 内,因此不在范围内,请小心。_
|
||||
|
||||
## IPs
|
||||
|
||||
在初始步骤中,你可能已经 **找到了一些 IP 范围、域名和 subdomains**。\
|
||||
现在是 **收集这些范围内的所有 IP** 和 **域名/subdomains(DNS 查询)**的时候了。
|
||||
在初始步骤中,您可能已经 **找到了一些 IP 范围、域和 subdomains**。\
|
||||
现在是 **收集这些范围内的所有 IP** 和 **域/subdomains(DNS 查询)**的时候。
|
||||
|
||||
使用以下 **免费 API** 的服务,你还可以找到 **域名和 subdomains 之前使用的 IP**。这些 IP 可能仍然归客户所有(并可能让你找到 [**CloudFlare 绕过**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md))
|
||||
使用以下 **免费 API** 的服务,您还可以找到 **域和 subdomains 之前使用的 IP**。这些 IP 可能仍然归客户所有(并可能让您找到 [**CloudFlare 绕过**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md))
|
||||
|
||||
* [**https://securitytrails.com/**](https://securitytrails.com/)
|
||||
|
||||
你还可以使用工具 [**hakip2host**](https://github.com/hakluke/hakip2host) 检查指向特定 IP 地址的域名。
|
||||
您还可以使用工具 [**hakip2host**](https://github.com/hakluke/hakip2host) 检查指向特定 IP 地址的域。
|
||||
|
||||
### **Looking for vulnerabilities**
|
||||
|
||||
**对所有不属于 CDN 的 IP 进行端口扫描**(因为你很可能不会在这里找到任何有趣的东西)。在发现的运行服务中,你可能 **能够找到漏洞**。
|
||||
**对所有不属于 CDN 的 IP 进行端口扫描**(因为您很可能不会在其中找到任何有趣的东西)。在发现的运行服务中,您可能 **能够找到漏洞**。
|
||||
|
||||
**查找一个** [**指南**](../pentesting-network/) **关于如何扫描主机。**
|
||||
|
||||
## Web servers hunting
|
||||
|
||||
> 我们已经找到了所有公司及其资产,并且知道范围内的 IP 范围、域名和 subdomains。现在是搜索 web 服务器的时候了。
|
||||
> 我们已经找到了所有公司及其资产,并且知道范围内的 IP 范围、域和 subdomains。现在是搜索 Web 服务器的时候了。
|
||||
|
||||
在之前的步骤中,你可能已经对发现的 **IPs 和域名** 进行了某些 **侦察**,因此你可能 **已经找到了所有可能的 web 服务器**。然而,如果你还没有,我们现在将看到一些 **快速技巧来搜索范围内的 web 服务器**。
|
||||
在之前的步骤中,您可能已经对发现的 **IPs 和域进行了某些侦察**,因此您可能 **已经找到了所有可能的 Web 服务器**。但是,如果您还没有,我们现在将看到一些 **快速技巧来搜索范围内的 Web 服务器**。
|
||||
|
||||
请注意,这将是 **面向 web 应用程序发现** 的,因此你也应该 **进行漏洞** 和 **端口扫描**(**如果范围允许**)。
|
||||
请注意,这将是 **面向 Web 应用程序发现**,因此您还应该 **执行漏洞** 和 **端口扫描**(如果范围允许)。
|
||||
|
||||
一种 **快速方法** 是使用 [**masscan** 在这里发现与 **web** 服务器相关的 **开放端口**](../pentesting-network/#http-port-discovery)。\
|
||||
另一个友好的工具来查找 web 服务器是 [**httprobe**](https://github.com/tomnomnom/httprobe)**,** [**fprobe**](https://github.com/theblackturtle/fprobe) 和 [**httpx**](https://github.com/projectdiscovery/httpx)。你只需传递一个域名列表,它将尝试连接到 80(http)和 443(https)端口。此外,你可以指示尝试其他端口:
|
||||
一种 **快速方法** 是使用 [**masscan** 在此处发现与 **web** 服务器相关的 **开放端口**](../pentesting-network/#http-port-discovery)。\
|
||||
另一个友好的工具来查找 Web 服务器是 [**httprobe**](https://github.com/tomnomnom/httprobe)**,** [**fprobe**](https://github.com/theblackturtle/fprobe) 和 [**httpx**](https://github.com/projectdiscovery/httpx)。您只需传递一个域名列表,它将尝试连接到 80(http)和 443(https)端口。此外,您可以指示尝试其他端口:
|
||||
```bash
|
||||
cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
|
||||
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443
|
||||
|
@ -518,9 +518,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
|
|||
|
||||
现在您已经发现了范围内的**所有网络服务器**(在公司的**IP**和所有**域名**及**子域名**中),您可能**不知道从哪里开始**。所以,让我们简单一点,先对它们进行截图。仅通过**查看****主页**,您就可以找到更**容易**被**利用**的**奇怪**端点。
|
||||
|
||||
要执行所提议的想法,您可以使用 [**EyeWitness**](https://github.com/FortyNorthSecurity/EyeWitness)、[**HttpScreenshot**](https://github.com/breenmachine/httpscreenshot)、[**Aquatone**](https://github.com/michenriksen/aquatone)、[**Shutter**](https://shutter-project.org/downloads/third-party-packages/)、[**Gowitness**](https://github.com/sensepost/gowitness) 或 [**webscreenshot**](https://github.com/maaaaz/webscreenshot)**。**
|
||||
要执行所提议的想法,您可以使用[**EyeWitness**](https://github.com/FortyNorthSecurity/EyeWitness)、[**HttpScreenshot**](https://github.com/breenmachine/httpscreenshot)、[**Aquatone**](https://github.com/michenriksen/aquatone)、[**Shutter**](https://shutter-project.org/downloads/third-party-packages/)、[**Gowitness**](https://github.com/sensepost/gowitness)或[**webscreenshot**](https://github.com/maaaaz/webscreenshot)**。**
|
||||
|
||||
此外,您还可以使用 [**eyeballer**](https://github.com/BishopFox/eyeballer) 来分析所有的**截图**,告诉您**哪些可能包含漏洞**,哪些则不包含。
|
||||
此外,您还可以使用[**eyeballer**](https://github.com/BishopFox/eyeballer)对所有**截图**进行分析,以告诉您**哪些可能包含漏洞**,哪些不包含。
|
||||
|
||||
## 公有云资产
|
||||
|
||||
|
@ -532,9 +532,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
|
|||
* [https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt](https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt)
|
||||
* [https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt](https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt)
|
||||
|
||||
然后,使用这些词汇生成**排列组合**(有关更多信息,请查看 [**第二轮DNS暴力破解**](./#second-dns-bruteforce-round))。
|
||||
然后,使用这些词汇生成**排列组合**(有关更多信息,请查看[**第二轮DNS暴力破解**](./#second-dns-bruteforce-round))。
|
||||
|
||||
使用生成的字典,您可以使用工具,如 [**cloud\_enum**](https://github.com/initstring/cloud\_enum)**、** [**CloudScraper**](https://github.com/jordanpotti/CloudScraper)**、** [**cloudlist**](https://github.com/projectdiscovery/cloudlist) **或** [**S3Scanner**](https://github.com/sa7mon/S3Scanner)**。**
|
||||
使用生成的字典,您可以使用工具,如[**cloud\_enum**](https://github.com/initstring/cloud\_enum)**、**[**CloudScraper**](https://github.com/jordanpotti/CloudScraper)**、**[**cloudlist**](https://github.com/projectdiscovery/cloudlist)**或**[**S3Scanner**](https://github.com/sa7mon/S3Scanner)**。**
|
||||
|
||||
请记住,在寻找云资产时,您应该**寻找的不仅仅是AWS中的存储桶**。
|
||||
|
||||
|
@ -547,9 +547,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
|
|||
通过范围内的**域名**和**子域名**,您基本上拥有了**开始搜索电子邮件**所需的所有信息。这些是我找到公司电子邮件时效果最好的**API**和**工具**:
|
||||
|
||||
* [**theHarvester**](https://github.com/laramies/theHarvester) - 使用API
|
||||
* [**https://hunter.io/**](https://hunter.io/) 的API(免费版)
|
||||
* [**https://app.snov.io/**](https://app.snov.io/) 的API(免费版)
|
||||
* [**https://minelead.io/**](https://minelead.io/) 的API(免费版)
|
||||
* [**https://hunter.io/**](https://hunter.io/)的API(免费版)
|
||||
* [**https://app.snov.io/**](https://app.snov.io/)的API(免费版)
|
||||
* [**https://minelead.io/**](https://minelead.io/)的API(免费版)
|
||||
|
||||
### **寻找漏洞**
|
||||
|
||||
|
@ -573,9 +573,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
|
|||
### Github泄露
|
||||
|
||||
凭证和API可能在**公司**或在该github公司工作的**用户**的**公共仓库**中泄露。\
|
||||
您可以使用**工具** [**Leakos**](https://github.com/carlospolop/Leakos) 来**下载**一个**组织**及其**开发者**的所有**公共仓库**,并自动运行 [**gitleaks**](https://github.com/zricethezav/gitleaks)。
|
||||
您可以使用**工具**[**Leakos**](https://github.com/carlospolop/Leakos)来**下载**一个**组织**及其**开发者**的所有**公共仓库**,并自动运行[**gitleaks**](https://github.com/zricethezav/gitleaks)。
|
||||
|
||||
**Leakos** 还可以用于对所有提供的**URL**进行**gitleaks**扫描,因为有时**网页中也包含秘密**。
|
||||
**Leakos**还可以用于对所有**文本**提供的**URL**运行**gitleaks**,因为有时**网页也包含秘密**。
|
||||
|
||||
#### Github Dorks
|
||||
|
||||
|
@ -588,11 +588,11 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
|
|||
### Paste泄露
|
||||
|
||||
有时攻击者或仅仅是员工会在**粘贴网站**上**发布公司内容**。这可能包含或不包含**敏感信息**,但搜索它非常有趣。\
|
||||
您可以使用工具 [**Pastos**](https://github.com/carlospolop/Pastos) 在80多个粘贴网站上同时搜索。
|
||||
您可以使用工具[**Pastos**](https://github.com/carlospolop/Pastos)同时在80多个粘贴网站上进行搜索。
|
||||
|
||||
### Google Dorks
|
||||
|
||||
老而金贵的google dorks始终对查找**不应存在的暴露信息**非常有用。唯一的问题是 [**google-hacking-database**](https://www.exploit-db.com/google-hacking-database) 包含数千个您无法手动运行的可能查询。因此,您可以选择您最喜欢的10个,或者使用**工具,如** [**Gorks**](https://github.com/carlospolop/Gorks) **来运行它们**。
|
||||
老而金的Google dorks始终对查找**不应存在的暴露信息**非常有用。唯一的问题是[**google-hacking-database**](https://www.exploit-db.com/google-hacking-database)包含数千个您无法手动运行的可能查询。因此,您可以选择您最喜欢的10个,或者使用**工具,如**[**Gorks**](https://github.com/carlospolop/Gorks)**来运行它们。**
|
||||
|
||||
_请注意,期望使用常规Google浏览器运行所有数据库的工具将永远无法完成,因为Google会很快阻止您。_
|
||||
|
||||
|
@ -616,9 +616,9 @@ _请注意,期望使用常规Google浏览器运行所有数据库的工具将
|
|||
|
||||
## [**网络渗透测试方法**](../../network-services-pentesting/pentesting-web/)
|
||||
|
||||
**大多数漏洞**都是由漏洞猎人发现的,存在于**网络应用程序**中,因此在这一点上,我想谈谈**网络应用程序测试方法**,您可以在 [**这里找到此信息**](../../network-services-pentesting/pentesting-web/)。
|
||||
**大多数漏洞**由漏洞猎人发现,存在于**网络应用程序**中,因此在这一点上,我想谈谈**网络应用程序测试方法**,您可以在[**这里找到此信息**](../../network-services-pentesting/pentesting-web/)。
|
||||
|
||||
我还想特别提到 [**Web自动扫描器开源工具**](../../network-services-pentesting/pentesting-web/#automatic-scanners) 部分,因为如果您不应该期望它们找到非常敏感的漏洞,但它们在**工作流程中实现一些初步网络信息**时非常有用。
|
||||
我还想特别提到[**Web自动扫描器开源工具**](../../network-services-pentesting/pentesting-web/#automatic-scanners)部分,因为如果您不应该期望它们找到非常敏感的漏洞,但它们在**工作流程中实现一些初步网络信息**时非常有用。
|
||||
|
||||
## 综述
|
||||
|
||||
|
@ -626,17 +626,17 @@ _请注意,期望使用常规Google浏览器运行所有数据库的工具将
|
|||
|
||||
所以您已经:
|
||||
|
||||
1. 找到范围内的**所有公司**
|
||||
2. 找到属于公司的**所有资产**(并在范围内进行一些漏洞扫描)
|
||||
3. 找到属于公司的**所有域名**
|
||||
4. 找到域名的**所有子域名**(是否有子域名接管?)
|
||||
5. 找到范围内的**所有IP**(来自和**不来自CDN**的IP)。
|
||||
6. 找到所有的**网络服务器**并对它们进行了**截图**(是否有任何奇怪的地方值得深入研究?)
|
||||
7. 找到属于公司的**所有潜在公共云资产**。
|
||||
1. 找到范围内的所有**公司**
|
||||
2. 找到属于公司的所有**资产**(并在范围内进行一些漏洞扫描)
|
||||
3. 找到属于公司的所有**域名**
|
||||
4. 找到所有域名的**子域名**(是否有子域名接管?)
|
||||
5. 找到范围内的所有**IP**(来自和**不来自CDN**的IP)。
|
||||
6. 找到所有**网络服务器**并对其进行了**截图**(是否有任何奇怪的地方值得深入研究?)
|
||||
7. 找到属于公司的所有**潜在公共云资产**。
|
||||
8. **电子邮件**、**凭证泄露**和**秘密泄露**,这些可能会让您**轻松获得重大胜利**。
|
||||
9. **渗透测试您找到的所有网站**
|
||||
|
||||
## **全面侦查自动化工具**
|
||||
## **全面侦查自动工具**
|
||||
|
||||
有几种工具可以针对给定范围执行部分提议的操作。
|
||||
|
||||
|
@ -645,11 +645,11 @@ _请注意,期望使用常规Google浏览器运行所有数据库的工具将
|
|||
* [**https://github.com/six2dez/reconftw**](https://github.com/six2dez/reconftw)
|
||||
* [**https://github.com/hackerspider1/EchoPwn**](https://github.com/hackerspider1/EchoPwn) - 有点旧且未更新
|
||||
|
||||
## **参考资料**
|
||||
## **参考文献**
|
||||
|
||||
* 所有免费的 [**@Jhaddix**](https://twitter.com/Jhaddix) 课程,如 [**漏洞猎人的方法论 v4.0 - 侦查版**](https://www.youtube.com/watch?v=p4JgIu1mceI)
|
||||
* 所有免费的[**@Jhaddix**](https://twitter.com/Jhaddix)课程,如[**漏洞猎人的方法论v4.0 - 侦查版**](https://www.youtube.com/watch?v=p4JgIu1mceI)
|
||||
|
||||
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
|
||||
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
如果您对**黑客职业**和破解不可破解的东西感兴趣 - **我们正在招聘!**(_需要流利的波兰语书写和口语能力_)。
|
||||
|
||||
|
@ -663,9 +663,9 @@ _请注意,期望使用常规Google浏览器运行所有数据库的工具将
|
|||
|
||||
<summary>支持HackTricks</summary>
|
||||
|
||||
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
|
||||
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在Twitter上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||||
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享黑客技巧。
|
||||
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
|
||||
* **加入**💬 [**Discord小组**](https://discord.gg/hRep4RUj7f)或[**电报小组**](https://t.me/peass)或**在Twitter上关注**我们🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||||
* **通过向**[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)的github仓库提交PR来分享黑客技巧。
|
||||
|
||||
</details>
|
||||
{% endhint %}
|
||||
|
|
Loading…
Reference in a new issue