.. | ||
github-leaked-secrets.md | ||
README.md | ||
wide-source-code-search.md |
外部調査方法論
htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで@hacktricks_liveをフォローする
- 自分のハッキングテクニックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出する
ハッキングキャリアに興味があり、解読不能なものをハックしたい場合は、採用中です!(流暢なポーランド語の読み書きが必要です)。
{% embed url="https://www.stmcyber.com/careers" %}
資産の発見
ある企業に属するすべてのものが対象に含まれていると言われた場合、この企業が実際に所有しているものを把握したいと思うでしょう。
このフェーズの目標は、まず主要企業が所有する企業をすべて取得し、その後これらの企業の資産をすべて取得することです。これを行うために、以下の手順を実行します:
- 主要企業の買収を見つけることで、対象に含まれる企業を把握します。
- 各企業のASN(存在する場合)を見つけることで、各企業が所有するIP範囲を把握します。
- 逆whois検索を使用して、最初のエントリ(組織名、ドメインなど)に関連する他のエントリを検索します(これは再帰的に行うことができます)。
- shodanの
org
およびssl
フィルタなどの他のテクニックを使用して、他の資産を検索します(ssl
トリックは再帰的に行うことができます)。
買収
まず第一に、主要企業が所有する他の企業を知る必要があります。
https://www.crunchbase.com/を訪れ、主要企業を検索し、「acquisitions」をクリックすると、主要企業が取得した他の企業が表示されます。
他のオプションとしては、主要企業のWikipediaページを訪れ、買収を検索することがあります。
この時点で、対象に含まれるすべての企業を把握するはずです。それでは、彼らの資産を見つける方法を考えてみましょう。
ASNs
自律システム番号(ASN)は、インターネット割り当て番号機関(IANA)によって自律システム(AS)に割り当てられた一意の番号です。
ASは、外部ネットワークへのアクセスに対する明確に定義されたポリシーを持つIPアドレスのブロックで構成され、単一の組織によって管理されますが、複数のオペレータで構成されている場合があります。
企業がどのようなASNを割り当てているかを見つけることは興味深いです。これにより、IP範囲を見つけることができます。スコープ内のすべてのホストに対して脆弱性テストを実行し、これらのIP内のドメインを検索することが重要です。
https://bgp.he.net/で企業の名前、IP、またはドメインで検索できます。
企業の地域に応じて、これらのリンクはより多くのデータを収集するのに役立つ可能性があります: AFRINIC (アフリカ)、Arin (北アメリカ)、APNIC (アジア)、LACNIC (ラテンアメリカ)、RIPE NCC (ヨーロッパ)。とにかく、おそらくすべての**有用な情報(IP範囲とWhois)**は最初のリンクに既に表示されています。
#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161
また、BBOTのサブドメインの列挙は、スキャンの最後にASNを自動的に集約して要約します。
bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24 | 5 | TESLA | Tesla Motors, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509 | 54.148.0.0/15 | 4 | AMAZON-02 | Amazon.com, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24 | 3 | TESLA | Tesla Motors, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356 | 8.32.0.0/12 | 1 | LEVEL3 | Level 3 Parent, LLC | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356 | 8.0.0.0/9 | 1 | LEVEL3 | Level 3 Parent, LLC | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
組織のIP範囲を見つけることもできます。http://asnlookup.com/(無料APIを利用可能)。
ドメインのIPとASNを見つけるには、http://ipv4info.com/を使用できます。
脆弱性を探す
この時点で、スコープ内のすべての資産がわかっているので、許可されている場合は、すべてのホストに対して脆弱性スキャナー(Nessus、OpenVAS)を実行することができます。
また、ポートスキャンを実行したり、shodanのようなサービスを使用して開いているポートを見つけ、見つけたものに応じてこの書籍で実行する可能性のある複数のサービスをペンテストする方法を確認することができます。
また、デフォルトのユーザー名とパスワードのリストを用意して、https://github.com/x90skysn3k/brutesprayを使用してサービスをブルートフォースすることもできます。
ドメイン
スコープ内のすべての企業とその資産がわかっているので、スコープ内のドメインを見つける時が来ました。
以下の提案された技術を使用すると、サブドメインも見つけることができ、その情報は過小評価されるべきではありません。
まず、各企業のメインドメインを探すべきです。例えば、_Tesla Inc._の場合は tesla.com になります。
逆引きDNS
ドメインのIP範囲を見つけたので、これらのIPに対して逆引きDNSルックアップを試み、スコープ内のさらなるドメインを見つけることができます。被害者のDNSサーバーまたは一般的に知られているDNSサーバー(1.1.1.1、8.8.8.8)を使用してみてください。
dnsrecon -r <DNS Range> -n <IP_DNS> #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns
リバースWhois(ループ)
whois内には、組織名、住所、メールアドレス、電話番号など、多くの興味深い情報が含まれています。しかし、さらに興味深いのは、これらのフィールドのいずれかでリバースWhois検索を実行すると、会社に関連するさらなる資産を見つけることができることです(たとえば、同じメールアドレスが登場する他のwhoisレジストリ)。
以下のようなオンラインツールを使用できます:
- https://viewdns.info/reversewhois/ - 無料
- https://domaineye.com/reverse-whois - 無料
- https://www.reversewhois.io/ - 無料
- https://www.whoxy.com/ - 無料 web、APIは無料ではありません。
- http://reversewhois.domaintools.com/ - 有料
- https://drs.whoisxmlapi.com/reverse-whois-search - 有料(100回無料検索)
- https://www.domainiq.com/ - 有料
DomLink を使用してこのタスクを自動化できます(whoxy APIキーが必要です)。
また、amassを使用して自動的なリバースWhoisの発見を行うこともできます: amass intel -d tesla.com -whois
新しいドメインを見つけるたびに、このテクニックを使用してさらに多くのドメイン名を発見できることに注意してください。
トラッカー
2つの異なるページで同じトラッカーの同じIDを見つけると、両方のページが同じチームによって管理されていると推測できます。
たとえば、複数のページで同じGoogle Analytics IDや同じAdsense IDを見つけた場合。
これらのトラッカーやその他の情報を検索できるいくつかのページやツールがあります:
Favicon
ターゲットに関連するドメインやサブドメインを見つけるために、同じfaviconアイコンハッシュを検索することができることを知っていましたか?これは、@m4ll0k2によって作成されたfavihash.pyツールが行うことです。以下は、その使用方法です:
cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s
単純に言えば、favihashを使用すると、ターゲットと同じファビコンアイコンハッシュを持つドメインを発見できます。
さらに、このブログ投稿で説明されているように、ファビコンハッシュを使用して技術を検索することもできます。つまり、脆弱なウェブテクノロジーのバージョンのファビコンのハッシュを知っている場合、shodanで検索してより多くの脆弱な場所を見つけることができます。
shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'
これがウェブのファビコンハッシュを計算する方法です:
import mmh3
import requests
import codecs
def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash
著作権 / ユニークな文字列
同じ組織内の異なるウェブ間で共有される可能性のある文字列を検索します。著作権文字列は良い例です。その文字列をGoogle、他のブラウザ、またはShodanで検索します: shodan search http.html:"著作権文字列"
CRT 時間
次のようなクーロンジョブを持つことが一般的です。
# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"
外部リコン手法
サーバー上のすべてのドメイン証明書を更新します。これは、このために使用されるCAが生成された時間を有効期間内に設定していなくても、証明書透明性ログ内で同じ会社に属するドメインを見つけることが可能です。
詳細については、こちらの解説をご覧ください。
パッシブな乗っ取り
クラウドプロバイダーに属するIPにサブドメインを割り当て、そのIPアドレスをいつの間にか失い、DNSレコードの削除を忘れることが一般的です。そのため、クラウド(例:Digital Ocean)でVMを起動するだけで、実際にはいくつかのサブドメインを乗っ取ることができます。
この投稿では、そのストーリーを説明し、DigitalOceanでVMを起動し、新しいマシンのIPv4を取得し、それを指すサブドメインレコードをVirustotalで検索するスクリプトを提案しています。
その他の方法
新しいドメインを見つけるたびに、この手法を使用できることに注意してください。
Shodan
すでにIPスペースを所有している組織の名前を知っている場合、そのデータでshodanで検索できます: org:"Tesla, Inc."
TLS証明書内の新しい予期しないドメインを見つけるために、見つかったホストをチェックしてください。
主要なWebページのTLS証明書にアクセスし、組織名を取得してから、shodanで知られているすべてのWebページのTLS証明書内でその名前を検索します。フィルターを使用して: ssl:"Tesla Motors"
またはsslsearchのようなツールを使用します。
Assetfinder
Assetfinderは、主要ドメインに関連するドメインとそれらのサブドメインを探すツールで、非常に素晴らしいです。
脆弱性の検索
ドメイン乗っ取りをチェックしてください。会社がドメインを使用しているが所有権を失っている可能性があります。安価であれば登録し、会社に通知してください。
アセットの発見で見つけたIPとは異なるIPを持つドメインを見つけた場合、基本的な脆弱性スキャン(NessusまたはOpenVASを使用)とnmap/masscan/shodanでのポートスキャンを実行する必要があります。実行されているサービスに応じて、この書籍でそれらを"攻撃"するためのトリックを見つけることができます。
ドメインがクライアントによって制御されていないIP内にホストされている場合があるため、スコープ外にあることに注意してください。
バグバウンティのヒント: Intigritiにサインアップしてください。ハッカーによって作成されたプレミアムバグバウンティプラットフォーム!今すぐhttps://go.intigriti.com/hacktricksで参加し、最大**$100,000**のバウンティを獲得しましょう!
{% embed url="https://go.intigriti.com/hacktricks" %}
サブドメイン
スコープ内のすべての企業、各企業のすべての資産、および企業に関連するすべてのドメインを知っています。
見つかった各ドメインのすべての可能なサブドメインを見つける時が来ました。
DNS
DNSレコードからサブドメインを取得しましょう。ゾーン転送も試してみるべきです(脆弱性がある場合は報告する必要があります)。
dnsrecon -a -d tesla.com
OSINT
大量のサブドメインを取得する最速の方法は、外部ソースで検索することです。最もよく使われるツールは以下のものです(より良い結果を得るためには、APIキーを設定してください):
# subdomains
bbot -t tesla.com -f subdomain-enum
# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive
# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"
次のような、サブドメインを直接的に特定することに特化していないが、サブドメインを見つけるのに役立つ他の興味深いツール/APIがあります:
- Crobat: サブドメインを取得するためにAPI https://sonar.omnisint.io を使用
# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"
curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"
- RapidDNS 無料API
# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com
# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
- gau: 特定のドメインからAlienVaultのOpen Threat Exchange、Wayback Machine、Common Crawlに知られているURLを取得します。
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u
- SubDomainizer & subscraper: 彼らはWebをスクレイピングし、JSファイルからサブドメインを抽出します。
# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com
# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f
# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"
export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com
python3 DomainTrail.py -d example.com
- securitytrails.com はサブドメインやIPの履歴を検索するための無料APIを提供しています
- chaos.projectdiscovery.io
このプロジェクトは、バグバウンティプログラムに関連するすべてのサブドメインを無料で提供しています。このデータには、chaospyを使用したり、このプロジェクトで使用されているスコープにアクセスすることもできます https://github.com/projectdiscovery/chaos-public-program-list
これらのツールの比較をこちらで見つけることができます: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off
DNSブルートフォース
可能なサブドメイン名を使用してDNSサーバーをブルートフォースし、新しいサブドメインを見つけることを試みましょう。
このアクションには、次のような一般的なサブドメインのワードリストが必要です:
- https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056
- https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt
- https://localdomain.pw/subdomain-bruteforce-list/all.txt.zip
- https://github.com/pentester-io/commonspeak
- https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS
さらに、信頼できるDNSリゾルバのIPアドレスも必要です。信頼できるDNSリゾルバのリストを生成するには、https://public-dns.info/nameservers-all.txt からリゾルバをダウンロードし、dnsvalidator を使用してフィルタリングします。または、https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt を使用することもできます。
DNSブルートフォースに最も推奨されるツールは次のとおりです:
- massdns: これは効果的なDNSブルートフォースを実行した最初のツールです。非常に高速ですが、誤検知しやすいです。
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
- gobuster: これは1つのリゾルバーを使用していると思います。
gobuster dns -d mysite.com -t 50 -w subdomains.txt
- shuffledns は、有効なサブドメインをアクティブなブルートフォースを使用して列挙し、ワイルドカード処理と簡単な入出力サポートを備えた、
massdns
のラッパーであり、Goで書かれています。
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt
- puredns: それは
massdns
も使用します。
puredns bruteforce all.txt domain.com
- aiodnsbruteは、非同期でドメイン名を総当たり攻撃するためにasyncioを使用します。
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com
第二のDNSブルートフォースラウンド
オープンソースやブルートフォースを使用してサブドメインを見つけた後、見つかったサブドメインの変更を生成してさらに探ることができます。この目的には、いくつかのツールが役立ちます:
- dnsgen: ドメインとサブドメインを与えられた場合、順列を生成します。
cat subdomains.txt | dnsgen -
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
- gotator: ドメインとサブドメインが与えられた場合、順列を生成します。順列ファイルが指定されていない場合、gotatorは独自のファイルを使用します。
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
- dmut: サブドメインの順列、変異、変更を実行する別のツール。このツールは結果を総当たり攻撃します(DNSワイルドカードはサポートされていません)。
- こちらからdmutの順列ワードリストを入手できます。
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
- alterx: ドメインに基づいて、指定されたパターンに基づいて新しい潜在的なサブドメイン名を生成し、さらに多くのサブドメインを発見しようとします。
スマートな順列生成
python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
- subzuf: _subzuf_は、極めてシンプルで効果的なDNS応答ガイドアルゴリズムと組み合わされたサブドメインブルートフォースファズツールです。_subzuf_は、カスタマイズされたワードリストや過去のDNS/TLSレコードなどの提供された入力データを利用して、より対応するドメイン名を正確に合成し、DNSスキャン中に収集された情報に基づいてさらにループで拡張します。
echo www | subzuf facebook.com
サブドメイン発見のワークフロー
このブログ記事をチェックしてください。Trickestワークフローを使用してドメインからサブドメインの発見を自動化する方法について書いています。これにより、コンピュータで手動で多くのツールを起動する必要がなくなります。
{% embed url="https://trickest.com/blog/full-subdomain-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
{% embed url="https://trickest.com/blog/full-subdomain-brute-force-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
VHosts / バーチャルホスト
サブドメインに関連する1つ以上のウェブページを含むIPアドレスを見つけた場合、そのIP内の他のサブドメインを見つけるために、OSINTソースでIP内のドメインを検索するか、そのIP内のVHostドメイン名をブルートフォースで探すことができます。
OSINT
HostHunter や他のAPIを使用して、IP内のVHostを見つけることができます。
ブルートフォース
Webサーバーに隠されている可能性があるサブドメインがあると疑っている場合、ブルートフォースで試すことができます。
ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"
gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt
wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100
#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"
#https://github.com/codingo/VHostScan
VHostScan -t example.com
{% hint style="info" %} このテクニックを使用すると、内部/非表示のエンドポイントにアクセスできるかもしれません。 {% endhint %}
CORS Brute Force
時々、有効なドメイン/サブドメインが Origin ヘッダーに設定されている場合にのみ Access-Control-Allow-Origin ヘッダーを返すページが見つかります。 これらのシナリオでは、この動作を悪用して、新しい サブドメイン を発見することができます。
ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body
バケットのブルートフォース
サブドメインを探している間に、それがどの種類のバケットを指しているかを確認し、その場合は権限をチェックしてください。
また、この時点ではスコープ内のすべてのドメインを把握しているため、可能なバケット名をブルートフォースし、権限をチェックしてください。
モニタリング
ドメインの新しいサブドメインが作成されたかどうかをモニタリングすることができます。これは証明書透過性ログを監視するsublertが行います。
脆弱性の検索
可能なサブドメインテイクオーバーをチェックしてください。
サブドメインがS3バケットを指している場合は、権限をチェックしてください。
アセットの発見で見つけたIPとは異なるIPを持つサブドメインを見つけた場合、基本的な脆弱性スキャン(NessusまたはOpenVASを使用)とnmap/masscan/shodanを使用したいくつかのポートスキャンを実行する必要があります。実行されているサービスに応じて、この書籍でそれらを"攻撃"するためのトリックを見つけることができます。
サブドメインがクライアントによって制御されていないIP内にホストされている場合があるため、スコープ外にある可能性があることに注意してください。
IPs
初期段階でいくつかのIP範囲、ドメイン、およびサブドメインを見つけたかもしれません。
これらの範囲からすべてのIPを再収集し、**ドメイン/サブドメイン(DNSクエリ)**を行う時がきました。
以下の無料APIを使用すると、ドメインとサブドメインが以前に使用したIPを見つけることもできます。これらのIPはクライアントが所有している可能性があります(そしてCloudFlareのバイパスを見つけることができるかもしれません)
ツールhakip2hostを使用して特定のIPアドレスを指すドメインをチェックすることもできます。
脆弱性の検索
CDNに属さないすべてのIPをポートスキャンしてください(そこに興味深いものはほとんど見つからない可能性が高いです)。発見された実行中のサービスで脆弱性を見つけることができるかもしれません。
ホストをスキャンする方法についてのガイド を見つけてください。
Webサーバーの探索
すべての企業とその資産を見つけ、IP範囲、ドメイン、およびスコープ内のサブドメインを把握しています。Webサーバーを検索する時がきました。
前のステップでおそらくすでに発見したIPとドメインの調査を実行しているかもしれませんので、すでに可能なすべてのWebサーバーを見つけているかもしれません。しかし、まだ見つけていない場合は、スコープ内のWebサーバーを検索するための高速なトリックを見ていきます。
これはWebアプリの発見に向けられているため、スコープで許可されている場合は脆弱性とポートスキャンも実行する必要があります。
masscanを使用して関連するオープンポートを見つける 高速な方法がここにあります。
Webサーバーを探すためのもう1つの便利なツールはhttprobe、fprobe およびhttpxです。ドメインのリストを渡すと、ポート80(http)および443(https)に接続しようとします。さらに、他のポートを試すように指示することもできます。
cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443
スクリーンショット
スコープ内のすべてのWebサーバー(企業のIPアドレス、すべてのドメイン、サブドメインの中のIPアドレス)を発見したので、おそらくどこから始めればよいかわからないでしょう。ですので、単純にすべてのWebサイトのスクリーンショットを撮影してみましょう。メインページを見るだけで、脆弱性を持ちやすい奇妙なエンドポイントを見つけることができます。
提案されたアイデアを実行するために、EyeWitness、HttpScreenshot、Aquatone、Shutter、またはwebscreenshotを使用できます。
さらに、その後にeyeballerを使用して、すべてのスクリーンショットを実行し、脆弱性を含む可能性の高いものとそうでないものを教えてもらうことができます。
パブリッククラウド資産
企業に属する潜在的なクラウド資産を見つけるためには、その企業を識別するキーワードのリストから始める必要があります。たとえば、暗号通貨企業の場合、"crypto"、"wallet"、"dao"、"<domain_name>"、<"subdomain_names">などの単語を使用できます。
また、バケツで使用される一般的な単語のワードリストが必要です:
- https://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt
- https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt
- https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt
その単語を使用して、パーミュテーションを生成する必要があります(詳細はSecond Round DNS Brute-Forceを参照)。
生成されたワードリストを使用して、cloud_enum、CloudScraper、cloudlist、またはS3Scannerなどのツールを使用できます。
クラウド資産を探す際には、AWSのバケツだけでなく、他のものも探す必要があります。
脆弱性を探す
オープンなバケツや公開されたクラウド関数などが見つかった場合は、それらにアクセスして、提供されている内容を確認し、悪用できるかどうかを試してみてください。
メール
スコープ内のドメインとサブドメインがあれば、企業のメールアドレスを検索を開始するために必要なものがすべて揃っています。
企業のメールアドレスを見つけるために最も効果的だったAPIとツールは次のとおりです:
- theHarvester - APIsを使用
- https://hunter.io/のAPI(無料版)
- https://app.snov.io/のAPI(無料版)
- https://minelead.io/のAPI(無料版)
脆弱性を探す
後でメールアドレスは、WebログインやSSHなどの認証サービスをブルートフォース攻撃するのに役立ちます。また、フィッシング攻撃にも必要です。さらに、これらのAPIは、メールアドレスの背後にいる人物についてのさらなる情報を提供してくれるため、フィッシングキャンペーンに役立ちます。
資格情報の漏洩
ドメイン、サブドメイン、およびメールアドレスを使用して、過去に漏洩した資格情報を探すことができます:
脆弱性を探す
有効な漏洩した資格情報を見つけた場合、これは非常に簡単な勝利です。
シークレットの漏洩
資格情報の漏洩は、企業のハッキングに関連し、機密情報が漏洩して販売されたものです。ただし、企業はそのデータベースにない情報が含まれる可能性のある他の漏洩にも影響を受けるかもしれません。
Githubの漏洩
資格情報やAPIが、企業の公開リポジトリやそのgithub企業の開発者のリポジトリに漏洩している可能性があります。
ツールLeakosを使用して、組織とその開発者のすべての公開リポジトリをダウンロードし、自動的にgitleaksを実行できます。
Leakosは、渡されたURLのすべてのテキストに対してgitleaksを実行するためにも使用できます。
Github Dorks
攻撃対象の組織で検索する可能性のあるgithub dorksを見つけるために、このページもチェックしてください:
{% content-ref url="github-leaked-secrets.md" %} github-leaked-secrets.md {% endcontent-ref %}
ペーストの漏洩
攻撃者や作業者が企業のコンテンツをペーストサイトに公開することがあります。これには機密情報が含まれる可能性がありますが、含まれていない場合もあります。
80以上のペーストサイトで検索するために、ツールPastosを使用できます。
Google Dorks
古くから使われているGoogle Dorksは、そこにあってはならない情報を見つけるのに常に役立ちます。唯一の問題は、google-hacking-databaseには数千ものクエリが含まれており、手動で実行することはできないことです。したがって、お気に入りの10個を選ぶか、Gorksのようなツールを使用してすべてを実行できます。
通常のGoogleブラウザを使用してデータベース全体を実行しようとするツールは、Googleがすぐにブロックするため、決して終了しません。
脆弱性を探す
有効な漏洩した資格情報やAPIトークンを見つけた場合、これは非常に簡単な勝利です。
パブリックコードの脆弱性
企業がオープンソースコードを持っている場合、そのコードを分析して脆弱性を検索できます。
言語によって異なるツールがあります:
{% content-ref url="../../network-services-pentesting/pentesting-web/code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}
また、以下のような無料のサービスを使用して公開リポジトリをスキャンすることもできます:
Webペンテスト手法
バグハンターによって見つかる脆弱性の大部分はWebアプリケーション内に存在するため、この時点でWebアプリケーションのテスト手法について話したいと思います。こちらでこの情報を見つけることができます。
また、Web自動スキャナーのオープンソースツールのセクションに特別な言及をしたいと思います。なぜなら、非常に機密性の高い脆弱性を見つけることは期待できないかもしれませんが、ワークフローに実装して初期のWeb情報を得るのに役立ちます。
要点
おめでとうございます!この時点ですべての基本的な列挙をすでに行っています。はい、基本的なものですが、さらに多くの列挙ができます(後でさらなるトリックを見ていきます)。
したがって、すでに次のことを行っています:
- スコープ内のすべての企業を見つけました
- 企業に属するすべての資産を見つけました(スコープ内であればいくつかの脆弱性スキャンを実行)
- 企業に属するすべてのドメインを見つけました
- ドメインのすべてのサブドメインを見つけました(サブドメインの乗っ取りはありましたか?)
- スコープ内のCDNからでないIPを含むすべてのIPを見つけました
- すべてのWebサーバーを見つけ、それらのスクリーンショットを撮りました(より詳しく調査する価値のある奇妙なものはありましたか?)
- 企業に属する潜在的なパブリッククラウド資産をすべて見つけました
- 簡単に大きな勝利をもたらす可能性のある メール、資格情報の漏洩、および秘密の漏洩を見つけました
- 見つけたすべてのWebをペンテストしました
完全なRecon自動ツール
与えられたスコープに対して提案されたアクションの一部を実行するいくつかのツールがあります。
- https://github.com/yogeshojha/rengine
- https://github.com/j3ssie/Osmedeus
- https://github.com/six2dez/reconftw
- https://github.com/hackerspider1/EchoPwn - 少し古く、更新されていません
参考文献
ハッキングキャリアに興味がある方や、解読不能なものをハックしたい方 - 採用中です!(流暢なポーランド語の書き言葉と会話が必要です)。
{% embed url="https://www.stmcyber.com/careers" %}
**htARTE(HackTricks AWS Red Team Expert)**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合や、HackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksのグッズを入手してください
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つけてください
- 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。