Translated ['generic-methodologies-and-resources/external-recon-methodol

This commit is contained in:
Translator 2024-10-16 10:35:04 +00:00
parent 9737747232
commit bd81ef3f7c

View file

@ -10,7 +10,7 @@
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
</details>
{% endhint %}
@ -27,27 +27,27 @@
这个阶段的目标是获取**母公司拥有的所有公司**,然后获取这些公司的所有**资产**。为此,我们将:
1. 找母公司的收购,这将给我们提供范围内的公司。
2. 找每个公司的 ASN如果有的话这将给我们提供每个公司拥有的 IP 范围。
1. 找母公司的收购,这将给我们提供范围内的公司。
2. 找每个公司的 ASN如果有的话这将给我们提供每个公司拥有的 IP 范围。
3. 使用反向 whois 查询搜索与第一个相关的其他条目(组织名称、域名...)(这可以递归进行)。
4. 使用其他技术,如 shodan `org``ssl` 过滤器搜索其他资产(`ssl` 技巧可以递归进行)。
4. 使用其他技术,如 shodan `org``ssl` 过滤器搜索其他资产(`ssl` 技巧可以递归进行)。
### **收购**
首先,我们需要知道**母公司拥有的其他公司**。\
一个选项是访问 [https://www.crunchbase.com/](https://www.crunchbase.com)**搜索** **母公司**,并**点击**“**收购**”。在那里你将看到母公司收购的其他公司。\
另一个选项是访问母公司的 **维基百科** 页面并搜索 **收购**
另一个选项是访问母公司的**维基百科**页面并搜索**收购**。
> 好吧,到这个时候你应该知道范围内的所有公司。让我们弄清楚如何找到它们的资产。
### **ASNs**
自治系统编号(**ASN**)是由 **互联网分配号码管理局 (IANA)** 分配给 **自治系统**AS**唯一编号**。\
一个 **AS** **IP 地址块** 组成,这些地址块有明确的政策来访问外部网络,并由单一组织管理,但可能由多个运营商组成。
自治系统编号(**ASN**)是由**互联网分配号码管理局IANA**分配给**自治系统**AS的**唯一编号**。\
一个**AS**由**IP 地址块**组成,这些地址块有明确的外部网络访问政策,并由单一组织管理,但可能由多个运营商组成。
查找**公司是否分配了任何 ASN** 以找到其 **IP 范围** 是很有趣的。对所有**范围内的主机**进行 **漏洞测试****查找这些 IP 内的域名** 将是很有意义的。\
你可以在 [**https://bgp.he.net/**](https://bgp.he.net)** 中按公司 **名称**、**IP** **域名** 进行 **搜索**。\
**根据公司的地区,这些链接可能对收集更多数据有用:** [**AFRINIC**](https://www.afrinic.net) **(非洲),** [**Arin**](https://www.arin.net/about/welcome/region/)**(北美),** [**APNIC**](https://www.apnic.net) **(亚洲),** [**LACNIC**](https://www.lacnic.net) **(拉丁美洲),** [**RIPE NCC**](https://www.ripe.net) **(欧洲)。无论如何,所有** 有用的信息 **IP 范围和 Whois** 可能已经在第一个链接中出现。
查找**公司是否分配了任何 ASN**以找到其**IP 范围**是很有趣的。对范围内的所有**主机**进行**漏洞测试**并**查找这些 IP 内的域名**将是很有趣的。\
你可以在 [**https://bgp.he.net/**](https://bgp.he.net)**中按公司**名称、**IP**或**域名**进行**搜索**。\
**根据公司的地区,这些链接可能对收集更多数据有用:** [**AFRINIC**](https://www.afrinic.net) **(非洲),** [**Arin**](https://www.arin.net/about/welcome/region/)**(北美),** [**APNIC**](https://www.apnic.net) **(亚洲),** [**LACNIC**](https://www.lacnic.net) **(拉丁美洲),** [**RIPE NCC**](https://www.ripe.net) **(欧洲)。无论如何,所有** 有用的信息 **IP 范围和 Whois**可能已经在第一个链接中出现。
```bash
#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
@ -75,8 +75,8 @@ bbot -t tesla.com -f subdomain-enum
### **寻找漏洞**
在这一点上,我们知道 **范围内的所有资产**,所以如果您被允许,可以对所有主机启动一些 **漏洞扫描器**Nessus, OpenVAS。\
此外,您可以启动一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) **或使用像** shodan **这样的服务来查找** 开放端口 **,根据您发现的内容,您应该** 查看本书以了解如何对多个可能运行的服务进行渗透测试。\
此时我们知道 **范围内的所有资产**,所以如果您被允许,可以对所有主机启动一些 **漏洞扫描器**Nessus, OpenVAS。\
此外,您可以启动一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) **或使用像** shodan **这样的服务来查找** 开放端口 **,根据您发现的内容,您应该** 查看本书以了解如何对多个可能运行的服务进行渗透测试。\
**此外,值得一提的是,您还可以准备一些** 默认用户名 **和** 密码 **列表,并尝试使用 [https://github.com/x90skysn3k/brutespray](https://github.com/x90skysn3k/brutespray) 进行** 暴力破解服务**。
## 域名
@ -89,7 +89,7 @@ _请注意在以下提出的技术中您还可以找到子域名这些
### **反向 DNS**
由于您已经找到了域名的所有 IP 范围,您可以尝试对这些 **IP 执行反向 DNS 查找,以查找范围内的更多域名**。尝试使用受害者的些 DNS 服务器或一些知名的 DNS 服务器1.1.1.1, 8.8.8.8)。
由于您已经找到了域名的所有 IP 范围,您可以尝试对这些 **IP 执行反向 DNS 查找,以查找范围内的更多域名**。尝试使用受害者的些 DNS 服务器或一些知名的 DNS 服务器1.1.1.1, 8.8.8.8)。
```bash
dnsrecon -r <DNS Range> -n <IP_DNS> #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
@ -101,7 +101,7 @@ dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns
### **反向 Whois循环**
**whois** 中,您可以找到很多有趣的 **信息**,如 **组织名称**、**地址**、**电子邮件**、电话号码……但更有趣的是,如果您通过这些字段中的任何一个执行 **反向 whois 查询**,您可以找到 **与公司相关的更多资产**(例如,其他 whois 注册处中出现相同电子邮件的情况)。\
**whois** 中,您可以找到很多有趣的 **信息**,如 **组织名称**、**地址**、**电子邮件**、电话号码……但更有趣的是,如果您通过这些字段中的任何一个执行 **反向 whois 查询**(例如其他 whois 注册处中出现相同的电子邮件),您可以找到 **与公司相关的更多资产**。\
您可以使用在线工具,如:
* [https://viewdns.info/reversewhois/](https://viewdns.info/reversewhois/) - **免费**
@ -145,7 +145,7 @@ python3 favihash.py -f https://target/favicon.ico -t targets.txt -s
```bash
shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'
```
这是您如何**计算网的 favicon 哈希**
这是您如何**计算网的 favicon 哈希**
```python
import mmh3
import requests
@ -174,13 +174,13 @@ Check out this [**writeup for more information**](https://swarm.ptsecurity.com/d
### Mail DMARC information
You can use a web such as [https://dmarc.live/info/google.com](https://dmarc.live/info/google.com) or a tool such as [https://github.com/Tedixx/dmarc-subdomains](https://github.com/Tedixx/dmarc-subdomains) to find **共享相同 dmarc 信息的域名和子域名**.
You can use a web such as [https://dmarc.live/info/google.com](https://dmarc.live/info/google.com) or a tool such as [https://github.com/Tedixx/dmarc-subdomains](https://github.com/Tedixx/dmarc-subdomains) to find **domains and subdomain sharing the same dmarc information**.
### **Passive Takeover**
Apparently is common for people to assign subdomains to IPs that belongs to cloud providers and at some point **失去该 IP 地址但忘记删除 DNS 记录**. Therefore, just **在云中创建一个虚拟机** (like Digital Ocean) you will be actually **接管一些子域名**.
Apparently is common for people to assign subdomains to IPs that belongs to cloud providers and at some point **lose that IP address but forget about removing the DNS record**. Therefore, just **spawning a VM** in a cloud (like Digital Ocean) you will be actually **taking over some subdomains(s)**.
[**This post**](https://kmsec.uk/blog/passive-takeover/) explains a store about it and propose a script that **在 DigitalOcean 中创建一个虚拟机**, **获取** the **IPv4** of the new machine, and **在 Virustotal 中搜索指向它的子域名记录**.
[**This post**](https://kmsec.uk/blog/passive-takeover/) explains a store about it and propose a script that **spawns a VM in DigitalOcean**, **gets** the **IPv4** of the new machine, and **searches in Virustotal for subdomain records** pointing to it.
### **Other ways**
@ -190,21 +190,21 @@ Apparently is common for people to assign subdomains to IPs that belongs to clou
As you already know the name of the organisation owning the IP space. You can search by that data in shodan using: `org:"Tesla, Inc."` Check the found hosts for new unexpected domains in the TLS certificate.
You could access the **TLS certificate** of the main web page, obtain the **组织名称** and then search for that name inside the **TLS certificates** of all the web pages known by **shodan** with the filter : `ssl:"Tesla Motors"` or use a tool like [**sslsearch**](https://github.com/HarshVaragiya/sslsearch).
You could access the **TLS certificate** of the main web page, obtain the **Organisation name** and then search for that name inside the **TLS certificates** of all the web pages known by **shodan** with the filter : `ssl:"Tesla Motors"` or use a tool like [**sslsearch**](https://github.com/HarshVaragiya/sslsearch).
**Assetfinder**
[**Assetfinder** ](https://github.com/tomnomnom/assetfinder) is a tool that look for **与主域名相关的域名** and **它们的子域名**, pretty amazing.
[**Assetfinder** ](https://github.com/tomnomnom/assetfinder)是一个查找与主域名相关的**域名**和其**子域名**的工具,非常惊人。
### **Looking for vulnerabilities**
Check for some [domain takeover](../../pentesting-web/domain-subdomain-takeover.md#domain-takeover). Maybe some company is **使用某个域名** but they **失去了所有权**. Just register it (if cheap enough) and let know the company.
Check for some [domain takeover](../../pentesting-web/domain-subdomain-takeover.md#domain-takeover). Maybe some company is **using some a domain** but they **lost the ownership**. Just register it (if cheap enough) and let know the company.
If you find any **域名的 IP 地址与您在资产发现中找到的不同**, you should perform a **基本漏洞扫描** (using Nessus or OpenVAS) and some [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) with **nmap/masscan/shodan**. Depending on which services are running you can find in **this book some tricks to "attack" them**.\
If you find any **domain with an IP different** from the ones you already found in the assets discovery, you should perform a **basic vulnerability scan** (using Nessus or OpenVAS) and some [**port scan**](../pentesting-network/#discovering-hosts-from-the-outside) with **nmap/masscan/shodan**. Depending on which services are running you can find in **this book some tricks to "attack" them**.\
_Note that sometimes the domain is hosted inside an IP that is not controlled by the client, so it's not in the scope, be careful._
<img src="../../.gitbook/assets/i3.png" alt="" data-size="original">\
**Bug bounty tip**: **注册** for **Intigriti**, a premium **bug bounty platform created by hackers, for hackers**! Join us at [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) today, and start earning bounties up to **$100,000**!
**Bug bounty tip**: **sign up** for **Intigriti**, a premium **bug bounty platform created by hackers, for hackers**! Join us at [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) today, and start earning bounties up to **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
@ -220,7 +220,7 @@ Note that some of the tools and techniques to find domains can also help to find
### **DNS**
Let's try to get **子域名** from the **DNS** records. We should also try for **区域传输** (If vulnerable, you should report it).
Let's try to get **subdomains** from the **DNS** records. We should also try for **Zone Transfer** (If vulnerable, you should report it).
```bash
dnsrecon -a -d tesla.com
```
@ -340,7 +340,7 @@ python3 DomainTrail.py -d example.com
* [**securitytrails.com**](https://securitytrails.com/) 提供免费的 API 用于搜索子域名和 IP 历史
* [**chaos.projectdiscovery.io**](https://chaos.projectdiscovery.io/#/)
该项目提供 **与漏洞奖励计划相关的所有子域名** 的免费访问。您还可以使用 [chaospy](https://github.com/dr-0x0x/chaospy) 访问这些数据,甚至可以访问该项目使用的范围 [https://github.com/projectdiscovery/chaos-public-program-list](https://github.com/projectdiscovery/chaos-public-program-list)
该项目提供 **与漏洞悬赏计划相关的所有子域名** 的免费访问。您还可以使用 [chaospy](https://github.com/dr-0x0x/chaospy) 访问这些数据,甚至可以访问该项目使用的范围 [https://github.com/projectdiscovery/chaos-public-program-list](https://github.com/projectdiscovery/chaos-public-program-list)
您可以在这里找到许多这些工具的 **比较**: [https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off](https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off)
@ -399,7 +399,7 @@ goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3
```
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
```
* [**altdns**](https://github.com/infosec-au/altdns): 除了生成子域名排列,它还可以尝试解析它们(但最好使用之前提到的工具)。
* [**altdns**](https://github.com/infosec-au/altdns):除了生成子域名排列外,它还可以尝试解析它们(但最好使用之前提到的工具)。
* 你可以在 [**这里**](https://github.com/infosec-au/altdns/blob/master/words.txt) 获取 altdns 排列的 **wordlist**
```
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
@ -469,47 +469,47 @@ ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http:
### **Buckets Brute Force**
在寻找 **subdomains** 时,注意是否指向任何类型的 **bucket**,在这种情况下 [**检查权限**](../../network-services-pentesting/pentesting-web/buckets/)**.**\
此外,既然你已经知道了所有在范围内的域名,尝试 [**暴力破解可能的 bucket 名称并检查权限**](../../network-services-pentesting/pentesting-web/buckets/)。
此外,由于此时您将知道所有在范围内的域名,请尝试 [**暴力破解可能的 bucket 名称并检查权限**](../../network-services-pentesting/pentesting-web/buckets/)。
### **Monitorization**
你可以通过监控 **证书透明度** 日志来 **监控** 是否创建了域的新 **subdomains**[**sublert**](https://github.com/yassineaboukir/sublert/blob/master/sublert.py) 可以做到这一点。
您可以通过监控 **Certificate Transparency** 日志来 **监控** 是否创建了域的新 **subdomains**[**sublert**](https://github.com/yassineaboukir/sublert/blob/master/sublert.py) 可以做到这一点。
### **Looking for vulnerabilities**
检查可能的 [**subdomain 接管**](../../pentesting-web/domain-subdomain-takeover.md#subdomain-takeover)。\
如果 **subdomain** 指向某个 **S3 bucket**[**检查权限**](../../network-services-pentesting/pentesting-web/buckets/)。
如果你发现任何 **subdomain 的 IP 与你在资产发现中找到的不同**,你应该进**基本漏洞扫描**(使用 Nessus 或 OpenVAS和一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) 使用 **nmap/masscan/shodan**。根据运行的服务,你可以在 **这本书中找到一些“攻击”它们的技巧**。\
如果您发现任何 **subdomain 的 IP 与您在资产发现中找到的不同**,您应该执**基本漏洞扫描**(使用 Nessus 或 OpenVAS和一些 [**端口扫描**](../pentesting-network/#discovering-hosts-from-the-outside) 使用 **nmap/masscan/shodan**。根据运行的服务,您可以在 **本书中找到一些“攻击”它们的技巧**。\
_请注意有时 subdomain 托管在不受客户控制的 IP 内因此不在范围内请小心。_
## IPs
在初始步骤中,可能已经 **找到了一些 IP 范围、域和 subdomains**。\
现在是 **收集这些范围内的所有 IP** 和 **域/subdomainsDNS 查询)**的时候
在初始步骤中,可能已经 **找到了一些 IP 范围、域和 subdomains**。\
现在是 **收集这些范围内的所有 IP** 和 **域/subdomainsDNS 查询)**的时候。
使用以下 **免费 API** 的服务,你还可以找到 **域名和 subdomains 之前使用的 IP**。这些 IP 可能仍然归客户所有(并可能让你找到 [**CloudFlare 绕过**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md)
使用以下 **免费 API** 的服务,您还可以找到 **域和 subdomains 之前使用的 IP**。这些 IP 可能仍然归客户所有(并可能让您找到 [**CloudFlare 绕过**](../../network-services-pentesting/pentesting-web/uncovering-cloudflare.md)
* [**https://securitytrails.com/**](https://securitytrails.com/)
还可以使用工具 [**hakip2host**](https://github.com/hakluke/hakip2host) 检查指向特定 IP 地址的域
还可以使用工具 [**hakip2host**](https://github.com/hakluke/hakip2host) 检查指向特定 IP 地址的域。
### **Looking for vulnerabilities**
**对所有不属于 CDN 的 IP 进行端口扫描**(因为你很可能不会在这里找到任何有趣的东西)。在发现的运行服务中,你可能 **能够找到漏洞**
**对所有不属于 CDN 的 IP 进行端口扫描**(因为您很可能不会在其中找到任何有趣的东西)。在发现的运行服务中,您可能 **能够找到漏洞**
**查找一个** [**指南**](../pentesting-network/) **关于如何扫描主机。**
## Web servers hunting
> 我们已经找到了所有公司及其资产,并且知道范围内的 IP 范围、域名和 subdomains。现在是搜索 web 服务器的时候了。
> 我们已经找到了所有公司及其资产,并且知道范围内的 IP 范围、域和 subdomains。现在是搜索 Web 服务器的时候了。
在之前的步骤中,你可能已经对发现的 **IPs 和域名** 进行了某些 **侦察**,因此你可能 **已经找到了所有可能的 web 服务器**。然而,如果你还没有,我们现在将看到一些 **快速技巧来搜索范围内的 web 服务器**。
在之前的步骤中,您可能已经对发现的 **IPs 和域进行了某些侦察**,因此您可能 **已经找到了所有可能的 Web 服务器**。但是,如果您还没有,我们现在将看到一些 **快速技巧来搜索范围内的 Web 服务器**。
请注意,这将是 **面向 web 应用程序发现** 的,因此你也应该 **进行漏洞****端口扫描****如果范围允许**)。
请注意,这将是 **面向 Web 应用程序发现**,因此您还应该 **执行漏洞****端口扫描**(如果范围允许)。
一种 **快速方法** 是使用 [**masscan** 在这里发现与 **web** 服务器相关的 **开放端口**](../pentesting-network/#http-port-discovery)。\
另一个友好的工具来查找 web 服务器是 [**httprobe**](https://github.com/tomnomnom/httprobe)**,** [**fprobe**](https://github.com/theblackturtle/fprobe) 和 [**httpx**](https://github.com/projectdiscovery/httpx)。只需传递一个域名列表,它将尝试连接到 80http和 443https端口。此外可以指示尝试其他端口:
一种 **快速方法** 是使用 [**masscan** 在此处发现与 **web** 服务器相关的 **开放端口**](../pentesting-network/#http-port-discovery)。\
另一个友好的工具来查找 Web 服务器是 [**httprobe**](https://github.com/tomnomnom/httprobe)**,** [**fprobe**](https://github.com/theblackturtle/fprobe) 和 [**httpx**](https://github.com/projectdiscovery/httpx)。只需传递一个域名列表,它将尝试连接到 80http和 443https端口。此外可以指示尝试其他端口:
```bash
cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443
@ -518,9 +518,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
现在您已经发现了范围内的**所有网络服务器**(在公司的**IP**和所有**域名**及**子域名**中),您可能**不知道从哪里开始**。所以,让我们简单一点,先对它们进行截图。仅通过**查看****主页**,您就可以找到更**容易**被**利用**的**奇怪**端点。
要执行所提议的想法,您可以使用 [**EyeWitness**](https://github.com/FortyNorthSecurity/EyeWitness)、[**HttpScreenshot**](https://github.com/breenmachine/httpscreenshot)、[**Aquatone**](https://github.com/michenriksen/aquatone)、[**Shutter**](https://shutter-project.org/downloads/third-party-packages/)、[**Gowitness**](https://github.com/sensepost/gowitness) [**webscreenshot**](https://github.com/maaaaz/webscreenshot)**。**
要执行所提议的想法,您可以使用[**EyeWitness**](https://github.com/FortyNorthSecurity/EyeWitness)、[**HttpScreenshot**](https://github.com/breenmachine/httpscreenshot)、[**Aquatone**](https://github.com/michenriksen/aquatone)、[**Shutter**](https://shutter-project.org/downloads/third-party-packages/)、[**Gowitness**](https://github.com/sensepost/gowitness)或[**webscreenshot**](https://github.com/maaaaz/webscreenshot)**。**
此外,您还可以使用 [**eyeballer**](https://github.com/BishopFox/eyeballer) 来分析所有的**截图**,告诉您**哪些可能包含漏洞**,哪些则不包含。
此外,您还可以使用[**eyeballer**](https://github.com/BishopFox/eyeballer)对所有**截图**进行分析,以告诉您**哪些可能包含漏洞**,哪些不包含。
## 公有云资产
@ -532,9 +532,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
* [https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt](https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt)
* [https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt](https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt)
然后,使用这些词汇生成**排列组合**(有关更多信息,请查看 [**第二轮DNS暴力破解**](./#second-dns-bruteforce-round))。
然后,使用这些词汇生成**排列组合**(有关更多信息,请查看[**第二轮DNS暴力破解**](./#second-dns-bruteforce-round))。
使用生成的字典,您可以使用工具,如 [**cloud\_enum**](https://github.com/initstring/cloud\_enum)**、** [**CloudScraper**](https://github.com/jordanpotti/CloudScraper)**、** [**cloudlist**](https://github.com/projectdiscovery/cloudlist) **或** [**S3Scanner**](https://github.com/sa7mon/S3Scanner)**。**
使用生成的字典,您可以使用工具,如[**cloud\_enum**](https://github.com/initstring/cloud\_enum)**、**[**CloudScraper**](https://github.com/jordanpotti/CloudScraper)**、**[**cloudlist**](https://github.com/projectdiscovery/cloudlist)**或**[**S3Scanner**](https://github.com/sa7mon/S3Scanner)**。**
请记住,在寻找云资产时,您应该**寻找的不仅仅是AWS中的存储桶**。
@ -547,9 +547,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
通过范围内的**域名**和**子域名**,您基本上拥有了**开始搜索电子邮件**所需的所有信息。这些是我找到公司电子邮件时效果最好的**API**和**工具**
* [**theHarvester**](https://github.com/laramies/theHarvester) - 使用API
* [**https://hunter.io/**](https://hunter.io/) 的API免费版
* [**https://app.snov.io/**](https://app.snov.io/) 的API免费版
* [**https://minelead.io/**](https://minelead.io/) 的API免费版
* [**https://hunter.io/**](https://hunter.io/)的API免费版
* [**https://app.snov.io/**](https://app.snov.io/)的API免费版
* [**https://minelead.io/**](https://minelead.io/)的API免费版
### **寻找漏洞**
@ -573,9 +573,9 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
### Github泄露
凭证和API可能在**公司**或在该github公司工作的**用户**的**公共仓库**中泄露。\
您可以使用**工具** [**Leakos**](https://github.com/carlospolop/Leakos) 来**下载**一个**组织**及其**开发者**的所有**公共仓库**,并自动运行 [**gitleaks**](https://github.com/zricethezav/gitleaks)。
您可以使用**工具**[**Leakos**](https://github.com/carlospolop/Leakos)来**下载**一个**组织**及其**开发者**的所有**公共仓库**,并自动运行[**gitleaks**](https://github.com/zricethezav/gitleaks)。
**Leakos** 还可以用于对所有提供的**URL**进行**gitleaks**扫描,因为有时**网页中也包含秘密**。
**Leakos**还可以用于对所有**文本**提供的**URL**运行**gitleaks**,因为有时**网页也包含秘密**。
#### Github Dorks
@ -588,11 +588,11 @@ cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 a
### Paste泄露
有时攻击者或仅仅是员工会在**粘贴网站**上**发布公司内容**。这可能包含或不包含**敏感信息**,但搜索它非常有趣。\
您可以使用工具 [**Pastos**](https://github.com/carlospolop/Pastos) 在80多个粘贴网站上同时搜索。
您可以使用工具[**Pastos**](https://github.com/carlospolop/Pastos)同时在80多个粘贴网站上进行搜索。
### Google Dorks
老而金贵的google dorks始终对查找**不应存在的暴露信息**非常有用。唯一的问题是 [**google-hacking-database**](https://www.exploit-db.com/google-hacking-database) 包含数千个您无法手动运行的可能查询。因此您可以选择您最喜欢的10个或者使用**工具,如** [**Gorks**](https://github.com/carlospolop/Gorks) **来运行它们**
老而金的Google dorks始终对查找**不应存在的暴露信息**非常有用。唯一的问题是[**google-hacking-database**](https://www.exploit-db.com/google-hacking-database)包含数千个您无法手动运行的可能查询。因此您可以选择您最喜欢的10个或者使用**工具,如**[**Gorks**](https://github.com/carlospolop/Gorks)**来运行它们**
_请注意期望使用常规Google浏览器运行所有数据库的工具将永远无法完成因为Google会很快阻止您。_
@ -616,9 +616,9 @@ _请注意期望使用常规Google浏览器运行所有数据库的工具将
## [**网络渗透测试方法**](../../network-services-pentesting/pentesting-web/)
**大多数漏洞**都是由漏洞猎人发现,存在于**网络应用程序**中,因此在这一点上,我想谈谈**网络应用程序测试方法**,您可以在 [**这里找到此信息**](../../network-services-pentesting/pentesting-web/)。
**大多数漏洞**由漏洞猎人发现,存在于**网络应用程序**中,因此在这一点上,我想谈谈**网络应用程序测试方法**,您可以在[**这里找到此信息**](../../network-services-pentesting/pentesting-web/)。
我还想特别提到 [**Web自动扫描器开源工具**](../../network-services-pentesting/pentesting-web/#automatic-scanners) 部分,因为如果您不应该期望它们找到非常敏感的漏洞,但它们在**工作流程中实现一些初步网络信息**时非常有用。
我还想特别提到[**Web自动扫描器开源工具**](../../network-services-pentesting/pentesting-web/#automatic-scanners)部分,因为如果您不应该期望它们找到非常敏感的漏洞,但它们在**工作流程中实现一些初步网络信息**时非常有用。
## 综述
@ -626,17 +626,17 @@ _请注意期望使用常规Google浏览器运行所有数据库的工具将
所以您已经:
1. 找到范围内的**所有公司**
2. 找到属于公司的**所有资产**(并在范围内进行一些漏洞扫描)
3. 找到属于公司的**所有域名**
4. 找到域名的**所有子域名**(是否有子域名接管?)
5. 找到范围内的**所有IP**(来自和**不来自CDN**的IP
6. 找到所有的**网络服务器**并对它们进行了**截图**(是否有任何奇怪的地方值得深入研究?)
7. 找到属于公司的**所有潜在公共云资产**。
1. 找到范围内的所有**公司**
2. 找到属于公司的所有**资产**(并在范围内进行一些漏洞扫描)
3. 找到属于公司的所有**域名**
4. 找到所有域名的**子域名**(是否有子域名接管?)
5. 找到范围内的所有**IP**(来自和**不来自CDN**的IP
6. 找到所有**网络服务器**并对其进行了**截图**(是否有任何奇怪的地方值得深入研究?)
7. 找到属于公司的所有**潜在公共云资产**。
8. **电子邮件**、**凭证泄露**和**秘密泄露**,这些可能会让您**轻松获得重大胜利**。
9. **渗透测试您找到的所有网站**
## **全面侦查自动工具**
## **全面侦查自动工具**
有几种工具可以针对给定范围执行部分提议的操作。
@ -645,11 +645,11 @@ _请注意期望使用常规Google浏览器运行所有数据库的工具将
* [**https://github.com/six2dez/reconftw**](https://github.com/six2dez/reconftw)
* [**https://github.com/hackerspider1/EchoPwn**](https://github.com/hackerspider1/EchoPwn) - 有点旧且未更新
## **参考资料**
## **参考文献**
* 所有免费的 [**@Jhaddix**](https://twitter.com/Jhaddix) 课程,如 [**漏洞猎人的方法论 v4.0 - 侦查版**](https://www.youtube.com/watch?v=p4JgIu1mceI)
* 所有免费的[**@Jhaddix**](https://twitter.com/Jhaddix)课程,如[**漏洞猎人的方法论v4.0 - 侦查版**](https://www.youtube.com/watch?v=p4JgIu1mceI)
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
如果您对**黑客职业**和破解不可破解的东西感兴趣 - **我们正在招聘!**_需要流利的波兰语书写和口语能力_
@ -663,9 +663,9 @@ _请注意期望使用常规Google浏览器运行所有数据库的工具将
<summary>支持HackTricks</summary>
* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在Twitter上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享黑客技巧。
* 查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* **加入**💬 [**Discord小组**](https://discord.gg/hRep4RUj7f)或[**电报小组**](https://t.me/peass)或**在Twitter上关注**我们🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **通过向**[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)的github仓库提交PR来分享黑客技巧。
</details>
{% endhint %}