Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 06:28:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/external-recon-methodology
History
Translator ec1e4c6ad7 Translated ['README.md', 'binary-exploitation/format-strings/README.md',
2024-04-15 03:57:59 +00:00
..
github-leaked-secrets.md Translated to Swahili 2024-02-11 02:13:58 +00:00
README.md Translated ['README.md', 'binary-exploitation/format-strings/README.md', 2024-04-15 03:57:59 +00:00
wide-source-code-search.md Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-26 15:53:40 +00:00

README.md

Mbinu ya Utafiti wa Nje

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyodukuzika - tunakupa kazi! (inahitajika uwezo wa kuandika na kuzungumza Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Ugunduzi wa Mali

Kwa hivyo uliambiwa kuwa kila kitu kinachomilikiwa na kampuni fulani kipo ndani ya wigo, na unataka kugundua kile kampuni hii kwa kweli inamiliki.

Lengo la hatua hii ni kupata kampuni zote zinazomilikiwa na kampuni kuu na kisha mali zote za kampuni hizi. Ili kufanya hivyo, tutafanya yafuatayo:

  1. Tafuta ununuzi wa kampuni kuu, hii itatupa kampuni zilizo ndani ya wigo.
  2. Tafuta ASN (ikiwa ipo) ya kila kampuni, hii itatupa safu za IP zinazomilikiwa na kila kampuni.
  3. Tumia utafutaji wa whois uliorejea nyuma kutafuta viingilio vingine (majina ya shirika, uwanja...) unayohusiana na la kwanza (hii inaweza kufanywa kwa njia ya kurudufu)
  4. Tumia mbinu nyingine kama shodan orgna sslfilters kutafuta mali zingine (mbinu ya ssl inaweza kufanywa kwa njia ya kurudufu).

Ununuzi

Kwanza kabisa, tunahitaji kujua ni kampuni gani nyingine inamilikiwa na kampuni kuu.
Chaguo moja ni kutembelea https://www.crunchbase.com/, tafuta kampuni kuu, na bonyeza "ununuzi". Huko utaona kampuni zingine zilizonunuliwa na ile kuu.
Chaguo lingine ni kutembelea ukurasa wa Wikipedia wa kampuni kuu na kutafuta ununuzi.

Vizuri, kufikia hatua hii unapaswa kujua kampuni zote zilizo ndani ya wigo. Hebu tujaribu kugundua jinsi ya kupata mali zao.

ASNs

Namba ya mfumo huru (ASN) ni namba ya kipekee iliyotengwa kwa mfumo huru (AS) na Mamlaka ya Namba za Mtandao wa Mtandao (IANA).
AS inajumuisha vifungu vya anwani za IP ambazo zina sera iliyowekwa wazi kwa kupata mitandao ya nje na inasimamiwa na shirika moja lakini inaweza kuundwa na waendeshaji kadhaa.

Ni muhimu kujua ikiwa kampuni ina ASN yoyote iliyotengwa ili kupata safu zake za IP. Itakuwa muhimu kufanya jaribio la udhaifu dhidi ya mashine zote ndani ya wigo na kutafuta uwanja ndani ya IP hizi.
Unaweza kutafuta kwa jina la kampuni, kwa IP au kwa uwanja kwenye https://bgp.he.net/.
Kulingana na eneo la kampuni viungo hivi vinaweza kuwa vya manufaa kukusanya data zaidi: AFRINIC (Afrika), Arin(Amerika Kaskazini), APNIC (Asia), LACNIC (Amerika ya Kilatini), RIPE NCC (Ulaya). Hata hivyo, labda taarifa zote muhimu (safu za IP na Whois) zinaonekana tayari kwenye kiungo cha kwanza.

#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161

Pia, uchambuzi wa subdomain wa BBOT hukusanya na kutoa muhtasari wa ASNs mwishoni mwa uchunguzi.

bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24      | 5            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509  | 54.148.0.0/15       | 4            | AMAZON-02      | Amazon.com, Inc.           | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24       | 3            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.32.0.0/12         | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.0.0.0/9           | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+

Unaweza kupata safu za IP za shirika pia kwa kutumia http://asnlookup.com/ (ina API ya bure).
Unaweza kupata IP na ASN ya kikoa kwa kutumia http://ipv4info.com/.

Kutafuta Udhaifu

Kufikia hatua hii tunajua mali zote ndani ya eneo la kuzingatia, hivyo ikiwa unaruhusiwa unaweza kuzindua baadhi ya skana za udhaifu (Nessus, OpenVAS) kwenye mwenyeji wote.
Pia, unaweza kuzindua baadhi ya skani za bandari au kutumia huduma kama shodan kupata bandari zilizofunguliwa na kulingana na unachopata unapaswa kutazama kitabu hiki jinsi ya kufanya ukaguzi wa usalama wa huduma kadhaa zinazoweza kuendeshwa.
Pia, inaweza kuwa muhimu kutaja kwamba unaweza pia kuandaa baadhi ya majina ya mtumiaji ya msingi na nywila na kujaribu kufanya mashambulizi ya bruteforce kwenye huduma na https://github.com/x90skysn3k/brutespray.

Viko

Tunajua makampuni yote ndani ya eneo la kuzingatia na mali zao, ni wakati wa kupata viko ndani ya eneo la kuzingatia.

Tafadhali, elewa kwamba katika mbinu zilizopendekezwa zifuatazo unaweza pia kupata viko vya pili na taarifa hiyo isipaswi kupuuzwa.

Kwanza kabisa unapaswa kutafuta viko vikuu vya kila kampuni. Kwa mfano, kwa Tesla Inc. itakuwa tesla.com.

DNS ya Nyuma

Baada ya kupata safu zote za IP za viko unaweza kujaribu kufanya utafutaji wa DNS ya nyuma kwenye IP hizo ili kupata viko zaidi ndani ya eneo la kuzingatia. Jaribu kutumia seva ya dns ya mwathiriwa au seva ya dns inayojulikana (1.1.1.1, 8.8.8.8)

dnsrecon -r <DNS Range> -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns

Kwa hili kufanya kazi, msimamizi lazima awezeshe PTR kwa mikono.
Unaweza pia kutumia chombo mtandaoni kwa habari hii: http://ptrarchive.com/

Reverse Whois (mzunguko)

Ndani ya whois unaweza kupata habari nyingi za kuvutia kama jina la shirika, anwani, barua pepe, namba za simu... Lakini jambo linalovutia zaidi ni kwamba unaweza kupata mali zaidi zinazohusiana na kampuni ikiwa utafanya utafutaji wa reverse whois kwa kutumia mojawapo ya hizo taarifa (kwa mfano rekodi nyingine za whois ambapo anwani ya barua pepe inaonekana).
Unaweza kutumia zana mtandaoni kama:

Unaweza kiotomatiki kazi hii kutumia DomLink (inahitaji ufunguo wa API ya whoxy).
Unaweza pia kufanya ugunduzi wa reverse whois kiotomatiki na amass: amass intel -d tesla.com -whois

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila wakati unapopata kikoa kipya.

Trackers

Ukiona kitambulisho kimoja cha kufuatilia cha kufuatilia kimoja kwenye kurasa 2 tofauti unaweza kudhani kwamba kurasa zote zinasimamiwa na timu moja.
Kwa mfano, ikiwa unaona kitambulisho kimoja cha Google Analytics au kitambulisho kimoja cha Adsense kwenye kurasa kadhaa.

Kuna kurasa na zana zinazoruhusu utafutaji kwa kutumia hizi trackers na zaidi:

Favicon

Je! Ulijua kwamba tunaweza kupata vikoa vinavyohusiana na lengo letu kwa kutafuta hash sawa ya picha ya favicon? Hii ndio hasa kile favihash.py zana iliyotengenezwa na @m4ll0k2 inafanya. Hivi ndivyo unavyoweza kutumia:

cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

favihash - kugundua uwanja wenye alama sawa ya favicon icon hash

Kwa maneno rahisi, favihash itaturuhusu kugundua uwanja ambao una alama sawa ya favicon icon hash kama lengo letu.

Zaidi ya hayo, unaweza pia kutafuta teknolojia kwa kutumia favicon hash kama ilivyoelezwa katika chapisho hili la blogi. Hii inamaanisha kwamba ikiwa unajua hash ya favicon ya toleo lenye kasoro ya teknolojia ya wavuti unaweza kutafuta ikiwa ipo kwenye shodan na kupata maeneo zaidi yenye kasoro:

shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'

Hivi ndivyo unavyoweza kukadiria hash ya favicon ya wavuti:

import mmh3
import requests
import codecs

def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash

Haki miliki / Uniq string

Tafuta ndani ya kurasa za wavuti maneno ambayo yanaweza kushirikiwa kati ya wavuti tofauti katika shirika moja. Uniq string inaweza kuwa mfano mzuri. Kisha tafuta neno hilo katika google, katika vibonyezo vingine au hata katika shodan: shodan search http.html:"Uniq string"

Muda wa CRT

Ni kawaida kuwa na kazi ya cron kama vile

# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"

Kupya Vyeti vya Kikoa

Kupya vyeti vyote vya kikoa kwenye seva. Hii inamaanisha hata kama CA iliyotumika kwa hili haioni wakati iliumbwa kwenye Muda wa Kuthibitisha, ni inawezekana kupata vikoa vinavyomilikiwa na kampuni ileile kwenye magogo ya uwazi ya vyeti.
Angalia hii makala kwa maelezo zaidi.

Taarifa za DMARC za Barua Pepe

Unaweza kutumia wavuti kama https://dmarc.live/info/google.com au chombo kama https://github.com/Tedixx/dmarc-subdomains kupata vikoa na vikoa vidogo vinavyoshiriki taarifa sawa za dmarc.

Kuchukua Udhibiti kwa Njia ya Kusubiri

Inaonekana ni kawaida kwa watu kuweka vikoa vidogo kwa IPs zinazomilikiwa na watoa huduma wa wingu na wakati mwingine kupoteza anwani ya IP lakini kusahau kuondoa rekodi ya DNS. Kwa hiyo, tu kuzindua VM kwenye wingu (kama Digital Ocean) utakuwa ukichukua udhibiti wa baadhi ya vikoa vidogo.

Makala hii inaelezea hadithi kuhusu hilo na inapendekeza skripti inayo zindua VM kwenye DigitalOcean, inapata anwani ya IPv4 ya mashine mpya, na kutafuta kwenye Virustotal rekodi za vikoa vidogo zinazoashiria hiyo.

Njia Nyingine

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila unapopata kikoa kipya.

Shodan

Kwa kuwa tayari unajua jina la shirika linalomiliki nafasi ya IP. Unaweza kutafuta kwa data hiyo kwenye shodan ukitumia: org:"Tesla, Inc." Angalia mwenyeji waliopatikana kwa vikoa visivyotarajiwa vipya kwenye cheti cha TLS.

Unaweza kupata cheti cha TLS cha ukurasa wa wavuti kuu, kupata jina la Shirika na kisha kutafuta jina hilo ndani ya vyeti vya TLS vya kurasa zote zinazojulikana na shodan kwa kutumia kichujio: ssl:"Tesla Motors" au tumia chombo kama sslsearch.

Assetfinder

Assetfinder ni chombo kinachotafuta vikoa vinavyohusiana na kikoa kuu na vikoa vidogo vyao, ni nzuri sana.

Kutafuta Udhaifu

Angalia uchukuzi wa kikoa. Labda kuna kampuni ina tumia kikoa fulani lakini imepoteza umiliki. Jiandikishe tu (ikiwa ni rahisi) na ujulishe kampuni.

Ikiwa unapata kikoa chenye IP tofauti na zile ulizopata tayari katika ugunduzi wa mali, unapaswa kufanya uchunguzi wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na uchunguzi wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Tambua kwamba mara nyingine kikoa kina mwenyeji ndani ya IP ambayo haikodolewi na mteja, kwa hivyo sio sehemu ya kuchunguza, kuwa mwangalifu.


Mbinu ya Tuzo ya Kosa la Programu: Jiandikishe kwa Intigriti, jukwaa la tuzo za kosa la programu la malipo lililoundwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Vikoa Vidogo

Tunajua makampuni yote ndani ya wigo, mali zote za kila kampuni na vikoa vyote vinavyohusiana na makampuni.

Ni wakati wa kupata vikoa vidogo vyote vinavyowezekana vya kila kikoa kilichopatikana.

{% hint style="success" %} Tambua kwamba baadhi ya zana na mbinu za kupata vikoa zinaweza pia kusaidia kupata vikoa vidogo! {% endhint %}

DNS

Hebu jaribu kupata vikoa vidogo kutoka kwa rekodi za DNS. Pia tunapaswa kujaribu kwa Uhamishaji wa Eneo (Ikiwa ina kasoro, unapaswa kuripoti).

dnsrecon -a -d tesla.com

OSINT

Njia ya haraka ya kupata vikoa vingi ni kutafuta katika vyanzo vya nje. Zana zinazotumiwa sana ni zifuatazo (kwa matokeo bora configure funguo za API):

# subdomains
bbot -t tesla.com -f subdomain-enum

# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive

# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .

amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains

# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]

# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]

python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run

assetfinder --subs-only <domain>

# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com

vita -d tesla.com

theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"

Kuna zana/API nyingine za kuvutia ambazo ingawa sio maalum moja kwa moja katika kupata subdomains zinaweza kuwa na manufaa katika kupata subdomains, kama:

# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"

curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"

# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com

# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
  • gau: hupata URL zinazojulikana kutoka kwa AlienVault's Open Threat Exchange, Wayback Machine, na Common Crawl kwa kikoa chochote kilichotolewa.
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u

# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com

# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f

# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"

export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com

python3 DomainTrail.py -d example.com

Mradi huu unatoa bure subdomains zote zinazohusiana na programu za bug-bounty. Unaweza kupata data hii pia kwa kutumia chaospy au hata kupata eneo linalotumiwa na mradi huu https://github.com/projectdiscovery/chaos-public-program-list

Unaweza kupata ulinganifu wa zana nyingi hizi hapa: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off

DNS Brute force

Hebu jaribu kupata subdomains mpya kwa kufanya nguvu ya DNS kwa kutumia majina ya subdomains yanayowezekana.

Kwa hatua hii utahitaji baadhi ya orodha za maneno ya kawaida ya subdomains kama:

Na pia IPs za DNS resolvers nzuri. Ili kuzalisha orodha ya DNS resolvers za kuaminika unaweza kupakua resolvers kutoka https://public-dns.info/nameservers-all.txt na kutumia dnsvalidator kuzifuta. Au unaweza kutumia: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt

Zana zilizopendekezwa zaidi kwa DNS brute-force ni:

  • massdns: Hii ilikuwa zana ya kwanza iliyofanya nguvu ya DNS kwa ufanisi. Ni haraka sana hata hivyo inaweza kuwa na matokeo sahihi ya uwongo.
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
  • gobuster: Hii nadhani inatumia resolver 1 tu
gobuster dns -d mysite.com -t 50 -w subdomains.txt
  • shuffledns ni kifuniko cha massdns, kilichoandikwa kwa lugha ya go, kinachokuwezesha kutambua anwani sahihi za subdomains kwa kutumia nguvu ya bruteforce, pamoja na kutatua subdomains na usimamizi wa wilcard na msaada rahisi wa kuingiza-kutoa.
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt

puredns bruteforce all.txt domain.com
  • aiodnsbrute hutumia asyncio kuvunja majina ya uwanja kwa njia isiyo ya moja kwa moja.
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com

Raundi ya Pili ya Kudukua DNS kwa Nguvu

Baada ya kupata subdomains kwa kutumia vyanzo vya wazi na kudukua kwa nguvu, unaweza kuzalisha mabadiliko ya subdomains zilizopatikana kujaribu kupata zaidi. Zana kadhaa ni muhimu kwa lengo hili:

  • dnsgen: Ikitolewa kwa ajili ya kuzalisha mabadiliko ya uwanja na subdomains.
cat subdomains.txt | dnsgen -
  • goaltdns: Kutoa mizunguko kwa kutumia uwanja na subdomains.
  • Unaweza kupata mizunguko ya wordlist ya goaltdns hapa.
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
  • gotator: Kutoa uwanja na subdomains kuzalisha mchanganyiko. Ikiwa hakuna faili ya mchanganyiko inaonyeshwa gotator itatumia yake mwenyewe.
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]

altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
  • dmut: Zana nyingine ya kufanya mabadiliko, mabadiliko na ubadilishaji wa subdomains. Zana hii itafanya nguvu ya matokeo (haitoi msaada wa dns wild card).
  • Unaweza kupata orodha ya maneno ya dmut permutations hapa.
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
  • alterx: Kulingana na kikoa, inazalisha majina mapya ya subdomains kulingana na mifano iliyotajwa kujaribu kugundua subdomains zaidi.

Uzalishaji wa permutesheni za akili

  • regulator: Kwa habari zaidi soma hii chapisho lakini kimsingi itapata sehemu kuu kutoka kwa subdomains zilizogunduliwa na kuzichanganya ili kupata subdomains zaidi.
python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
  • subzuf: subzuf ni programu inayotumika kubaini vikoa vidogo kwa kutumia teknolojia ya kufanya majaribio ya kubahatisha kwa kuzingatia algorithmu ya majibu ya DNS iliyokuwa rahisi lakini yenye ufanisi mkubwa. Inatumia seti ya data iliyotolewa, kama orodha iliyoboreshwa ya maneno au rekodi za DNS/TLS za kihistoria, kusawazisha majina zaidi ya kikoa kinachohusiana na kupanua zaidi kwa msingi wa maelezo yaliyokusanywa wakati wa uchunguzi wa DNS.
echo www | subzuf facebook.com

Mchakato wa Kugundua Subdomain

Angalia chapisho la blogi nililoandika kuhusu jinsi ya kutumia mchakato wa Trickest kiotomatiki kugundua subdomain kutoka kwa kikoa ili nisiweze kuzindua zana nyingi kwa mkono kwenye kompyuta yangu:

{% embed url="https://trickest.com/blog/full-subdomain-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

{% embed url="https://trickest.com/blog/full-subdomain-brute-force-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

VHosts / Wenyeji Bandia

Ikiwa umepata anwani ya IP inayoitwa ukurasa mmoja au zaidi unaomilikiwa na subdomains, unaweza kujaribu kupata subdomains zingine zenye kurasa kwenye IP hiyo kwa kutafuta kwenye vyanzo vya OSINT kwa mifumo ya kikoa kwenye IP au kwa kufanya nguvu ya kutafuta majina ya kikoa ya VHost kwenye IP hiyo.

OSINT

Unaweza kupata VHosts kwenye IPs kwa kutumia HostHunter au APIs nyingine.

Nguvu ya Kutafuta

Ikiwa una shaka kwamba baadhi ya subdomains zinaweza kuwa zimefichwa kwenye seva ya wavuti unaweza kujaribu kuzitafuta kwa nguvu:

ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"

gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt

wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100

#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"

#https://github.com/codingo/VHostScan
VHostScan -t example.com

{% hint style="info" %} Kwa kutumia mbinu hii, unaweza hata kupata ufikiaji wa vituo vya ndani/vilivyofichwa. {% endhint %}

CORS Brute Force

Wakati mwingine utakutana na kurasa ambazo hurudisha kichwa cha Access-Control-Allow-Origin pekee wakati kikoa/kidogo halali kimewekwa kwenye kichwa cha Origin. Katika hali hizi, unaweza kutumia tabia hii kugundua kidogo mpya.

ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body

Kikosi cha Kufanya Nguvu

Wakati unatafuta subdomains, angalia kuona ikiwa inaelekeza kwa aina yoyote ya bucket, na katika kesi hiyo angalia ruhusa.
Pia, kwa wakati huu utajua uwanja wote ndani ya eneo, jaribu kufanya nguvu majina ya bucket yanayowezekana na angalia ruhusa.

Ufuatiliaji

Unaweza kufuatilia ikiwa subdomains mpya ya uwanja unatengenezwa kwa kufuatilia Certificate Transparency Logs sublert inavyofanya.

Kutafuta Ubaguzi

Angalia kwa uchukuzi wa subdomain unaowezekana.
Ikiwa subdomain inaelekeza kwa bucket ya S3, angalia ruhusa.

Ikiwa unapata subdomain na IP tofauti na zile ulizopata tayari katika ugunduzi wa mali, unapaswa kufanya uchunguzi wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na uchunguzi wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Taarifa kwamba mara nyingine subdomain inahifadhiwa ndani ya IP ambayo haikudhibitiwa na mteja, hivyo sio sehemu ya eneo, kuwa mwangalifu.

IPs

Katika hatua za awali unaweza kuwa umepata vipimo vya IP, uwanja na subdomains.
Ni wakati wa kukusanya upya IPs zote kutoka kwa vipimo hivyo na kwa uwanja/subdomains (mipangilio ya DNS).

Kwa kutumia huduma kutoka apis huru zifuatazo unaweza pia kupata IPs za awali zilizotumiwa na uwanja na subdomains. IPs hizi zinaweza bado kumilikiwa na mteja (na inaweza kukuruhusu kupata mipito ya CloudFlare)

Unaweza pia kuangalia uwanja unaoelekeza kwa anwani fulani ya IP kwa kutumia zana hakip2host

Kutafuta Ubaguzi

Chunguza bandari zote za IPs ambazo sio za CDNs (kwa sababu kuna uwezekano mkubwa hautapata kitu cha kuvutia hapo). Katika huduma zinazoendeshwa zilizogunduliwa unaweza kupata udhaifu.

Pata mwongozo kuhusu jinsi ya kuchunguza wenyeji.

Uwindaji wa Seva za Wavuti

Tumeona makampuni yote na mali zao na tunajua vipimo vya IP, uwanja na subdomains ndani ya eneo. Ni wakati wa kutafuta seva za wavuti.

Katika hatua za awali labda tayari umefanya uchunguzi wa IPs na uwanja uliogunduliwa, hivyo unaweza kuwa tayari umepata seva zote za wavuti zinazowezekana. Hata hivyo, ikiwa hujafanya hivyo sasa tutatazama baadhi ya mbinu za haraka za kutafuta seva za wavuti ndani ya eneo.

Tafadhali, kumbuka kuwa hii itakuwa ilielekezwa kwa ugunduzi wa programu za wavuti, hivyo unapaswa kufanya udhaifu na uchunguzi wa bandari pia (ikiwa kuruhusiwa na eneo).

Mbinu ya haraka ya kugundua bandari zilizofunguliwa zinazohusiana na seva za wavuti kwa kutumia masscan inaweza kupatikana hapa.
Zana nyingine rafiki ya kutafuta seva za wavuti ni httprobe, fprobe na httpx. Unapitisha orodha ya uwanja na itajaribu kuunganisha kwenye bandari 80 (http) na 443 (https). Kwa kuongezea, unaweza kuonyesha kujaribu bandari nyingine:

cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443

Maelezo ya Skrini

Sasa baada ya kugundua seva zote za wavuti zilizopo katika eneo (miongoni mwa IPs za kampuni na domaini zote na subdomains) labda hujui pa kuanzia. Kwa hivyo, hebu tufanye iwe rahisi na tuanze kwa kuchukua viwambo tu vya vyote hivyo. Kwa kuangalia tu ukurasa wa kuu unaweza kupata vituo vya ajabu ambavyo ni zaidi vya kuwa na udhaifu.

Ili kutekeleza wazo lililopendekezwa unaweza kutumia EyeWitness, HttpScreenshot, Aquatone, Shutter au webscreenshot.

Zaidi ya hayo, unaweza kutumia eyeballer kufanya ukaguzi wa viwambo vyote kukwambia ni nini kinachoweza kuwa na udhaifu, na ni nini siyo.

Mali za Wingu za Umma

Ili kupata mali za wingu za kampuni unapaswa kuanza na orodha ya maneno yanayotambulisha kampuni hiyo. Kwa mfano, kwa kampuni ya crypto unaweza kutumia maneno kama: "crypto", "mkoba", "dao", "<jina_la_kikoa>", <"majina_ya_subdomain">.

Pia utahitaji orodha za maneno ya kawaida yanayotumiwa katika vikapu:

Kisha, kwa maneno hayo unapaswa kuzalisha permutations (angalia Raundi ya Pili ya Kufanya Nguvu ya DNS kwa maelezo zaidi).

Kwa orodha za maneno zilizopatikana unaweza kutumia zana kama cloud_enum, CloudScraper, cloudlist au S3Scanner.

Kumbuka kwamba unapotafuta Mali za Wingu unapaswa kutafuta zaidi ya vikapu tu katika AWS.

Kutafuta Udhaifu

Ikiwa unakuta mambo kama vikapu vya wazi au kazi za wingu zilizofichuliwa unapaswa kuzifikia na jaribu kuona wanakupa nini na ikiwa unaweza kuzitumia vibaya.

Barua pepe

Ukiwa na domaini na subdomains ndani ya eneo unayo karibu na yote unayohitaji kuanza kutafuta barua pepe. Hizi ni APIs na zana ambazo zimefanya kazi vizuri kwangu kupata barua pepe ya kampuni:

Kutafuta Udhaifu

Barua pepe zitakuja muhimu baadaye kwa kufanya nguvu za kuingia kwenye wavuti na huduma za uthibitishaji (kama vile SSH). Pia, zinahitajika kwa phishing. Zaidi ya hayo, APIs hizi zitakupa hata habari zaidi kuhusu mtu nyuma ya barua pepe, ambayo ni muhimu kwa kampeni ya phishing.

Kuvuja kwa Anwani za Siri

Ukiwa na domaini, subdomains, na barua pepe unaweza kuanza kutafuta vibali vilivyovuja hapo awali vinavyomilikiwa na barua pepe hizo:

Kutafuta Udhaifu

Ikiwa unapata vibali vilivyovuja vilivyothibitishwa, hii ni ushindi rahisi sana.

Kuvuja kwa Siri

Kuvuja kwa vibali kunahusiana na kuvuja kwa kampuni ambapo habari nyeti ilivuja na kuuzwa. Walakini, kampuni zinaweza kuathiriwa na uvujaji mwingine ambao habari yake haipo katika hizo database:

Kuvuja kwa Github

Vibali na APIs zinaweza kuvuja katika makusanyo ya umma ya kampuni au ya watumiaji wanaofanya kazi na kampuni hiyo ya github.
Unaweza kutumia zana Leakos kwa kupakua makusanyo yote ya umma ya shirika na ya wabunifu wake na kukimbia gitleaks juu yao kiotomatiki.

Leakos inaweza pia kutumika kukimbia gitleaks tena kwenye maandishi yote yaliyotolewa URLs zilizopitishwa kwake kwa sababu mara nyingi kurasa za wavuti pia zina siri.

Dorks za Github

Angalia pia ukurasa huu kwa dorks za github zinazowezekana ambazo unaweza pia kutafuta katika shirika unaloshambulia:

{% content-ref url="github-leaked-secrets.md" %} github-leaked-secrets.md {% endcontent-ref %}

Kuvuja kwa Pasts

Marafiki wa mashambulizi au wafanyakazi wataweza kuchapisha yaliyomo ya kampuni kwenye tovuti ya kubandika. Hii inaweza au isiyoweza kuwa na habari nyeti, lakini ni ya kuvutia sana kutafuta.
Unaweza kutumia zana Pastos kutafuta katika zaidi ya tovuti 80 za kubandika kwa wakati mmoja.

Dorks za Google

Dorks za zamani lakini dhahabu zinafaa siku zote kwa kutafuta habari zilizofichuliwa ambazo hazipaswi kuwepo. Tatizo pekee ni kwamba google-hacking-database ina maelfu ya matakwa yanayowezekana ambayo huwezi kukimbia kwa mikono. Kwa hivyo, unaweza kupata zako 10 zinazopendwa au unaweza kutumia zana kama Gorks kuzikimbia zote.

Taarifa kwamba zana zinatarajia kukimbia database yote kwa kutumia kivinjari cha kawaida cha Google haitamaliza kamwe kwani google itakuzuia haraka sana.

Kutafuta Udhaifu

Ikiwa unapata vibali vilivyovuja au vitambulisho vya API vilivyovuja, hii ni ushindi rahisi sana.

Udhaifu wa Kodi ya Umma

Ikiwa umegundua kuwa kampuni ina msimbo wa chanzo wazi unaweza kuuchambua na kutafuta udhaifu ndani yake.

Kulingana na lugha kuna zana tofauti unazoweza kutumia:

{% content-ref url="../../network-services-pentesting/pentesting-web/code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}

Pia kuna huduma za bure zinazokuwezesha kutafuta makusanyo ya umma, kama vile:

Mbinu ya Kupima Usalama wa Wavuti

Ukubwa wa mapungufu yanayopatikana na wawindaji wa makosa yanaishi ndani ya maombi ya wavuti, kwa hivyo kwa sasa ningependa kuzungumzia mbinu ya kupima maombi ya wavuti, na unaweza kupata habari hii hapa.

Pia ningependa kufanya marejeleo maalum kwa sehemu ya Zana za Kiotomatiki za Uchunguzi wa Wavuti za chanzo wazi, kwani, ingawa hutegemei kupata mapungufu ya siri sana, zinaweza kusaidia kutekeleza mchakato wa kazi kuwa na habari ya awali ya wavuti.

Muhtasari

Hongera! Kufikia hatua hii tayari umefanya uchambuzi wa msingi wote. Ndiyo, ni msingi kwa sababu uchambuzi mwingi zaidi unaweza kufanywa (tutaona mbinu zaidi baadaye).

Kwa hivyo tayari umefanya:

  1. Kupata makampuni yote ndani ya eneo la kuchunguza
  2. Kupata mali zote zinazomilikiwa na makampuni (na kufanya uchunguzi wa mapungufu ikiwa ni sehemu ya eneo la kuchunguza)
  3. Kupata kikoa zote zinazomilikiwa na makampuni
  4. Kupata subdomain zote za vikoa (kuna uwezekano wa kuchukua?)
  5. Kupata IPs zote (kutoka na sio kutoka kwa CDNs) ndani ya eneo la kuchunguza.
  6. Kupata seva za wavuti zote na kuchukua picha ya skrini yao (kuna kitu cha ajabu kinachostahili kuangaliwa kwa undani?)
  7. Kupata mali zote za wingu la umma zinazomilikiwa na kampuni.
  8. Barua pepe, vuja vya siri, na vuja vya siri ambavyo vinaweza kukupa ushindi mkubwa kwa urahisi.
  9. Kupima usalama wa wavuti zote ulizopata

Zana za Kiotomatiki za Uchunguzi Kamili

Kuna zana kadhaa huko nje ambazo zitafanya sehemu ya hatua zilizopendekezwa dhidi ya eneo lililopewa.

Vyanzo

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyoweza kudukuliwa - tunakupa kazi! (inahitajika uwezo wa kuzungumza na kuandika Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Jifunze udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks: