hacktricks/generic-methodologies-and-resources/external-recon-methodology
2024-05-08 16:35:18 +00:00
..
github-leaked-secrets.md Translated to Swahili 2024-02-11 02:13:58 +00:00
README.md Translated ['README.md', 'binary-exploitation/rop-return-oriented-progra 2024-05-08 16:35:18 +00:00
wide-source-code-search.md Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-26 15:53:40 +00:00

Mbinu ya Uchunguzi wa Nje

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyodukuzika - tunakupa kazi! (inahitajika uwezo wa kuandika na kuzungumza Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Ugunduzi wa Mali

Kwa hivyo uliambiwa kwamba kila kitu kinachomilikiwa na kampuni fulani kipo ndani ya wigo, na unataka kugundua ni nini kampuni hii kwa kweli inamiliki.

Lengo la hatua hii ni kupata kampuni zote zinazomilikiwa na kampuni kuu na kisha mali zote za kampuni hizi. Ili kufanya hivyo, tutafanya yafuatayo:

  1. Tafuta ununuzi wa kampuni kuu, hii itatupa kampuni zilizo ndani ya wigo.
  2. Tafuta ASN (ikiwa ipo) ya kila kampuni, hii itatupa safu za IP zinazomilikiwa na kila kampuni.
  3. Tumia utafutaji wa whois uliorejea nyuma kutafuta kuingia nyingine (majina ya shirika, uwanja...) unaohusiana na ya kwanza (hii inaweza kufanywa kwa njia ya kurudufu).
  4. Tumia mbinu nyingine kama shodan orgna sslfilters kutafuta mali zingine (mbinu ya ssl inaweza kufanywa kwa njia ya kurudufu).

Ununuzi

Kwanza kabisa, tunahitaji kujua ni kampuni zipi zinamilikiwa na kampuni kuu.
Chaguo moja ni kutembelea https://www.crunchbase.com/, tafuta kwa kampuni kuu, na bonyeza "ununuzi". Huko utaona kampuni zingine zilizonunuliwa na ile kuu.
Chaguo lingine ni kutembelea ukurasa wa Wikipedia wa kampuni kuu na kutafuta ununuzi.

Vizuri, kufikia hatua hii unapaswa kujua kampuni zote zilizo ndani ya wigo. Hebu tujaribu kugundua jinsi ya kupata mali zao.

ASNs

Namba ya mfumo huru (ASN) ni namba ya kipekee iliyoandaliwa kwa mfumo huru (AS) na Mamlaka ya Namba za Mtandao wa Mtandao (IANA).
AS inajumuisha vifungu vya anwani za IP ambazo zina sera iliyowekwa wazi kwa kupata mitandao ya nje na inasimamiwa na shirika moja lakini inaweza kuundwa na waendeshaji kadhaa.

Ni muhimu kujua ikiwa kampuni imewekewa ASN yoyote ili kupata safu zake za IP. Itakuwa muhimu kufanya jaribio la udhaifu dhidi ya mashine zote ndani ya wigo na kutafuta uwanja ndani ya IP hizi.
Unaweza kutafuta kwa jina la kampuni, kwa IP au kwa uwanja kwenye https://bgp.he.net/.
Kulingana na eneo la kampuni viungo hivi vinaweza kuwa vya manufaa kukusanya data zaidi: AFRINIC (Afrika), Arin(Amerika Kaskazini), APNIC (Asia), LACNIC (Amerika ya Kilatini), RIPE NCC (Ulaya). Hata hivyo, labda taarifa zote muhimu (safu za IP na Whois) zinaonekana tayari kwenye kiungo cha kwanza.

#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161

Pia, uchambuzi wa subdomain wa BBOT hukusanya na kutoa muhtasari wa ASNs mwishoni mwa uchunguzi.

bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24      | 5            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509  | 54.148.0.0/15       | 4            | AMAZON-02      | Amazon.com, Inc.           | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24       | 3            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.32.0.0/12         | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.0.0.0/9           | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+

Unaweza kupata safu za IP za shirika pia kwa kutumia http://asnlookup.com/ (ina API ya bure).
Unaweza kupata IP na ASN ya kikoa kwa kutumia http://ipv4info.com/.

Kutafuta Udhaifu

Kufikia hatua hii tunajua mali zote ndani ya eneo la kuzingatia, hivyo ikiwa unaruhusiwa unaweza kuzindua baadhi ya skana za udhaifu (Nessus, OpenVAS) kwenye mwenyeji wote.
Pia, unaweza kuzindua baadhi ya skani za bandari au kutumia huduma kama shodan kupata bandari zilizofunguliwa na kulingana na unachopata unapaswa kutazama kitabu hiki jinsi ya kufanya upimaji wa usalama wa huduma kadhaa zinazoweza kuendeshwa.
Pia, Inaweza kuwa na maana kutaja kwamba unaweza pia kuandaa baadhi ya majina ya mtumiaji ya msingi na nywila na kujaribu kuvunja nguvu huduma na https://github.com/x90skysn3k/brutespray.

Viko

Tunajua makampuni yote ndani ya eneo la kuzingatia na mali zao, ni wakati wa kupata viko ndani ya eneo la kuzingatia.

Tafadhali, elewa kwamba katika mbinu zilizopendekezwa zifuatazo unaweza pia kupata viko vya pili na habari hiyo isipuuzwe.

Kwanza kabisa unapaswa kutafuta viko vikuu vya kila kampuni. Kwa mfano, kwa Tesla Inc. itakuwa tesla.com.

DNS ya Nyuma

Baada ya kupata safu zote za IP za viko unaweza kujaribu kufanya utafutaji wa DNS ya nyuma kwenye IP hizo ili kupata viko zaidi ndani ya eneo la kuzingatia. Jaribu kutumia seva fulani ya dns ya mwathiriwa au seva ya dns inayojulikana (1.1.1.1, 8.8.8.8)

dnsrecon -r <DNS Range> -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns

Ili hii ifanye kazi, msimamizi lazima awezeshe PTR kwa mkono.
Unaweza pia kutumia chombo mtandaoni kwa habari hii: http://ptrarchive.com/

Reverse Whois (mzunguko)

Ndani ya whois unaweza kupata habari nyingi za kuvutia kama jina la shirika, anwani, barua pepe, namba za simu... Lakini jambo linalovutia zaidi ni kwamba unaweza kupata mali zaidi zinazohusiana na kampuni ikiwa utafanya utafutaji wa reverse whois kwa kutumia mojawapo ya hizo taarifa (kwa mfano rekodi nyingine za whois ambapo anwani ya barua pepe inaonekana).
Unaweza kutumia zana mtandaoni kama:

Unaweza kiotomatiki kazi hii kutumia DomLink (inahitaji ufunguo wa API ya whoxy).
Unaweza pia kufanya ugunduzi wa reverse whois kiotomatiki na amass: amass intel -d tesla.com -whois

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila wakati unapopata kikoa kipya.

Trackers

Ukiona kitambulisho kimoja cha kufuatilia cha tracker kimoja kwenye kurasa 2 tofauti unaweza kudhani kwamba kurasa zote zinasimamiwa na timu moja.
Kwa mfano, ikiwa unaona kitambulisho kimoja cha Google Analytics au kitambulisho kimoja cha Adsense kwenye kurasa kadhaa.

Kuna kurasa na zana zinazoruhusu utafutaji kwa kutumia hizi trackers na zaidi:

Favicon

Je! Ulijua kwamba tunaweza kupata vikoa vinavyohusiana na lengo letu kwa kutafuta hash sawa ya picha ya favicon? Hii ndio hasa kazi ya chombo cha favihash.py kilichotengenezwa na @m4ll0k2. Hivi ndivyo unavyoweza kutumia:

cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

favihash - Pata uwanja wenye alama sawa ya favicon icon hash

Kwa maneno rahisi, favihash itaturuhusu kupata uwanja ambao una alama sawa ya favicon icon hash kama lengo letu.

Zaidi ya hayo, unaweza pia kutafuta teknolojia kwa kutumia favicon hash kama ilivyoelezwa katika chapisho hili la blogi. Hii inamaanisha kwamba ukijua hash ya favicon ya toleo lenye kasoro la teknolojia ya wavuti unaweza kutafuta ikiwa ipo kwenye shodan na kupata maeneo zaidi yenye kasoro:

shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'

Hii ndio jinsi unavyoweza kukadiria hash ya favicon ya wavuti:

import mmh3
import requests
import codecs

def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash

Haki miliki / Uniq string

Tafuta ndani ya kurasa za wavuti maneno ambayo yanaweza kushirikishwa kwenye wavuti tofauti ndani ya shirika moja. Uniq string inaweza kuwa mfano mzuri. Kisha tafuta neno hilo kwenye google, kwenye vibonyezo vingine au hata kwenye shodan: shodan search http.html:"Uniq string"

Muda wa CRT

Ni kawaida kuwa na kazi ya cron kama vile

# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"

Kufanya upya vyeti vyote vya kikoa kwenye seva. Hii inamaanisha hata kama CA iliyotumiwa kwa hili haioni wakati ilizalishwa kwenye Muda wa Kuthibitisha, ni inawezekana kupata vikoa vinavyomilikiwa na kampuni ileile kwenye magogo ya uwazi ya cheti.\

Angalia hii makala kwa maelezo zaidi.

Taarifa za DMARC za Barua pepe

Unaweza kutumia wavuti kama https://dmarc.live/info/google.com au chombo kama https://github.com/Tedixx/dmarc-subdomains kupata vikoa na subdomain vinavyoshiriki taarifa sawa za dmarc.

Kuchukua Udhibiti kwa Njia ya Kupita

Inaonekana ni kawaida kwa watu kuweka subdomains kwa IPs zinazomilikiwa na watoa huduma wa wingu na wakati mwingine kupoteza anwani ya IP lakini kusahau kuondoa rekodi ya DNS. Kwa hiyo, tu kuzindua VM kwenye wingu (kama Digital Ocean) utakuwa ukichukua udhibiti wa baadhi ya subdomains.

Makala hii inaelezea hadithi kuhusu hilo na kupendekeza script ambayo inazindua VM kwenye DigitalOcean, inapata anwani ya IPv4 ya mashine mpya, na kutafuta kwenye Virustotal rekodi za subdomain zinazoashiria hiyo.

Njia Nyingine

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila unapopata kikoa kipya.

Shodan

Kama tayari unajua jina la shirika linalomiliki nafasi ya IP. Unaweza kutafuta kwa data hiyo kwenye shodan ukitumia: org:"Tesla, Inc." Angalia mwenyeji waliopatikana kwa vikoa visivyotarajiwa vipya kwenye cheti cha TLS.

Unaweza kupata cheti cha TLS cha ukurasa wa wavuti kuu, kupata jina la Shirika na kisha kutafuta jina hilo ndani ya cheti za TLS za kurasa zote za wavuti zinazojulikana na shodan kwa kutumia kichujio: ssl:"Tesla Motors" au tumia chombo kama sslsearch.

Assetfinder

Assetfinder ni chombo kinachotafuta vikoa vinavyohusiana na kikoa kuu na subdomains zao, ni nzuri sana.

Kutafuta Udhaifu

Angalia uchukuzi wa kikoa. Labda kuna kampuni ina tumia kikoa fulani lakini imepoteza umiliki. Jiandikishe tu (ikiwa ni rahisi) na ujulishe kampuni.

Kama unapata kikoa na anwani ya IP tofauti na zile ulizozipata tayari katika ugunduzi wa mali, unapaswa kufanya uchunguzi wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na uchunguzi wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Tambua kwamba mara nyingine kikoa kinaandaliwa ndani ya anwani ya IP ambayo haikodolewi na mteja, kwa hivyo sio sehemu ya kuchunguza, kuwa mwangalifu.


Sawa ya Bug bounty: jiandikishe kwa Intigriti, jukwaa la bug bounty la malipo ya juu lililoanzishwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata zawadi hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Subdomains

Tunajua makampuni yote ndani ya wigo, mali zote za kila kampuni na vikoa vyote vinavyohusiana na makampuni.

Ni wakati wa kupata subdomains zote zinazowezekana za kila kikoa kilichopatikana.

{% hint style="success" %} Tambua kwamba baadhi ya zana na mbinu za kupata vikoa zinaweza pia kusaidia kupata subdomains! {% endhint %}

DNS

Hebu jaribu kupata subdomains kutoka kwa rekodi za DNS. Pia tunapaswa kujaribu kwa Uhamisho wa Eneo (ikiwa ina kasoro, unapaswa kuripoti).

dnsrecon -a -d tesla.com

OSINT

Njia ya haraka ya kupata idadi kubwa ya subdomains ni kutafuta katika vyanzo vya nje. Zana zinazotumiwa sana ni zifuatazo (kwa matokeo bora configure funguo za API):

# subdomains
bbot -t tesla.com -f subdomain-enum

# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive

# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"

Kuna zana/API nyingine za kuvutia ambazo ingawa sio maalum moja kwa moja katika kupata subdomains zinaweza kuwa na manufaa katika kupata subdomains, kama:

# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"
curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"
# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com
# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
  • gau: inapata URL inayojulikana kutoka kwa AlienVault's Open Threat Exchange, Wayback Machine, na Common Crawl kwa kikoa chochote kilichotolewa.
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u
# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com

# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f
# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"
export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com
python3 DomainTrail.py -d example.com

Mradi huu unatoa bure subdomains zote zinazohusiana na programu za bug-bounty. Unaweza kupata data hii pia kwa kutumia chaospy au hata kupata wigo uliotumiwa na mradi huu https://github.com/projectdiscovery/chaos-public-program-list

Unaweza kupata ulinganifu wa zana nyingi hapa: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off

DNS Brute force

Hebu jaribu kupata subdomains mpya kwa kufanya nguvu ya DNS kwa kutumia majina ya subdomains yanayowezekana.

Kwa hatua hii utahitaji baadhi ya orodha za maneno ya kawaida ya subdomains kama:

Na pia IPs za DNS resolvers nzuri. Ili kuzalisha orodha ya DNS resolvers za kuaminika unaweza kupakua resolvers kutoka https://public-dns.info/nameservers-all.txt na kutumia dnsvalidator kuzifuta. Au unaweza kutumia: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt

Zana zilizopendekezwa zaidi kwa DNS brute-force ni:

  • massdns: Hii ilikuwa zana ya kwanza iliyofanya DNS brute-force kwa ufanisi. Ni haraka sana hata hivyo inaweza kuwa na matokeo sahihi ya uwongo.
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
  • gobuster: Hii nadhani inatumia tu 1 resolver
gobuster dns -d mysite.com -t 50 -w subdomains.txt
  • shuffledns ni kifuniko cha massdns, kilichoandikwa kwa lugha ya go, kinachokuwezesha kutambua anwani sahihi za subdomains kwa kutumia nguvu ya bruteforce, pamoja na kutatua subdomains na usimamizi wa wilcard na msaada rahisi wa kuingiza-kutoa.
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt
puredns bruteforce all.txt domain.com
  • aiodnsbrute hutumia asyncio kuvunja majina ya uwanja kwa njia isiyo ya moja kwa moja.
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com

Raundi ya Pili ya Kudukua DNS kwa Nguvu

Baada ya kupata subdomains kwa kutumia vyanzo vya wazi na kudukua, unaweza kuzalisha mabadiliko ya subdomains zilizopatikana kujaribu kupata zaidi. Zana kadhaa ni muhimu kwa kusudi hili:

  • dnsgen: Ikitolewa na kikoa na subdomains huzalisha mabadiliko.
cat subdomains.txt | dnsgen -
  • goaltdns: Kutoa upeo wa uundaji wa mchanganyiko wa uwanja na subdomains.
  • Unaweza kupata mchanganyiko wa goaltdns wordlist hapa.
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
  • gotator: Kutoa uwanja na subdomains kuzalisha mabadiliko. Ikiwa faili ya mabadiliko haionyeshwi gotator itatumia yake mwenyewe.
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
  • dmut: Zana nyingine ya kufanya mabadiliko, mabadiliko na ubadilishaji wa subdomains. Zana hii itafanya nguvu ya matokeo (haisaidii kadi ya dns ya pori).
  • Unaweza kupata orodha ya maneno ya dmut permutations hapa.
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
  • alterx: Inategemea kikoa na huzalisha majina mapya ya subdomains kulingana na mifano iliyotajwa kujaribu kugundua subdomains zaidi.

Uzalishaji wa permutasi za akili

  • regulator: Kwa maelezo zaidi soma hii chapisho lakini kimsingi itapata sehemu kuu kutoka kwa subdomains zilizogunduliwa na kuzichanganya ili kupata subdomains zaidi.
python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
  • subzuf: subzuf ni subdomain brute-force fuzzer inayohusishwa na algorithmu ya DNS ya kujibu kwa urahisi lakini yenye ufanisi mkubwa. Inatumia seti ya data ya kuingiza, kama orodha iliyoboreshwa ya maneno au rekodi za DNS/TLS za kihistoria, kusintezesha majina zaidi ya kikoa yanayohusiana na kuyapanua hata zaidi katika mzunguko kulingana na habari zilizokusanywa wakati wa uchunguzi wa DNS.
echo www | subzuf facebook.com

Mchakato wa Kugundua Subdomain

Angalia chapisho hili la blogi nililoandika kuhusu jinsi ya kutumia mchakato wa Trickest kiotomatiki kugundua subdomain kutoka kwa kikoa ili nisiitaji kuzindua zana nyingi kwa mkono kwenye kompyuta yangu:

{% embed url="https://trickest.com/blog/full-subdomain-discovery-using-workflow/" %}

{% embed url="https://trickest.com/blog/full-subdomain-brute-force-discovery-using-workflow/" %}

VHosts / Wenyeji Bandia

Ikiwa umepata anwani ya IP inayoitwa ukurasa mmoja au zaidi unaomilikiwa na subdomains, unaweza kujaribu kupata subdomains nyingine zenye kurasa kwenye IP hiyo kwa kutazama vyanzo vya OSINT kwa ajili ya domaini kwenye IP au kwa kufanya nguvu ya kutumia majina ya kikoa cha VHost kwenye IP hiyo.

OSINT

Unaweza kupata VHosts kwenye IPs kwa kutumia HostHunter au APIs nyingine.

Nguvu ya Kutumia

Ikiwa una shaka kwamba baadhi ya subdomaini inaweza kuwa imefichwa kwenye seva ya wavuti unaweza kujaribu kuita kwa nguvu:

ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"

gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt

wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100

#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"

#https://github.com/codingo/VHostScan
VHostScan -t example.com

{% hint style="info" %} Kwa kutumia mbinu hii, unaweza hata kupata ufikiaji wa vituo vya ndani/vilivyofichwa. {% endhint %}

CORS Brute Force

Wakati mwingine utakutana na kurasa ambazo hurudisha kichwa cha Access-Control-Allow-Origin pekee wakati kikoa/kidogo halali kimewekwa kwenye kichwa cha Origin. Katika hali hizi, unaweza kutumia tabia hii kugundua kidogo kipya.

ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body

Kikosi la Nguvu ya Kufurahisha

Wakati unatafuta subdomains angalia kuona kama inaelekeza kwa aina yoyote ya bucket, na katika kesi hiyo angalia ruhusa.
Pia, kwa wakati huu utajua uwanja wote ndani ya wigo, jaribu kufurahisha majina ya bucket yanayowezekana na angalia ruhusa.

Ufuatiliaji

Unaweza kufuatilia ikiwa subdomains mpya ya uwanja unatengenezwa kwa kufuatilia Certificate Transparency Logs sublert inavyofanya.

Kutafuta Ubaguzi

Angalia kwa uchukuzi wa subdomain unaoweza kuchukuliwa.
Ikiwa subdomain inaelekeza kwa bucket ya S3, angalia ruhusa.

Ikiwa unapata subdomain na anwani ya IP tofauti na zile ulizopata tayari katika ugunduzi wa mali, unapaswa kufanya upimaji wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na upimaji wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Taarifa kwamba mara nyingine subdomain inahifadhiwa ndani ya anwani ya IP ambayo haikudhibitiwa na mteja, hivyo sio sehemu ya wigo, kuwa mwangalifu.

Anwani za IP

Katika hatua za awali unaweza kuwa umepata aina fulani za IP, uwanja na subdomains.
Ni wakati wa kukusanya upya IPs zote kutoka kwa hizo anuwai na kwa uwanja/subdomains (mipangilio ya DNS).

Kwa kutumia huduma kutoka kwa apis za bure zifuatazo unaweza pia kupata IPs za awali zilizotumiwa na uwanja na subdomains. IPs hizi bado zinaweza kuwa mali ya mteja (na inaweza kukuruhusu kupata njia za kuzunguka CloudFlare)

Unaweza pia kuangalia uwanja unaoelekeza kwa anwani fulani ya IP kwa kutumia zana hakip2host

Kutafuta Ubaguzi

Pima bandari zote za IPs ambazo sio sehemu ya CDNs (kwa sababu kuna uwezekano mkubwa hautapata kitu cha kuvutia hapo). Katika huduma zinazoendeshwa zilizogunduliwa unaweza kupata udhaifu.

Pata mwongozo kuhusu jinsi ya kuscani mwenyeji.

Uwindaji wa Seva za Wavuti

Tumepata makampuni yote na mali zao na tunajua aina za IP, uwanja na subdomains ndani ya wigo. Ni wakati wa kutafuta seva za wavuti.

Katika hatua za awali labda tayari umefanya uchunguzi wa IPs na uwanja uliogunduliwa, hivyo unaweza kuwa umepata seva zote za wavuti zinazowezekana. Hata hivyo, ikiwa hujafanya hivyo sasa tutatazama mbinu za haraka za kutafuta seva za wavuti ndani ya wigo.

Tafadhali, kumbuka kuwa hii itakuwa ililenga ugunduzi wa programu za wavuti, hivyo unapaswa kufanya upimaji wa udhaifu na upimaji wa bandari pia (ikiwa kuruhusiwa na wigo).

Mbinu ya haraka ya kugundua bandari zilizofunguliwa zinazohusiana na seva za wavuti kwa kutumia masscan inaweza kupatikana hapa.
Zana nyingine rafiki ya kutafuta seva za wavuti ni httprobe, fprobe na httpx. Unaweza tu kupitisha orodha ya uwanja na itajaribu kuunganisha kwenye bandari 80 (http) na 443 (https). Kwa kuongezea, unaweza kuonyesha kujaribu bandari nyingine:

cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443

Vichwa vya Skrini

Sasa kwamba umegundua seva zote za wavuti zilizopo katika eneo (miongoni mwa IPs za kampuni na domaini zote na subdomains) labda hujui pa kuanzia. Kwa hivyo, hebu tufanye iwe rahisi na tuanze kwa kuchukua vichwa vya skrini vya vyote. Kwa kuangalia tu ukurasa wa kuu unaweza kupata malengo ya ajabu ambayo ni zaidi ya kuwa hatarini.

Ili kutekeleza wazo lililopendekezwa unaweza kutumia EyeWitness, HttpScreenshot, Aquatone, Shutter, Gowitness au webscreenshot.

Zaidi ya hayo, unaweza kutumia eyeballer kukimbia juu ya vichwa vya skrini vyote kukwambia ni nini kinachoweza kuwa na mapungufu, na ni nini siyo.

Mali za Wingu za Umma

Ili kupata mali za wingu za uwezekano zinazomilikiwa na kampuni unapaswa kuanza na orodha ya maneno muhimu yanayotambulisha kampuni hiyo. Kwa mfano, kwa kampuni ya crypto unaweza kutumia maneno kama: "crypto", "mkoba", "dao", "<jina_la_kikoa>", <"majina_ya_subdomain">.

Pia utahitaji orodha za maneno ya kawaida yanayotumiwa katika vikapu:

Kisha, kwa maneno hayo unapaswa kuzalisha permutations (angalia Raundi ya Pili ya Kufanya Nguvu ya DNS kwa maelezo zaidi).

Kwa orodha za maneno zilizopatikana unaweza kutumia zana kama cloud_enum, CloudScraper, cloudlist au S3Scanner.

Kumbuka kwamba unapotafuta Mali za Wingu unapaswa kutafuta zaidi ya vikapu tu katika AWS.

Kutafuta Mapungufu

Ikiwa unapata mambo kama vikapu vya wazi au kazi za wingu zilizofichuliwa unapaswa kuzifikia na jaribu kuona wanakupa nini na ikiwa unaweza kuzitumia vibaya.

Barua pepe

Kwa domaini na subdomains ndani ya eneo unayo karibu na yote unayohitaji kuanza kutafuta barua pepe. Hizi ni APIs na zana ambazo zimefanya kazi vizuri kwangu kupata barua pepe ya kampuni:

Kutafuta Mapungufu

Barua pepe zitakuja muhimu baadaye kwa kufanya nguvu za kuingia kwenye wavuti na huduma za uthibitishaji (kama vile SSH). Pia, zinahitajika kwa phishing. Zaidi ya hayo, APIs hizi zitakupa hata zaidi habari kuhusu mtu nyuma ya barua pepe, ambayo ni muhimu kwa kampeni ya phishing.

Kuvuja kwa Anwani za Barua pepe

Kwa domaini, subdomains, na barua pepe unaweza kuanza kutafuta vibali vilivyovuja hapo awali vinavyomilikiwa na barua pepe hizo:

Kutafuta Mapungufu

Ikiwa unapata vibali vilivyovuja vilivyothibitishwa, hii ni ushindi rahisi sana.

Kuvuja kwa Siri

Kuvuja kwa vibali kunahusiana na kuvuja kwa kampuni ambapo habari nyeti ilivuja na kuuzwa. Walakini, kampuni zinaweza kuathiriwa na uvujaji mwingine ambao habari yake haipo katika hizo database:

Kuvuja kwa Github

Vibali na APIs zinaweza kuvuja katika makusanyo ya umma ya kampuni au ya watumiaji wanaofanya kazi na kampuni hiyo ya github.
Unaweza kutumia zana Leakos kudownload repos za umma za shirika na wa wabunifu wake na kukimbia gitleaks juu yao kiotomatiki.

Leakos inaweza pia kutumika kukimbia gitleaks tena kwenye maandishi yote yaliyotolewa URLs zilizopitishwa kwake kwa sababu mara nyingi kurasa za wavuti pia zina siri.

Dorks za Github

Angalia pia ukurasa huu kwa dorks za github za uwezekano unaweza pia kutafuta katika shirika unaloshambulia:

{% content-ref url="github-leaked-secrets.md" %} github-leaked-secrets.md {% endcontent-ref %}

Kuvuja kwa Pasts

Wakati mwingine wachambuzi au wafanyakazi wataweza kuchapisha yaliyomo ya kampuni kwenye tovuti ya kubandika. Hii inaweza au isiyoweza kuwa na habari nyeti, lakini ni ya kuvutia sana kutafuta.
Unaweza kutumia zana Pastos kutafuta katika zaidi ya tovuti 80 za kubandika kwa wakati mmoja.

Dorks za Google

Dorks za zamani lakini dhahabu daima ni muhimu kupata habari zilizofichuliwa ambazo hazipaswi kuwepo. Tatizo pekee ni kwamba google-hacking-database ina maelfu ya matakwa yanayowezekana ambayo huwezi kukimbia kwa mikono. Kwa hivyo, unaweza kupata zako 10 zinazopendwa au unaweza kutumia zana kama Gorks kuzikimbia zote.

Taarifa kwamba zana zinatarajia kukimbia database yote kwa kutumia kivinjari cha kawaida cha Google haitamaliza kamwe kwani google itakuzuia haraka sana.

Kutafuta Mapungufu

Ikiwa unapata vibali vilivyovuja au alama za API, hii ni ushindi rahisi sana.

Mapungufu ya Kodi ya Umma

Ikiwa umegundua kuwa kampuni ina msimbo wa chanzo wazi unaweza kuuchambua na kutafuta mapungufu ndani yake.

Kulingana na lugha kuna zana tofauti unazoweza kutumia:

{% content-ref url="../../network-services-pentesting/pentesting-web/code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}

Pia kuna huduma za bure zinazokuwezesha kutafuta makusanyo ya umma, kama vile:

Mbinu ya Kupima Usalama wa Wavuti

Wengi wa udhaifu unaopatikana na wawindaji wa makosa uko ndani ya maombi ya wavuti, kwa hivyo kwa sasa ningependa kuzungumzia mbinu ya kupima maombi ya wavuti, na unaweza kupata habari hii hapa.

Pia ningependa kufanya marejeleo maalum kwa sehemu ya Zana za Kiotomatiki za Uchunguzi wa Wavuti za chanzo wazi, kwani, ingawa hutegemei kupata udhaifu wa siri sana, zinaweza kusaidia kutekeleza kwenye mchakato wa kupata habari ya awali ya wavuti.

Muhtasari

Hongera! Kufikia hatua hii tayari umefanya uchambuzi wa msingi wote. Ndiyo, ni msingi kwa sababu uchambuzi zaidi unaweza kufanywa (tutaona mbinu zaidi baadaye).

Kwa hivyo tayari umefanya yafuatayo:

  1. Kupata makampuni yote ndani ya eneo la kuchunguza
  2. Kupata mali zote zinazomilikiwa na makampuni (na kufanya uchunguzi wa udhaifu ikiwa ni sehemu ya eneo la kuchunguza)
  3. Kupata kikoa zote zinazomilikiwa na makampuni
  4. Kupata subdomain zote za vikoa (kuna uwezekano wa kuchukua subdomain?)
  5. Kupata IPs zote (kutoka na sio kutoka kwa CDNs) ndani ya eneo la kuchunguza.
  6. Kupata seva za wavuti zote na kuchukua picha ya skrini yao (kuna kitu cha ajabu kinachostahili kuangaliwa kwa undani?)
  7. Kupata mali zote za wingu la umma zinazomilikiwa na kampuni.
  8. Barua pepe, vuja vya siri, na vuja vya siri vinavyoweza kukupa ushindi mkubwa kwa urahisi sana.
  9. Kupima usalama wa wavuti zote ulizopata

Zana za Kiotomatiki za Uchunguzi Kamili

Kuna zana kadhaa huko nje ambazo zitafanya sehemu ya hatua zilizopendekezwa dhidi ya eneo lililopewa.

Vyanzo

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyoweza kudukuliwa - tunatafuta wafanyakazi! (inahitajika uwezo wa kuandika na kuzungumza Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Jifunze udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks: