2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-20 07:58:28 +00:00
hacktricks/generic-methodologies-and-resources/external-recon-methodology
2024-05-06 09:09:22 +00:00
..
github-leaked-secrets.md Translated to Swahili 2024-02-11 02:13:58 +00:00
README.md Translated ['generic-methodologies-and-resources/external-recon-methodol 2024-05-06 09:09:22 +00:00
wide-source-code-search.md Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-26 15:53:40 +00:00

Mbinu ya Uchunguzi wa Nje

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyodukuzika - tunakupa kazi! (inahitajika uwezo wa kuandika na kuzungumza Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Ugunduzi wa Mali

Kwa hivyo uliambiwa kwamba kila kitu kinachomilikiwa na kampuni fulani kipo ndani ya wigo, na unataka kugundua kile kampuni hii kwa kweli inamiliki.

Lengo la hatua hii ni kupata kampuni zote zinazomilikiwa na kampuni kuu na kisha mali zote za kampuni hizi. Ili kufanya hivyo, tutafanya yafuatayo:

  1. Tafuta ununuzi wa kampuni kuu, hii itatupa kampuni zilizo ndani ya wigo.
  2. Tafuta ASN (ikiwa ipo) ya kila kampuni, hii itatupa safu za IP zinazomilikiwa na kila kampuni.
  3. Tumia utafutaji wa whois uliorejea nyuma kutafuta kuingia nyingine (majina ya shirika, uwanja...) unaohusiana na la kwanza (hii inaweza kufanywa kwa njia ya kurudufu)
  4. Tumia mbinu nyingine kama shodan orgna sslfilters kutafuta mali zingine (mbinu ya ssl inaweza kufanywa kwa njia ya kurudufu).

Ununuzi

Kwanza kabisa, tunahitaji kujua ni kampuni gani nyingine inamilikiwa na kampuni kuu.
Chaguo moja ni kutembelea https://www.crunchbase.com/, tafuta kwa kampuni kuu, na bonyeza "ununuzi". Huko utaona kampuni zingine zilizonunuliwa na ile kuu.
Chaguo lingine ni kutembelea ukurasa wa Wikipedia wa kampuni kuu na kutafuta ununuzi.

Vizuri, kufikia hatua hii unapaswa kujua kampuni zote zilizo ndani ya wigo. Hebu tujaribu kugundua jinsi ya kupata mali zao.

ASNs

Namba ya mfumo huru (ASN) ni namba ya kipekee iliyoandaliwa kwa mfumo huru (AS) na Mamlaka ya Namba za Mtandao (IANA).
AS inajumuisha vifungu vya anwani za IP ambazo zina sera iliyowekwa wazi kwa kupata mitandao ya nje na inasimamiwa na shirika moja lakini inaweza kuwa na waendeshaji kadhaa.

Ni muhimu kujua ikiwa kampuni imewekewa ASN yoyote ili kupata safu zake za IP. Itakuwa muhimu kufanya jaribio la udhaifu dhidi ya mashine zote ndani ya wigo na kutafuta uwanja ndani ya IP hizi.
Unaweza kutafuta kwa jina la kampuni, kwa IP au kwa uwanja kwenye https://bgp.he.net/.
Kulingana na eneo la kampuni viungo hivi vinaweza kuwa vya manufaa kukusanya data zaidi: AFRINIC (Afrika), Arin(Amerika Kaskazini), APNIC (Asia), LACNIC (Amerika ya Kilatini), RIPE NCC (Ulaya). Hata hivyo, labda taarifa zote muhimu (safu za IP na Whois) tayari zinaonekana kwenye kiungo cha kwanza.

#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161

Pia, uchambuzi wa subdomain wa BBOT hukusanya na kutoa muhtasari wa ASNs mwishoni mwa uchambuzi.

bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24      | 5            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509  | 54.148.0.0/15       | 4            | AMAZON-02      | Amazon.com, Inc.           | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24       | 3            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.32.0.0/12         | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.0.0.0/9           | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+

Unaweza kupata safu za IP za shirika pia kwa kutumia http://asnlookup.com/ (ina API ya bure).
Unaweza kupata IP na ASN ya kikoa kwa kutumia http://ipv4info.com/.

Kutafuta Udhaifu

Kufikia hatua hii tunajua mali zote ndani ya eneo la uchunguzi, hivyo ikiwa unaruhusiwa unaweza kuzindua baadhi ya skana za udhaifu (Nessus, OpenVAS) kwenye mwenyeji wote.
Pia, unaweza kuzindua baadhi ya skani za bandari au kutumia huduma kama shodan kupata bandari zilizofunguliwa na kulingana na unachopata unapaswa kutazama kitabu hiki jinsi ya kufanya uchunguzi wa uwezekano wa huduma kadhaa zinazoendeshwa.
Pia, Inaweza kuwa na maana kutaja kwamba unaweza pia kuandaa baadhi ya majina ya mtumiaji ya msingi na orodha za nywila na kujaribu kuvunja nguvu huduma na https://github.com/x90skysn3k/brutespray.

Viko

Tunajua makampuni yote ndani ya eneo la uchunguzi na mali zao, ni wakati wa kupata viko ndani ya eneo la uchunguzi.

Tafadhali, elewa kwamba katika mbinu zilizopendekezwa zifuatazo unaweza pia kupata viko vya pili na habari hiyo isipaswi kupuuzwa.

Kwanza kabisa unapaswa kutafuta viko vikuu vya kila kampuni. Kwa mfano, kwa Tesla Inc. itakuwa tesla.com.

DNS ya Nyuma

Baada ya kupata safu zote za IP za viko unaweza kujaribu kufanya utafutaji wa DNS ya nyuma kwenye IP hizo ili kupata viko zaidi ndani ya eneo la uchunguzi. Jaribu kutumia seva fulani ya dns ya mwathiriwa au seva ya dns inayojulikana (1.1.1.1, 8.8.8.8)

dnsrecon -r <DNS Range> -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns

Kwa hili kufanya kazi, msimamizi lazima awezeshe PTR kwa mkono.
Unaweza pia kutumia chombo mtandaoni kwa habari hii: http://ptrarchive.com/

Reverse Whois (mzunguko)

Ndani ya whois unaweza kupata habari nyingi za kuvutia kama jina la shirika, anwani, barua pepe, namba za simu... Lakini jambo linalovutia zaidi ni kwamba unaweza kupata mali zaidi zinazohusiana na kampuni ikiwa utafanya utafutaji wa reverse whois kwa kutumia mojawapo ya hizo (kwa mfano, mirejesho mingine ya whois ambapo anwani ya barua pepe inaonekana).
Unaweza kutumia zana mtandaoni kama:

Unaweza kiotomatiki kazi hii kutumia DomLink (inahitaji ufunguo wa API ya whoxy).
Unaweza pia kufanya ugunduzi wa reverse whois kiotomatiki na amass: amass intel -d tesla.com -whois

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila wakati unapopata kikoa kipya.

Trackers

Ukiona kitambulisho kimoja cha kufuatilia cha tracker kimoja kwenye kurasa 2 tofauti unaweza kudhani kwamba kurasa zote zinasimamiwa na timu moja.
Kwa mfano, ikiwa unaona kitambulisho kimoja cha Google Analytics au kitambulisho kimoja cha Adsense kwenye kurasa kadhaa.

Kuna kurasa na zana zinazoruhusu utafutaji kwa kutumia trackers hizi na zingine:

Favicon

Je! Ulijua kwamba tunaweza kupata vikoa vinavyohusiana na lengo letu kwa kutafuta hash sawa ya picha ya favicon? Hii ndio hasa kazi ya chombo cha favihash.py kilichotengenezwa na @m4ll0k2. Hivi ndivyo unavyoweza kutumia:

cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

favihash - pata uwanja wenye alama sawa ya favicon icon hash

Kwa maneno rahisi, favihash itaturuhusu kupata uwanja ambao una alama sawa ya favicon icon hash kama lengo letu.

Zaidi ya hayo, unaweza pia kutafuta teknolojia kwa kutumia favicon hash kama ilivyoelezwa katika chapisho hili la blogi. Hii inamaanisha kwamba ukijua hash ya favicon ya toleo lenye kasoro la teknolojia ya wavuti unaweza kutafuta ikiwa ipo kwenye shodan na kupata maeneo zaidi yenye kasoro:

shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'

Hii ndio jinsi unavyoweza kukadiria hash ya favicon ya wavuti:

import mmh3
import requests
import codecs

def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash

Hati miliki / String ya kipekee

Tafuta ndani ya kurasa za wavuti maneno ambayo yanaweza kushirikishwa kote kwenye wavuti tofauti ndani ya shirika moja. String ya hati miliki inaweza kuwa mfano mzuri. Kisha tafuta string hiyo kwenye google, kwenye vibonyezo vingine au hata kwenye shodan: shodan search http.html:"String ya hati miliki"

Muda wa CRT

Ni kawaida kuwa na kazi ya cron kama vile

# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"

Kufufua vyeti vyote vya kikoa kwenye seva. Hii inamaanisha hata kama CA iliyotumiwa kwa hili haioni wakati ilizalishwa kwenye Muda wa Kuthibitisha, ni inawezekana kupata vikoa vinavyomilikiwa na kampuni ileile kwenye magogo ya uwazi ya vyeti.

Angalia hii makala kwa maelezo zaidi.

Taarifa za DMARC za Barua pepe

Unaweza kutumia wavuti kama https://dmarc.live/info/google.com au chombo kama https://github.com/Tedixx/dmarc-subdomains kupata vikoa na subdomain zinazoshiriki taarifa sawa za dmarc.

Kuchukua Udhibiti kwa Njia ya Kupita

Inaonekana ni kawaida kwa watu kuweka subdomains kwa IPs zinazomilikiwa na watoa huduma wa wingu na wakati mwingine kupoteza anwani hiyo ya IP lakini kusahau kuondoa rekodi ya DNS. Kwa hiyo, tu kuzindua VM kwenye wingu (kama Digital Ocean) utakuwa ukichukua udhibiti wa baadhi ya subdomains.

Makala hii inaelezea hadithi kuhusu hilo na kupendekeza script ambayo inazindua VM kwenye DigitalOcean, inapata anwani ya IPv4 ya mashine mpya, na kutafuta kwenye Virustotal rekodi za subdomain zinazoashiria hiyo.

Njia Nyingine

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila unapopata kikoa kipya.

Shodan

Kama tayari unajua jina la shirika linalomiliki nafasi ya IP. Unaweza kutafuta kwa data hiyo kwenye shodan ukitumia: org:"Tesla, Inc." Angalia mwenyeji waliopatikana kwa vikoa visivyotarajiwa vipya kwenye cheti cha TLS.

Unaweza kupata cheti cha TLS cha ukurasa wa wavuti kuu, kupata jina la Shirika na kisha kutafuta jina hilo ndani ya vyeti vya TLS vya kurasa zote zinazojulikana na shodan kwa kutumia kichujio: ssl:"Tesla Motors" au tumia chombo kama sslsearch.

Assetfinder

Assetfinder ni chombo kinachotafuta vikoa vinavyohusiana na kikoa kuu na subdomains zao, ni nzuri sana.

Kutafuta Udhaifu

Angalia uchukuzi wa kikoa. Labda kuna kampuni ina tumia kikoa lakini imepoteza umiliki. Jiandikishe tu (ikiwa ni rahisi) na ujulishe kampuni.

Kama unapata kikoa na IP tofauti na zile ulizopata tayari katika ugunduzi wa mali, unapaswa kufanya uchunguzi wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na uchunguzi wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Tambua kwamba mara nyingine kikoa kinaandaliwa ndani ya IP ambayo haikodolewi na mteja, kwa hivyo sio sehemu ya kuchunguza, kuwa mwangalifu.

**Sawa ya Bug bounty**: **jiandikishe** kwa **Intigriti**, jukwaa la **bug bounty la malipo ya juu lililoanzishwa na wadukuzi, kwa wadukuzi**! Jiunge nasi kwenye [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) leo, na anza kupata zawadi hadi **$100,000**!

{% embed url="https://go.intigriti.com/hacktricks" %}

Subdomains

Tunajua makampuni yote ndani ya wigo, mali zote za kila kampuni na vikoa vyote vinavyohusiana na makampuni.

Ni wakati wa kupata subdomains zote zinazowezekana za kila kikoa kilichopatikana.

{% hint style="success" %} Tambua kwamba baadhi ya zana na mbinu za kupata vikoa zinaweza pia kusaidia kupata subdomains! {% endhint %}

DNS

Hebu jaribu kupata subdomains kutoka kwa rekodi za DNS. Pia tunapaswa kujaribu kwa Uhamisho wa Eneo (ikiwa ina kasoro, unapaswa kuripoti).

dnsrecon -a -d tesla.com

OSINT

Njia ya haraka ya kupata idadi kubwa ya subdomains ni kutafuta katika vyanzo vya nje. Zana zinazotumiwa sana ni zifuatazo (kwa matokeo bora configure funguo za API):

# subdomains
bbot -t tesla.com -f subdomain-enum

# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive

# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"

Kuna zana/API nyingine za kuvutia ambazo hata kama hazijataalamika moja kwa moja katika kupata subdomains zinaweza kuwa na manufaa katika kupata subdomains, kama:

# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"
curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"
# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com
# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
  • gau: inapata URL inayojulikana kutoka kwa AlienVault's Open Threat Exchange, Wayback Machine, na Common Crawl kwa kikoa chochote kilichotolewa.
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u
# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com

# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f
# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"
export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com
python3 DomainTrail.py -d example.com

Mradi huu unatoa bure subdomains zote zinazohusiana na programu za bug-bounty. Unaweza kupata data hii pia kwa kutumia chaospy au hata kupata wigo uliotumiwa na mradi huu https://github.com/projectdiscovery/chaos-public-program-list

Unaweza kupata ulinganifu wa zana nyingi hapa: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off

DNS Brute force

Hebu jaribu kupata subdomains mpya kwa kufanya nguvu ya DNS kwa kutumia majina ya subdomains yanayowezekana.

Kwa hatua hii utahitaji orodha za maneno ya kawaida ya subdomains kama:

Na pia IPs za wapangishaji bora wa DNS. Ili kuzalisha orodha ya wapangishaji wa DNS walioaminika unaweza kupakua wapangishaji kutoka https://public-dns.info/nameservers-all.txt na kutumia dnsvalidator kuzifuta. Au unaweza kutumia: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt

Zana zilizopendekezwa zaidi kwa nguvu ya DNS ni:

  • massdns: Hii ilikuwa zana ya kwanza iliyofanya nguvu ya DNS kwa ufanisi. Ni haraka sana hata hivyo inaweza kuwa na matokeo sahihi ya uwongo.
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
  • gobuster: Hii nadhani inatumia resolver 1 tu
gobuster dns -d mysite.com -t 50 -w subdomains.txt
  • shuffledns ni kifuniko cha massdns, kilichoandikwa kwa lugha ya go, kinachokuwezesha kutambua anwani sahihi za subdomains kwa kutumia nguvu ya bruteforce, pamoja na kutatua subdomains na usimamizi wa wildcard na msaada rahisi wa kuingiza-kutoa.
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt
puredns bruteforce all.txt domain.com
  • aiodnsbrute hutumia asyncio kuvunja majina ya uwanja kwa njia isiyo ya moja kwa moja.
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com

Raundi ya Pili ya Kudukua DNS kwa Nguvu

Baada ya kupata subdomains kwa kutumia vyanzo vya wazi na kudukua kwa nguvu, unaweza kuzalisha mabadiliko ya subdomains zilizopatikana kujaribu kupata zaidi. Zana kadhaa ni muhimu kwa lengo hili:

  • dnsgen: Ikitolewa kwa vikoa na subdomains, huzalisha mabadiliko.
cat subdomains.txt | dnsgen -
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
  • gotator: Kutoa uwanja na subdomains kuzalisha mabadiliko. Ikiwa faili ya mabadiliko haionyeshwi gotator itatumia yake mwenyewe.
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
  • dmut: Zana nyingine ya kufanya permutasi, mabadiliko na ubadilishaji wa subdomains. Zana hii itafanya nguvu ya matokeo (haisaidii dns wild card).
  • Unaweza kupata orodha ya maneno ya permutasi ya dmut hapa.
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
  • alterx: Kulingana na kikoa, inazalisha majina mapya ya subdomains kulingana na mifano iliyotajwa kujaribu kugundua subdomains zaidi.

Uzalishaji wa permutasi za akili

  • regulator: Kwa habari zaidi soma hii chapisho lakini kimsingi itapata sehemu kuu kutoka kwa subdomains zilizogunduliwa na kuzichanganya ili kupata subdomains zaidi.
python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
  • subzuf: subzuf ni subdomain brute-force fuzzer inayohusishwa na algorithm ya DNS ya kujibu kwa urahisi lakini yenye ufanisi mkubwa. Inatumia seti iliyotolewa ya data ya kuingiza, kama orodha iliyoboreshwa ya maneno au rekodi za DNS/TLS za kihistoria, kusintezesha majina zaidi ya kikoa yanayohusiana na kuyapanua hata zaidi katika mzunguko kulingana na habari zilizokusanywa wakati wa uchunguzi wa DNS.
echo www | subzuf facebook.com

Mchakato wa Kugundua Subdomain

Angalia chapisho hili la blogi nililoandika kuhusu jinsi ya kutuza kugundua subdomain kutoka kwa kikoa kwa kutumia mchakato wa Trickest ili nisiitaji kuzindua zana nyingi kwa mkono kwenye kompyuta yangu:

{% embed url="https://trickest.com/blog/full-subdomain-discovery-using-workflow/" %}

{% embed url="https://trickest.com/blog/full-subdomain-brute-force-discovery-using-workflow/" %}

VHosts / Wenyeji Bandia

Ikiwa umepata anwani ya IP inayotia ukurasa mmoja au kadhaa wa wavuti unaomilikiwa na subdomains, unaweza kujaribu kupata subdomains zingine zenye wavuti kwenye IP hiyo kwa kutafuta kwenye vyanzo vya OSINT kwa mifumo ya kikoa kwenye IP au kwa kufanya nguvu ya kutumia majina ya kikoa ya VHost kwenye IP hiyo.

OSINT

Unaweza kupata VHosts kwenye IPs kwa kutumia HostHunter au APIs nyingine.

Nguvu ya Kutumia

Ikiwa una shaka kwamba baadhi ya subdomain inaweza kuwa imefichwa kwenye seva ya wavuti unaweza kujaribu kuita kwa nguvu:

ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"

gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt

wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100

#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"

#https://github.com/codingo/VHostScan
VHostScan -t example.com

{% hint style="info" %} Kwa kutumia mbinu hii, unaweza hata kupata ufikiaji wa vituo vya ndani/vilivyofichwa. {% endhint %}

CORS Brute Force

Wakati mwingine utakutana na kurasa ambazo hurudisha kichwa cha Access-Control-Allow-Origin pekee wakati kikoa/kidogo halali kimewekwa kwenye kichwa cha Origin. Katika hali hizi, unaweza kutumia tabia hii kugundua kidogo kipya.

ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body

Kikosi cha Nguvu cha Buckets

Wakati unatafuta subdomains, angalia kuona ikiwa inaelekeza kwa aina yoyote ya bucket, na katika kesi hiyo angalia ruhusa.
Pia, kwa wakati huu utajua uwanja wote ndani ya eneo, jaribu kikosi cha nguvu majina ya bucket yanayowezekana na angalia ruhusa.

Ufuatiliaji

Unaweza kufuatilia ikiwa subdomains mpya ya uwanja unatengenezwa kwa kufuatilia Certificate Transparency Logs sublert inavyofanya.

Kutafuta Ubaguzi

Angalia kwa uchukuzi wa subdomain unaoweza kuchukuliwa.
Ikiwa subdomain inaelekeza kwa bucket ya S3, angalia ruhusa.

Ikiwa unapata subdomain na IP tofauti na zile ulizopata tayari katika ugunduzi wa mali, unapaswa kufanya uchunguzi wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na uchunguzi wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Tahadhari kwamba mara nyingine subdomain inahifadhiwa ndani ya IP ambayo haikudhibitiwa na mteja, hivyo sio sehemu ya eneo, kuwa mwangalifu.

IPs

Katika hatua za awali unaweza kuwa umepata vipimo vya IP, uwanja na subdomains.
Ni wakati wa kukusanya upya IPs zote kutoka kwa vipimo hivyo na kwa uwanja/subdomains (mipangilio ya DNS).

Kwa kutumia huduma kutoka apis za bure zifuatazo unaweza pia kupata IPs za awali zilizotumiwa na uwanja na subdomains. IPs hizi zinaweza bado kumilikiwa na mteja (na inaweza kukuruhusu kupata mipito ya CloudFlare)

Unaweza pia kuchunguza uwanja unaoelekeza kwa anwani fulani ya IP kwa kutumia zana hakip2host

Kutafuta Ubaguzi

Chunguza bandari zote za IPs ambazo sio sehemu ya CDNs (kwa sababu kuna uwezekano mkubwa hautapata kitu cha kuvutia hapo). Katika huduma zinazoendeshwa zilizogunduliwa unaweza kupata udhaifu.

Pata mwongozo kuhusu jinsi ya kuchunguza wenyeji.

Uwindaji wa Seva za Wavuti

Tumepata makampuni yote na mali zao na tunajua vipimo vya IP, uwanja na subdomains ndani ya eneo. Ni wakati wa kutafuta seva za wavuti.

Katika hatua za awali labda tayari umefanya uchunguzi wa IPs na uwanja uliogunduliwa, hivyo unaweza kuwa tayari umepata seva zote za wavuti zinazowezekana. Hata hivyo, ikiwa hujafanya hivyo sasa tutatazama baadhi ya mbinu za haraka za kutafuta seva za wavuti ndani ya eneo.

Tafadhali, kumbuka kuwa hii itakuwa ilielekezwa kwa ugunduzi wa programu za wavuti, hivyo unapaswa kufanya uchunguzi wa udhaifu na uchunguzi wa bandari pia (ikiwa kuruhusiwa na eneo).

Mbinu ya haraka ya kugundua bandari zilizofunguliwa zinazohusiana na seva za wavuti kwa kutumia masscan inaweza kupatikana hapa.
Zana nyingine rafiki ya kutafuta seva za wavuti ni httprobe, fprobe na httpx. Unapitisha orodha ya uwanja na itajaribu kuunganisha kwenye bandari 80 (http) na 443 (https). Kwa kuongezea, unaweza kuonyesha kujaribu bandari nyingine:

cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443

Maelezo ya Skrini

Sasa baada ya kugundua seva zote za wavuti zilizopo katika eneo la tafuta (miongoni mwa IPs za kampuni na domaini zote na subdomains) labda hujui pa kuanzia. Kwa hivyo, hebu tuifanye iwe rahisi na tuanze kwa kuchukua viwambo vya skrini vya vyote hivyo. Kwa kuangalia tu ukurasa wa kuu unaweza kupata malengo ya ajabu ambayo ni zaidi ya kuwa hatarini kuwa dhaifu.

Ili kutekeleza wazo lililopendekezwa unaweza kutumia EyeWitness, HttpScreenshot, Aquatone, Shutter, Gowitness au webscreenshot.

Zaidi ya hayo, unaweza kutumia eyeballer kukimbia juu ya viwambo vyote kukwambia ni nini kinachoweza kuwa na vulnerabilities, na ni nini siyo.

Mali za Wingu za Umma

Ili kupata mali za wingu za uwezekano zinazomilikiwa na kampuni unapaswa kuanza na orodha ya maneno muhimu yanayotambulisha kampuni hiyo. Kwa mfano, kwa kampuni ya crypto unaweza kutumia maneno kama: "crypto", "mkoba", "dao", "<jina_la_kikoa>", <"majina_ya_subdomain">.

Pia utahitaji orodha ya maneno ya kawaida yanayotumiwa katika vikapu:

Kisha, kwa maneno hayo unapaswa kuzalisha permutations (angalia Raundi ya Pili ya Brute-Force ya DNS kwa maelezo zaidi).

Kwa orodha za maneno zinazotokana unaweza kutumia zana kama cloud_enum, CloudScraper, cloudlist au S3Scanner.

Kumbuka kwamba unapotafuta Mali za Wingu unapaswa kutafuta zaidi ya vikapu tu katika AWS.

Kutafuta vulnerabilities

Ikiwa unapata mambo kama vikapu wazi au kazi za wingu zilizofichuliwa unapaswa kuzifikia na jaribu kuona wanakupa nini na ikiwa unaweza kuzitumia vibaya.

Barua pepe

Kwa domaini na subdomains ndani ya eneo la tafuta kimsingi una kila kitu unachohitaji kuanza kutafuta barua pepe. Hizi ni APIs na zana ambazo zimefanya kazi vizuri kwangu kupata barua pepe ya kampuni:

Kutafuta vulnerabilities

Barua pepe zitakuja muhimu baadaye kwa brute-force wa kuingia kwenye wavuti na huduma za uthibitishaji (kama vile SSH). Pia, zinahitajika kwa phishing. Zaidi ya hayo, APIs hizi zitakupa hata zaidi habari kuhusu mtu nyuma ya barua pepe, ambayo ni muhimu kwa kampeni ya phishing.

Kuvuja kwa Vyeti

Kwa domaini, subdomains, na barua pepe unaweza kuanza kutafuta vyeti vilivyovuja hapo awali vinavyomilikiwa na barua pepe hizo:

Kutafuta vulnerabilities

Ikiwa unapata vyeti vilivyovuja vilivyothibitishwa, hii ni ushindi rahisi sana.

Kuvuja kwa Siri

Kuvuja kwa vyeti kunahusiana na kuvuja kwa kampuni ambapo habari nyeti ilivuja na kuuzwa. Walakini, kampuni zinaweza kuathiriwa na uvujaji mwingine ambao habari yake haipo katika hizo databases:

Kuvuja kwa Github

Vyeti na APIs zinaweza kuvuja katika maktaba za umma za kampuni au ya watumiaji wanaofanya kazi na kampuni hiyo ya github.
Unaweza kutumia zana Leakos kudownload repos za umma za shirika na ya wabunifu wake na kukimbia gitleaks juu yao kiotomatiki.

Leakos inaweza pia kutumika kukimbia gitleaks tena kwenye maandishi yote yaliyotolewa URLs zilizopitishwa kwake kwa sababu mara nyingi kurasa za wavuti pia zina siri.

Dorks za Github

Angalia pia ukurasa huu kwa dorks za github za uwezekano unaweza pia kutafuta katika shirika unaloshambulia:

{% content-ref url="github-leaked-secrets.md" %} github-leaked-secrets.md {% endcontent-ref %}

Kuvuja kwa Pasts

Marafiki wa mashambulizi au wafanyakazi wataweza kuchapisha yaliyomo ya kampuni kwenye tovuti ya kubandika. Hii inaweza au isiyoweza kuwa na habari nyeti, lakini ni ya kuvutia sana kutafuta.
Unaweza kutumia zana Pastos kutafuta katika zaidi ya tovuti 80 za kubandika kwa wakati mmoja.

Dorks za Google

Dorks za zamani lakini dhahabu daima ni muhimu kupata habari zilizofichuliwa ambazo hazipaswi kuwepo. Tatizo pekee ni kwamba google-hacking-database ina maelfu ya matakwa yanayowezekana ambayo huwezi kukimbia kwa mikono. Kwa hivyo, unaweza kupata zako 10 zinazopendwa au unaweza kutumia zana kama Gorks kuzikimbia zote.

Taarifa kwamba zana zinazotarajiwa kukimbia database yote kwa kutumia kivinjari cha kawaida cha Google hazitamaliza kamwe kwani google itakuzuia haraka sana.

Kutafuta vulnerabilities

Ikiwa unapata vyeti vilivyovuja au vitambulisho vya API vilivyothibitishwa, hii ni ushindi rahisi sana.

Vulnerabilities za Kodi za Umma

Ikiwa umegundua kuwa kampuni ina kodi ya chanzo wazi unaweza kuianaliza na kutafuta vulnerabilities ndani yake.

Kulingana na lugha kuna zana tofauti unazoweza kutumia:

{% content-ref url="../../network-services-pentesting/pentesting-web/code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}

Pia kuna huduma za bure zinazokuwezesha kutafuta maktaba za umma, kama vile:

Mbinu ya Kupima Usalama wa Wavuti

Wengi wa udhaifu unaopatikana na wawindaji wa makosa uko ndani ya maombi ya wavuti, kwa hivyo kwa sasa ningependa kuzungumzia mbinu ya kupima maombi ya wavuti, na unaweza kupata habari hii hapa.

Pia ningependa kufanya marejeleo maalum kwa sehemu ya Zana za Kufanya Uchunguzi wa Wavuti kiotomatiki za chanzo wazi, kwani, ingawa hutegemei kupata udhaifu wa siri sana, zinaweza kusaidia kutekeleza kwenye mifumo ya kazi ili kupata habari ya awali ya wavuti.

Muhtasari

Hongera! Kufikia hatua hii tayari umefanya uchunguzi wa msingi wote. Ndiyo, ni msingi kwa sababu uchunguzi mwingi zaidi unaweza kufanywa (tutaona mbinu zaidi baadaye).

Kwa hivyo tayari umeshapata:

  1. Kupata makampuni yote ndani ya eneo la kuchunguza
  2. Kupata mali zote zinazomilikiwa na makampuni (na kufanya uchunguzi wa udhaifu ikiwa ni sehemu ya uchunguzi)
  3. Kupata kikoa zote zinazomilikiwa na makampuni
  4. Kupata subdomain zote za vikoa (kuna uwezekano wa kuchukua subdomain?)
  5. Kupata IPs zote (kutoka na sio kutoka kwa CDNs) ndani ya eneo la kuchunguza.
  6. Kupata seva za wavuti zote na kuchukua picha ya skrini yao (kuna kitu cha ajabu kinachostahili kuangaliwa kwa undani zaidi?)
  7. Kupata mali za wingu za umma zinazomilikiwa na kampuni.
  8. Barua pepe, vuja vya siri, na vuja vya siri ambavyo vinaweza kukupa ushindi mkubwa kwa urahisi.
  9. Kupima usalama wa wavuti zote ulizopata

Zana za Uchunguzi wa Kiotomatiki Kamili

Kuna zana kadhaa huko nje ambazo zitafanya sehemu ya hatua zilizopendekezwa dhidi ya eneo lililopewa.

Vyanzo

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyoweza kudukuliwa - tunakupa kazi! (inahitajika uwezo wa kuandika na kuzungumza Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Jifunze udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks: