hacktricks/generic-methodologies-and-resources/external-recon-methodology
2024-09-04 13:35:19 +00:00
..
github-leaked-secrets.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:37:42 +00:00
README.md Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo 2024-07-18 22:14:33 +00:00
wide-source-code-search.md Translated ['README.md', 'crypto-and-stego/hash-length-extension-attack. 2024-09-04 13:35:19 +00:00

External Recon Methodology

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

If you are interested in hacking career and hack the unhackable - we are hiring! (fluent polish written and spoken required).

{% embed url="https://www.stmcyber.com/careers" %}

Assets discoveries

Hivyo ulisemwa kwamba kila kitu kinachomilikiwa na kampuni fulani kiko ndani ya upeo, na unataka kubaini ni nini kampuni hii inamiliki kwa kweli.

Lengo la awamu hii ni kupata makampuni yanayomilikiwa na kampuni kuu na kisha mali za makampuni haya. Ili kufanya hivyo, tutafanya:

  1. Kupata ununuzi wa kampuni kuu, hii itatupa makampuni ndani ya upeo.
  2. Kupata ASN (ikiwa ipo) ya kila kampuni, hii itatupa anuwai za IP zinazomilikiwa na kila kampuni.
  3. Tumia utafutaji wa reverse whois kutafuta entries nyingine (majina ya mashirika, maeneo...) yanayohusiana na ya kwanza (hii inaweza kufanywa kwa njia ya kurudi).
  4. Tumia mbinu nyingine kama shodan org na ssl filters kutafuta mali nyingine (hila ya ssl inaweza kufanywa kwa njia ya kurudi).

Acquisitions

Kwanza kabisa, tunahitaji kujua ni makampuni gani mengine yanayomilikiwa na kampuni kuu.
Chaguo moja ni kutembelea https://www.crunchbase.com/, tafuta kampuni kuu, na bonyeza kwenye "ununuzi". Huko utaona makampuni mengine yaliyonunuliwa na kampuni kuu.
Chaguo lingine ni kutembelea ukurasa wa Wikipedia wa kampuni kuu na kutafuta ununuzi.

Sawa, katika hatua hii unapaswa kujua makampuni yote ndani ya upeo. Hebu tuone jinsi ya kupata mali zao.

ASNs

Nambari ya mfumo huru (ASN) ni nambari ya kipekee inayotolewa kwa mfumo huru (AS) na Mamlaka ya Nambari za Mtandao (IANA).
AS inajumuisha vizuizi vya anwani za IP ambazo zina sera iliyofafanuliwa wazi kwa kufikia mitandao ya nje na zinatawaliwa na shirika moja lakini zinaweza kuwa na waendeshaji kadhaa.

Ni ya kuvutia kupata ikiwa kampuni ina ASN yoyote ili kupata anuwai zake za IP. Itakuwa ya kuvutia kufanya mtihani wa udhaifu dhidi ya michakato yote ndani ya upeo na kutafuta maeneo ndani ya anuwai hizi za IP.
Unaweza kutafuta kwa jina la kampuni, kwa IP au kwa domain katika https://bgp.he.net/.
Kulingana na eneo la kampuni, viungo hivi vinaweza kuwa na manufaa kukusanya data zaidi: AFRINIC (Afrika), Arin(Amerika Kaskazini), APNIC (Asia), LACNIC (Amerika ya Kusini), RIPE NCC (Ulaya). Hata hivyo, labda taarifa zote muhimu (anuwai za IP na Whois) tayari zinaonekana katika kiungo cha kwanza.

#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161

Pia, BBOT's uainishaji wa subdomain unakusanya na kufupisha ASNs kiotomatiki mwishoni mwa skana.

bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24      | 5            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509  | 54.148.0.0/15       | 4            | AMAZON-02      | Amazon.com, Inc.           | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24       | 3            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.32.0.0/12         | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.0.0.0/9           | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+

You can find the IP ranges of an organisation also using http://asnlookup.com/ (ina API ya bure).
You can fins the IP and ASN of a domain using http://ipv4info.com/.

Kutafuta udhaifu

Katika hatua hii tunajua rasilimali zote ndani ya upeo, hivyo ikiwa umepewa ruhusa unaweza kuzindua scanner ya udhaifu (Nessus, OpenVAS) juu ya mwenyeji wote.
Pia, unaweza kuzindua baadhi ya skana za bandari au tumia huduma kama shodan kupata bandari wazi na kulingana na kile unachokiona unapaswa kuangalia katika kitabu hiki jinsi ya kufanya pentesting kwa huduma kadhaa zinazoweza kukimbia.
Pia, inaweza kuwa na faida kutaja kwamba unaweza pia kuandaa baadhi ya orodha za jina la mtumiaji wa kawaida na nywila na kujaribu bruteforce huduma na https://github.com/x90skysn3k/brutespray.

Domains

Tunajua kampuni zote ndani ya upeo na rasilimali zao, ni wakati wa kutafuta majina ya domain ndani ya upeo.

Tafadhali, kumbuka kwamba katika mbinu zilizopendekezwa hapa chini unaweza pia kupata subdomains na kwamba taarifa hiyo haipaswi kupuuziliwa mbali.

Kwanza kabisa unapaswa kutafuta domain kuu(s) za kila kampuni. Kwa mfano, kwa Tesla Inc. itakuwa tesla.com.

Reverse DNS

Kama umepata anuwai zote za IP za majina ya domain unaweza kujaribu kufanya reverse dns lookups kwenye hizo IPs ili kupata majina zaidi ya domain ndani ya upeo. Jaribu kutumia seva ya dns ya mwathirika au seva maarufu ya dns (1.1.1.1, 8.8.8.8)

dnsrecon -r <DNS Range> -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns

Kwa hili kufanyika, msimamizi lazima aweke kwa mikono PTR.
Unaweza pia kutumia chombo cha mtandaoni kwa habari hii: http://ptrarchive.com/

Reverse Whois (loop)

Ndani ya whois unaweza kupata habari nyingi za kuvutia kama jina la shirika, anwani, barua pepe, nambari za simu... Lakini kinachovutia zaidi ni kwamba unaweza kupata mali zaidi zinazohusiana na kampuni ikiwa utatekeleza reverse whois lookups kwa yoyote ya hizo (kwa mfano, rejista nyingine za whois ambapo barua pepe hiyo inaonekana).
Unaweza kutumia zana za mtandaoni kama:

Unaweza kuendesha kazi hii kwa kutumia DomLink (inahitaji funguo ya API ya whoxy).
Unaweza pia kutekeleza ugunduzi wa moja kwa moja wa reverse whois kwa kutumia amass: amass intel -d tesla.com -whois

Kumbuka kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila wakati unapata kikoa kipya.

Trackers

Ikiwa unapata ID sawa ya tracker sawa katika kurasa 2 tofauti unaweza kudhani kwamba kurasa zote mbili zinasimamiwa na timu moja.
Kwa mfano, ikiwa unaona Google Analytics ID sawa au Adsense ID sawa kwenye kurasa kadhaa.

Kuna kurasa na zana ambazo zinakuwezesha kutafuta kwa trackers hizi na zaidi:

Favicon

Je, unajua kwamba tunaweza kupata majina ya kikoa na sub domains zinazohusiana na lengo letu kwa kutafuta hash ya ikoni ya favicon sawa? Hii ndiyo hasa inayo fanywa na chombo favihash.py kilichotengenezwa na @m4ll0k2. Hapa kuna jinsi ya kuitumia:

cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

favihash - gundua maeneo yenye hash sawa ya favicon icon

Kwa maneno rahisi, favihash itaturuhusu kugundua maeneo ambayo yana hash sawa ya favicon icon kama lengo letu.

Zaidi ya hayo, unaweza pia kutafuta teknolojia ukitumia hash ya favicon kama ilivyoelezwa katika hiki kipande cha blog. Hii inamaanisha kwamba ikiwa unajua hash ya favicon ya toleo lenye udhaifu la teknolojia ya wavuti unaweza kutafuta katika shodan na kupata maeneo mengine yenye udhaifu:

shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'

Hii ndiyo njia unavyoweza kuhesabu hash ya favicon ya wavuti:

import mmh3
import requests
import codecs

def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash

Tafuta ndani ya kurasa za wavuti nyuzi ambazo zinaweza kushirikiwa kati ya wavuti tofauti katika shirika moja. Nyuzi za hakimiliki zinaweza kuwa mfano mzuri. Kisha tafuta nyuzi hiyo katika google, katika vivinjari vingine au hata katika shodan: shodan search http.html:"Copyright string"

CRT Time

Ni kawaida kuwa na kazi ya cron kama

# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"

to renew the all the domain certificates on the server. This means that even if the CA used for this doesn't set the time it was generated in the Validity time, it's possible to find domains belonging to the same company in the certificate transparency logs.
Check out this writeup for more information.

Mail DMARC information

You can use a web such as https://dmarc.live/info/google.com or a tool such as https://github.com/Tedixx/dmarc-subdomains to find domains and subdomain sharing the same dmarc information.

Passive Takeover

Kwa kweli ni kawaida kwa watu kupeana subdomains kwa IPs ambazo zinamilikiwa na watoa huduma wa cloud na kwa wakati fulani kupoteza anwani hiyo ya IP lakini kusahau kuondoa rekodi ya DNS. Hivyo, tu kuanzisha VM katika cloud (kama Digital Ocean) utakuwa kweli ukichukua baadhi ya subdomains.

This post explains a store about it and propose a script that spawns a VM in DigitalOcean, gets the IPv4 of the new machine, and searches in Virustotal for subdomain records pointing to it.

Other ways

Note that you can use this technique to discover more domain names every time you find a new domain.

Shodan

Kama unavyojua jina la shirika linalomiliki nafasi ya IP. Unaweza kutafuta kwa data hiyo katika shodan ukitumia: org:"Tesla, Inc." Angalia mwenyeji waliopatikana kwa majina mapya yasiyotarajiwa katika cheti cha TLS.

Unaweza kufikia cheti cha TLS cha ukurasa mkuu, kupata jina la Shirika na kisha kutafuta jina hilo ndani ya vyeti vya TLS vya kurasa zote za wavuti zinazojulikana na shodan kwa kichujio: ssl:"Tesla Motors" au tumia chombo kama sslsearch.

Assetfinder

Assetfinder ni chombo kinachotafuta domains related na domain kuu na subdomains zake, ni ya kushangaza sana.

Looking for vulnerabilities

Check for some domain takeover. Maybe some company is using some a domain but they lost the ownership. Just register it (if cheap enough) and let know the company.

If you find any domain with an IP different from the ones you already found in the assets discovery, you should perform a basic vulnerability scan (using Nessus or OpenVAS) and some port scan with nmap/masscan/shodan. Depending on which services are running you can find in this book some tricks to "attack" them.
Note that sometimes the domain is hosted inside an IP that is not controlled by the client, so it's not in the scope, be careful.


Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Subdomains

We know all the companies inside the scope, all the assets of each company and all the domains related to the companies.

Ni wakati wa kutafuta subdomains zote zinazowezekana za kila domain iliyopatikana.

{% hint style="success" %} Note that some of the tools and techniques to find domains can also help to find subdomains! {% endhint %}

DNS

Tujaribu kupata subdomains kutoka kwenye rekodi za DNS. Tunapaswa pia kujaribu kwa Zone Transfer (Ikiwa inahatarisha, unapaswa kuiripoti).

dnsrecon -a -d tesla.com

OSINT

Njia ya haraka ya kupata subdomains nyingi ni kutafuta katika vyanzo vya nje. Zana zinazotumika zaidi ni zifuatazo (kwa matokeo bora, weka funguo za API):

# subdomains
bbot -t tesla.com -f subdomain-enum

# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive

# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"

Kuna zana/APIs nyingine za kuvutia ambazo hata kama hazijabobea moja kwa moja katika kutafuta subdomains zinaweza kuwa na manufaa katika kutafuta subdomains, kama vile:

# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"
curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"
# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com
# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
  • gau: inapata URL zinazojulikana kutoka kwa Open Threat Exchange ya AlienVault, Wayback Machine, na Common Crawl kwa ajili ya kikoa chochote kilichotolewa.
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u
  • SubDomainizer & subscraper: Wanakusanya data kutoka mtandao wakitafuta faili za JS na kutoa subdomains kutoka hapo.
# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com

# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f
# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"
export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com
python3 DomainTrail.py -d example.com

Mradi huu unatoa bure subdomains zote zinazohusiana na programu za bug-bounty. Unaweza kufikia data hii pia ukitumia chaospy au hata kufikia upeo uliofanywa na mradi huu https://github.com/projectdiscovery/chaos-public-program-list

Unaweza kupata kulinganisha ya zana nyingi hapa: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off

DNS Brute force

Hebu jaribu kutafuta subdomains mpya kwa kubruge DNS servers kwa kutumia majina ya subdomain yanayowezekana.

Kwa hatua hii utahitaji baadhi ya orodha za maneno ya subdomains za kawaida kama:

Na pia IP za waamuzi wazuri wa DNS. Ili kuunda orodha ya waamuzi wa DNS wanaotegemewa unaweza kupakua waamuzi kutoka https://public-dns.info/nameservers-all.txt na kutumia dnsvalidator kuwasafisha. Au unaweza kutumia: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt

Zana zinazopendekezwa zaidi kwa DNS brute-force ni:

  • massdns: Hii ilikuwa zana ya kwanza iliyofanya DNS brute-force kwa ufanisi. Ni haraka sana hata hivyo inakabiliwa na matokeo ya uwongo.
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
  • gobuster: Hii nadhani inatumia resolver 1 tu
gobuster dns -d mysite.com -t 50 -w subdomains.txt
  • shuffledns ni kifungashio cha massdns, kilichoandikwa kwa go, kinachokuruhusu kuorodhesha subdomains halali kwa kutumia bruteforce ya moja kwa moja, pamoja na kutatua subdomains kwa kushughulikia wildcard na msaada rahisi wa ingizo-tofauti.
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt
puredns bruteforce all.txt domain.com
  • aiodnsbrute inatumia asyncio kufanya brute force majina ya domain kwa njia isiyo ya kawaida.
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com

Second DNS Brute-Force Round

Baada ya kupata subdomains kwa kutumia vyanzo vya wazi na brute-forcing, unaweza kuunda mabadiliko ya subdomains zilizopatikana ili kujaribu kupata zaidi. Zana kadhaa ni muhimu kwa kusudi hili:

  • dnsgen: Imepewa majina ya domain na subdomains inazalisha permutations.
cat subdomains.txt | dnsgen -
  • goaltdns: Imepewa majina ya domain na subdomain, tengeneza permutations.
  • Unaweza kupata permutations za goaltdns wordlist hapa.
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
  • gotator: Imepewa majina ya domain na subdomain, inazalisha permutations. Ikiwa faili la permutations halijatajwa, gotator itatumia faili lake mwenyewe.
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
  • altdns: Mbali na kuzalisha permutations za subdomains, inaweza pia kujaribu kuzitatua (lakini ni bora kutumia zana zilizotajwa hapo awali).
  • Unaweza kupata permutations za altdns wordlist hapa.
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
  • dmut: Zana nyingine ya kufanya permutations, mutations na mabadiliko ya subdomains. Zana hii itafanya brute force matokeo (haipokei dns wild card).
  • Unaweza kupata orodha ya maneno ya permutations ya dmut hapa.
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
  • alterx: Kulingana na kikoa, in zalisha majina mapya ya subdomain kulingana na mifumo iliyoonyeshwa ili kujaribu kugundua subdomain zaidi.

Uzalishaji wa permutations za akili

  • regulator: Kwa maelezo zaidi soma hii post lakini kimsingi itapata sehemu kuu kutoka kwa subdomain zilizogunduliwa na itazichanganya ili kupata subdomain zaidi.
python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
  • subzuf: subzuf ni fuzzer ya brute-force ya subdomain iliyo na algorithm rahisi lakini yenye ufanisi inayotegemea majibu ya DNS. Inatumia seti ya data za ingizo zilizotolewa, kama vile orodha ya maneno iliyoundwa maalum au rekodi za kihistoria za DNS/TLS, ili kuunda kwa usahihi majina mengine yanayohusiana ya domain na kuyapanua zaidi katika mzunguko kulingana na taarifa zilizokusanywa wakati wa skana ya DNS.
echo www | subzuf facebook.com

Mchakato wa Kugundua Subdomain

Angalia chapisho la blogu nililoandika kuhusu jinsi ya kujiandaa kugundua subdomain kutoka kwa domain kwa kutumia michakato ya Trickest ili nisiwe na haja ya kuzindua zana nyingi kwa mkono kwenye kompyuta yangu:

{% embed url="https://trickest.com/blog/full-subdomain-discovery-using-workflow/" %}

{% embed url="https://trickest.com/blog/full-subdomain-brute-force-discovery-using-workflow/" %}

VHosts / Makaribisho ya Kijamii

Ikiwa umepata anwani ya IP inayojumuisha ukurasa mmoja au kadhaa wa wavuti zinazomilikiwa na subdomains, unaweza kujaribu kutafuta subdomains nyingine zikiwa na wavuti katika IP hiyo kwa kutafuta katika vyanzo vya OSINT kwa domains katika IP au kwa kujaribu nguvu za VHost majina ya domain katika IP hiyo.

OSINT

Unaweza kupata baadhi ya VHosts katika IPs kwa kutumia HostHunter au APIs nyingine.

Brute Force

Ikiwa unashuku kwamba subdomain fulani inaweza kufichwa katika seva ya wavuti unaweza kujaribu kujaribu nguvu:

ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"

gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt

wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100

#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"

#https://github.com/codingo/VHostScan
VHostScan -t example.com

{% hint style="info" %} Kwa mbinu hii unaweza hata kufikia mwisho wa ndani/uliokhidden. {% endhint %}

CORS Brute Force

Wakati mwingine utaona kurasa ambazo hurudisha tu kichwa Access-Control-Allow-Origin wakati kikoa/chini ya kikoa halali kimewekwa katika kichwa Origin. Katika hali hizi, unaweza kutumia tabia hii vibaya ili gundua chini ya kikoa mpya.

ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body

Buckets Brute Force

Wakati unatafuta subdomains angalia kama in elekeza kwenye aina yoyote ya bucket, na katika hali hiyo angalia ruhusa.
Pia, kwa kuwa katika hatua hii utajua majina yote ya domain ndani ya upeo, jaribu brute force majina ya bucket yanayowezekana na angalia ruhusa.

Monitorization

Unaweza kufuatilia ikiwa subdomains mpya za domain zinaundwa kwa kufuatilia Certificate Transparency Logs sublert inafanya.

Looking for vulnerabilities

Angalia uwezekano wa subdomain takeovers.
Ikiwa subdomain inaelekeza kwenye S3 bucket, angalia ruhusa.

Ikiwa utapata subdomain yenye IP tofauti na zile ulizozipata tayari katika ugunduzi wa mali, unapaswa kufanya skani ya msingi ya udhaifu (ukitumia Nessus au OpenVAS) na baadhi ya skani za bandari kwa kutumia nmap/masscan/shodan. Kulingana na huduma zinazotumika unaweza kupata katika kitabu hiki hila za "kushambulia" hizo.
Kumbuka kwamba wakati mwingine subdomain inahostiwa ndani ya IP ambayo haidhibitiwi na mteja, hivyo si katika upeo, kuwa makini.

IPs

Katika hatua za awali huenda umekuwa umeona baadhi ya anuwai za IP, domains na subdomains.
Ni wakati wa kukusanya IP zote kutoka kwa anuwai hizo na kwa domains/subdomains (maswali ya DNS).

Kwa kutumia huduma kutoka apis za bure zifuatazo unaweza pia kupata IPs za awali zilizotumika na domains na subdomains. IP hizi zinaweza bado kumilikiwa na mteja (na zinaweza kukuruhusu kupata CloudFlare bypasses)

Unaweza pia kuangalia kwa domains zinazoelekeza kwenye anwani maalum ya IP kwa kutumia chombo hakip2host

Looking for vulnerabilities

Skani bandari zote za IP ambazo hazihusiani na CDNs (kwa kuwa huenda usipate kitu chochote cha kuvutia huko). Katika huduma zinazotumika zilizogunduliwa unaweza kuwa na uwezo wa kupata udhaifu.

Pata mwongozo kuhusu jinsi ya skani hosts.

Web servers hunting

Tumegundua kampuni zote na mali zao na tunajua anuwai za IP, domains na subdomains ndani ya upeo. Ni wakati wa kutafuta seva za wavuti.

Katika hatua za awali huenda tayari umekuwa umefanya baadhi ya recon ya IPs na domains zilizogunduliwa, hivyo huenda umekuwa umeona seva zote zinazowezekana za wavuti. Hata hivyo, ikiwa hujafanya hivyo sasa tutaona baadhi ya hila za haraka za kutafuta seva za wavuti ndani ya upeo.

Tafadhali, kumbuka kwamba hii itakuwa imeelekezwa kwa ugunduzi wa programu za wavuti, hivyo unapaswa kufanya udhaifu na skani za bandari pia (ikiwa inaruhusiwa na upeo).

Njia ya haraka ya kugundua bandari wazi zinazohusiana na seva za wavuti kwa kutumia masscan inaweza kupatikana hapa.
Chombo kingine rafiki cha kutafuta seva za wavuti ni httprobe, fprobe na httpx. Unapita tu orodha ya domains na itajaribu kuungana na bandari 80 (http) na 443 (https). Zaidi ya hayo, unaweza kuonyesha kujaribu bandari nyingine:

cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443

Screenshots

Sasa kwamba umepata seva zote za wavuti zilizopo katika upeo (katika IPs za kampuni na domains zote na subdomains) huenda hujui wapi uanze. Hivyo, hebu iwe rahisi na tuanze kwa kuchukua picha za skrini za zote. Kwa kuangalia tu kwenye ukurasa mkuu unaweza kupata mipango ya ajabu ambayo ni rahisi kuwa na udhaifu.

Ili kutekeleza wazo lililopendekezwa unaweza kutumia EyeWitness, HttpScreenshot, Aquatone, Shutter, Gowitness au webscreenshot.

Zaidi ya hayo, unaweza kutumia eyeballer kukagua picha za skrini zote ili kukuambia nini kinaweza kuwa na udhaifu, na nini hakina.

Mali za Umma za Wingu

Ili kupata mali za wingu zinazoweza kuwa za kampuni unapaswa kuanza na orodha ya maneno muhimu yanayofafanua kampuni hiyo. Kwa mfano, kwa kampuni ya crypto unaweza kutumia maneno kama: "crypto", "wallet", "dao", "<domain_name>", <"subdomain_names">.

Utahitaji pia orodha za maneno ya maneno ya kawaida yanayotumika katika makundi:

Kisha, kwa maneno hayo unapaswa kuunda mabadiliko (angalia Second Round DNS Brute-Force kwa maelezo zaidi).

Kwa orodha za maneno zilizopatikana unaweza kutumia zana kama cloud_enum, CloudScraper, cloudlist au S3Scanner.

Kumbuka kwamba unapoitafuta Mali za Wingu unapaswa kuangalia zaidi ya makundi tu katika AWS.

Kuangalia udhaifu

Ikiwa unapata vitu kama makundi ya wazi au kazi za wingu zilizofichuliwa unapaswa kuvifungua na kujaribu kuona ni nini vinatoa na ikiwa unaweza kuvifanyia matumizi mabaya.

Barua pepe

Pamoja na domains na subdomains ndani ya upeo unayo kila kitu unachohitaji kuanza kutafuta barua pepe. Hizi ni APIs na zana ambazo zimefanya kazi vizuri zaidi kwangu kupata barua pepe za kampuni:

Kuangalia udhaifu

Barua pepe zitakuwa na manufaa baadaye kwa kujaribu nguvu logins za wavuti na huduma za uthibitishaji (kama SSH). Pia, zinahitajika kwa phishings. Zaidi ya hayo, hizi APIs zitakupa hata zaidi habari kuhusu mtu nyuma ya barua pepe, ambayo ni muhimu kwa kampeni ya phishing.

Mvujo wa Akida

Pamoja na domains, subdomains, na barua pepe unaweza kuanza kutafuta akida zilizovuja katika siku za nyuma zinazomilikiwa na barua pepe hizo:

Kuangalia udhaifu

Ikiwa unapata akida zilizovuja halali, hii ni ushindi rahisi sana.

Mvujo wa Siri

Mvujo wa akida unahusiana na uvunjaji wa kampuni ambapo habari nyeti ilivuja na kuuzwa. Hata hivyo, kampuni zinaweza kuathiriwa na mvujo mingine ambayo habari yake haipo katika hizo databasi:

Mvujo wa Github

Akida na APIs zinaweza kuvuja katika hifadhi za umma za kampuni au za watumiaji wanaofanya kazi kwa kampuni hiyo ya github.
Unaweza kutumia zana Leakos kupakua hifadhi zote za umma za taasisi na za waendelezaji wake na kuendesha gitleaks juu yao kiotomatiki.

Leakos pia inaweza kutumika kuendesha gitleaks dhidi ya maandishi yaliyotolewa URLs yaliyopitishwa kwake kwani wakati mwingine kurasa za wavuti pia zina siri.

Github Dorks

Angalia pia ukurasa huu kwa github dorks zinazoweza kutafutwa katika taasisi unayoishambulia:

{% content-ref url="github-leaked-secrets.md" %} github-leaked-secrets.md {% endcontent-ref %}

Mvujo wa Pastes

Wakati mwingine washambuliaji au wafanyakazi tu wata chapisha maudhui ya kampuni katika tovuti ya paste. Hii inaweza kuwa na au isiwe na habari nyeti, lakini ni ya kuvutia kutafuta.
Unaweza kutumia zana Pastos kutafuta katika zaidi ya tovuti 80 za paste kwa wakati mmoja.

Google Dorks

Google dorks za zamani lakini za thamani daima ni muhimu kupata habari zilizofichuliwa ambazo hazipaswi kuwa hapo. Tatizo pekee ni kwamba google-hacking-database ina maelfu kadhaa ya maswali yanayoweza kutekelezwa ambayo huwezi kuyatekeleza kwa mikono. Hivyo, unaweza kuchukua 10 zako unazopenda au unaweza kutumia zana kama Gorks kuziendesha zote.

Kumbuka kwamba zana zinazotarajia kuendesha database yote kwa kutumia kivinjari cha kawaida cha Google hazitamalizika kamwe kwani google itakuzuia haraka sana.

Kuangalia udhaifu

Ikiwa unapata akida zilizovuja halali au token za API, hii ni ushindi rahisi sana.

Udhaifu wa Msimbo wa Umma

Ikiwa umepata kwamba kampuni ina msimbo wa chanzo wazi unaweza kuuchambua na kutafuta udhaifu ndani yake.

Kulingana na lugha kuna zana tofauti unazoweza kutumia:

{% content-ref url="../../network-services-pentesting/pentesting-web/code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}

Pia kuna huduma za bure zinazokuruhusu kuchunguza hifadhi za umma, kama:

Mbinu za Pentesting Wavuti

Wingi wa udhaifu unaopatikana na wawindaji wa makosa unapatikana ndani ya maombi ya wavuti, hivyo katika hatua hii ningependa kuzungumzia mbinu ya kupima maombi ya wavuti, na unaweza kupata habari hii hapa.

Ningependa pia kutoa kumbukumbu maalum kwa sehemu Zana za Skana za Kiotomatiki za Wavuti, kwani, usitarajie zipate udhaifu nyeti sana, zinakuja kwa manufaa kutekeleza kwenye mchakato wa kazi ili kupata habari za awali za wavuti.

Muhtasari

Hongera! Katika hatua hii tayari umetekeleza kuhesabu msingi wote. Ndio, ni msingi kwa sababu kuna hesabu zaidi inayoweza kufanywa (tutaona hila zaidi baadaye).

Hivyo tayari umepata:

  1. Kupata makampuni yote ndani ya upeo
  2. Kupata mali zote zinazomilikiwa na makampuni (na kufanya skana za udhaifu ikiwa ziko ndani ya upeo)
  3. Kupata domains zote zinazomilikiwa na makampuni
  4. Kupata subdomains zote za domains (je, kuna kuchukuliwa kwa subdomain?)
  5. Kupata IPs zote (kutoka na sio kutoka CDNs) ndani ya upeo.
  6. Kupata seva zote za wavuti na kuchukua picha za skrini zao (je, kuna kitu chochote cha ajabu kinachostahili kuangaliwa kwa kina?)
  7. Kupata mali zote za umma za wingu zinazomilikiwa na kampuni.
  8. Barua pepe, mvujo wa akida, na mvujo wa siri ambazo zinaweza kukupa ushindi mkubwa kwa urahisi sana.
  9. Pentesting wavuti zote ulizozipata

Zana za Kiotomatiki za Utafiti Kamili

Kuna zana kadhaa huko nje ambazo zitafanya sehemu ya vitendo vilivyopendekezwa dhidi ya upeo fulani.

Marejeleo

Ikiwa unavutiwa na kazi ya uvunjaji na kuvunja yasiyoweza kuvunjika - tunatafuta wafanyakazi! (kuandika na kuzungumza kwa kiswahili vizuri kunahitajika).

{% embed url="https://www.stmcyber.com/careers" %}

{% hint style="success" %} Jifunze na fanya mazoezi ya Uvunjaji wa AWS:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya Uvunjaji wa GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}