.. | ||
github-leaked-secrets.md | ||
README.md | ||
wide-source-code-search.md |
External Recon Methodology
ゼロからヒーローまでAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksグッズを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- **💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする
- ハッキングトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出する
ハッキングキャリアに興味がある方や、解読不能なものをハッキングしたい方 - 採用中!(流暢なポーランド語の読み書きが必要です)。
{% embed url="https://www.stmcyber.com/careers" %}
資産の発見
ある企業に属するすべてのものが対象であると言われ、この企業が実際に所有しているものを特定したいと思っています。
このフェーズの目標は、まず主要企業が所有する企業をすべて取得し、その後これらの企業の資産をすべて取得することです。これを行うために、以下の手順を実行します:
- 主要企業の買収を見つけることで、対象となる企業を取得します。
- 各企業のASN(存在する場合)を見つけることで、各企業が所有するIP範囲を取得します。
- リバースWhois検索を使用して、最初のエントリ(組織名、ドメインなど)に関連する他のエントリを検索します(これは再帰的に行うことができます)。
org
およびssl
フィルターを使用したShodanなどの他のテクニックを使用して、他の資産を検索します(ssl
トリックは再帰的に行うことができます)。
買収
まず最初に、主要企業が所有する他の企業を知る必要があります。
1つのオプションは、https://www.crunchbase.com/を訪れ、主要企業を検索し、「acquisitions」をクリックすることです。そこで、主要企業によって取得された他の企業が表示されます。
もう1つのオプションは、主要企業のWikipediaページを訪れ、買収を検索することです。
この時点で、対象となるすべての企業を把握しているはずです。それらの資産を見つける方法を考えてみましょう。
ASNs
自律システム番号(ASN)は、インターネット割り当て番号機関(IANA)によって自律システム(AS)に割り当てられた一意の番号です。
ASは、外部ネットワークへのアクセスに対する明確に定義されたポリシーを持つIPアドレスのブロックで構成され、単一の組織によって管理されますが、複数のオペレータで構成されている場合があります。
企業がどのようなASNを割り当てているかを見つけることは興味深いです。これにより、IP範囲を見つけることができます。スコープ内のすべてのホストに対して脆弱性テストを実行し、これらのIP内のドメインを検索することが重要です。
https://bgp.he.net/で企業の名前、IP、またはドメインで検索できます。
企業の地域に応じて、これらのリンクはより多くのデータを収集するのに役立つ可能性があります: AFRINIC (アフリカ)、Arin (北アメリカ)、APNIC (アジア)、LACNIC (ラテンアメリカ)、RIPE NCC (ヨーロッパ)。とにかく、おそらくすべての**有用な情報(IP範囲とWhois)**は最初のリンクに既に表示されています。
#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161
また、BBOTのサブドメイン列挙は、スキャンの最後にASNを自動的に集約および要約します。
bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24 | 5 | TESLA | Tesla Motors, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509 | 54.148.0.0/15 | 4 | AMAZON-02 | Amazon.com, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24 | 3 | TESLA | Tesla Motors, Inc. | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356 | 8.32.0.0/12 | 1 | LEVEL3 | Level 3 Parent, LLC | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356 | 8.0.0.0/9 | 1 | LEVEL3 | Level 3 Parent, LLC | US |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
組織のIP範囲を見つけることもできます http://asnlookup.com/(無料APIを提供)。
ドメインのIPとASNを見つけることができます http://ipv4info.com/。
脆弱性を探す
この時点で、スコープ内のすべてのアセットがわかっているので、許可されている場合はすべてのホストに対して 脆弱性スキャナ(Nessus、OpenVAS)を実行することができます。
また、ポートスキャンを実行したり、shodan のようなサービスを使用して 開いているポートを見つけ、見つけたものに応じて、この本で実行する可能性のあるいくつかのサービスのペンテスト方法を確認することができます。
また、デフォルトのユーザー名とパスワードのリストを用意して、https://github.com/x90skysn3k/brutespray を使用してサービスをブルートフォースすることもできます。
ドメイン
スコープ内のすべての企業とそのアセットがわかっているので、スコープ内のドメインを見つける時が来ました。
以下の提案された技術を使用すると、サブドメインも見つけることができ、その情報は過小評価されるべきではありません。
まず、各企業の メインドメイン を探すべきです。例えば、Tesla Inc. の場合は tesla.com になります。
逆引きDNS
ドメインのIP範囲をすべて見つけたので、これらの IPに逆引きDNSルックアップ を試みて、スコープ内の他のドメインを見つけることができます。被害者のDNSサーバーまたは一般的に知られているDNSサーバー(1.1.1.1、8.8.8.8)を使用してみてください。
dnsrecon -r <DNS Range> -n <IP_DNS> #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns
リバースWhois(ループ)
whoisの中には、組織名、住所、メールアドレス、電話番号など、多くの興味深い情報が含まれています。しかし、さらに興味深いのは、これらのフィールドのいずれかでリバースWhois検索を実行すると、会社に関連するさらなる資産を見つけることができることです(たとえば、同じメールが登場する他のwhoisレジストリ)。
以下のようなオンラインツールを使用できます:
- https://viewdns.info/reversewhois/ - 無料
- https://domaineye.com/reverse-whois - 無料
- https://www.reversewhois.io/ - 無料
- https://www.whoxy.com/ - 無料 web、無料APIではない。
- http://reversewhois.domaintools.com/ - 無料ではない
- https://drs.whoisxmlapi.com/reverse-whois-search - 無料ではない(100回無料検索)
- https://www.domainiq.com/ - 無料ではない
DomLink を使用してこのタスクを自動化できます(whoxy APIキーが必要です)。
また、amassを使用して一部の自動リバースWhois検出を実行できます: amass intel -d tesla.com -whois
新しいドメインを見つけるたびに、このテクニックを使用してさらに多くのドメイン名を発見できることに注意してください。
トラッカー
2つの異なるページで同じトラッカーの同じIDを見つけた場合、両方のページが同じチームによって管理されていると推定できます。
たとえば、複数のページで同じGoogle Analytics IDや同じAdsense IDを見た場合。
これらのトラッカーやその他の情報を検索できるいくつかのページやツールがあります:
Favicon
ターゲットに関連するドメインやサブドメインを見つけることができることを知っていましたか?同じfaviconアイコンハッシュを探すことで。これは、@m4ll0k2によって作成されたfavihash.pyツールがまさにそれを行います。以下は、その使用方法です:
cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s
単純に言えば、favihashを使用すると、ターゲットと同じファビコンアイコンハッシュを持つドメインを発見できます。
さらに、このブログ投稿で説明されているように、ファビコンハッシュを使用して技術を検索することもできます。つまり、脆弱なウェブテクノロジーのバージョンのファビコンのハッシュを知っている場合、shodanで検索してより多くの脆弱な場所を見つけることができます。
shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'
これがウェブのファビコンハッシュを計算する方法です:
import mmh3
import requests
import codecs
def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash
著作権 / ユニークな文字列
同じ組織内の異なるウェブ間で共有される可能性のある文字列をウェブページ内で検索します。著作権文字列は良い例です。その後、その文字列をGoogle、他のブラウザ、またはShodanで検索します: shodan search http.html:"著作権文字列"
CRT 時間
次のようなクーロンジョブを持つことが一般的です。
# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"
メールDMARC情報
https://dmarc.live/info/google.com のようなウェブサイトやhttps://github.com/Tedixx/dmarc-subdomains のようなツールを使用して、同じdmarc情報を共有するドメインとサブドメインを見つけることができます。
パッシブテイクオーバー
クラウドプロバイダに属するIPにサブドメインを割り当て、そのIPアドレスをいつの間にか失い、DNSレコードを削除し忘れることが一般的です。そのため、クラウド(例:Digital Ocean)でVMを起動するだけで、実際にはいくつかのサブドメインを引き継ぐことができます。
この記事では、これについての説明があり、DigitalOceanでVMを起動し、新しいマシンのIPv4を取得し、それを指すサブドメインレコードをVirustotalで検索するスクリプトが提案されています。
その他の方法
新しいドメインを見つけるたびに、このテクニックを使用できることに注意してください。
Shodan
すでにIPスペースを所有している組織の名前を知っている場合、org:"Tesla, Inc."
を使用してShodanでそのデータを検索できます。TLS証明書で新しい予期しないドメインを見つけてください。
メインウェブページのTLS証明書にアクセスし、組織名を取得し、その名前をshodanで知られているすべてのウェブページのTLS証明書内で検索します。フィルター:ssl:"Tesla Motors"
を使用するか、sslsearchのようなツールを使用します。
Assetfinder
Assetfinderは、メインドメインに関連するドメインとそのサブドメインを探すツールで、非常に素晴らしいです。
脆弱性の検索
ドメインテイクオーバーをチェックしてください。会社がドメインを使用しているが所有権を失っている可能性があります。安価であれば登録し、会社に通知してください。
アセットの発見で見つけたIPとは異なるIPを持つドメインを見つけた場合、NessusまたはOpenVASを使用して基本的な脆弱性スキャンを実行し、nmap/masscan/shodanでいくつかのポートスキャンを実行する必要があります。実行されているサービスに応じて、この書籍でそれらを"攻撃"するためのトリックを見つけることができます。
クライアントによって制御されていないIP内にホストされている場合があるため、スコープ外にある場合がありますので、注意してください。
バグバウンティのヒント: ハッカーによって作成されたプレミアムバグバウンティプラットフォームであるIntigritiにサインアップしてください!今すぐhttps://go.intigriti.com/hacktricksに参加して、最大**$100,000**のバウンティを獲得し始めましょう!
{% embed url="https://go.intigriti.com/hacktricks" %}
サブドメイン
スコープ内のすべての企業、各企業のすべてのアセット、および企業に関連するすべてのドメインを知っています。
見つかった各ドメインのすべての可能なサブドメインを見つける時が来ました。
{% hint style="success" %} ドメインを見つけるための一部のツールやテクニックは、サブドメインを見つけるのにも役立つ場合があります! {% endhint %}
DNS
DNSレコードからサブドメインを取得しましょう。ゾーン転送も試してみるべきです(脆弱であれば報告する必要があります)。
dnsrecon -a -d tesla.com
OSINT
大量のサブドメインを取得する最速の方法は、外部ソースで検索することです。最もよく使用されるツールは以下のものです(より良い結果を得るためには、APIキーを設定してください):
# subdomains
bbot -t tesla.com -f subdomain-enum
# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive
# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"
次のような、サブドメインを直接的に特定することに特化していないが、サブドメインを見つけるのに役立つ他の興味深いツール/APIがあります:
- Crobat: サブドメインを取得するためにAPI https://sonar.omnisint.io を使用
# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"
curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"
- RapidDNS 無料API
# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com
# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
- gau: 特定のドメインからAlienVaultのOpen Threat Exchange、Wayback Machine、Common Crawlに既知のURLを取得します。
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u
- SubDomainizer & subscraper: 彼らはWebをスクレイピングし、JSファイルを探し、その中からサブドメインを抽出します。
# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com
# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f
# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"
export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com
python3 DomainTrail.py -d example.com
- securitytrails.com はサブドメインやIP履歴を検索するための無料APIを提供しています
- chaos.projectdiscovery.io
このプロジェクトは、バグバウンティプログラムに関連するすべてのサブドメインを無料で提供しています。このデータには、chaospyを使用したり、このプロジェクトで使用されているスコープにアクセスすることもできます https://github.com/projectdiscovery/chaos-public-program-list
これらのツールの比較をこちらで見つけることができます: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off
DNSブルートフォース
可能なサブドメイン名を使用してDNSサーバーをブルートフォースし、新しいサブドメインを見つけてみましょう。
このアクションには、次のような一般的なサブドメインのワードリストが必要です:
- https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056
- https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt
- https://localdomain.pw/subdomain-bruteforce-list/all.txt.zip
- https://github.com/pentester-io/commonspeak
- https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS
さらに、信頼できるDNSリゾルバのIPアドレスも必要です。信頼できるDNSリゾルバのリストを生成するには、https://public-dns.info/nameservers-all.txt からリゾルバをダウンロードし、dnsvalidator を使用してフィルタリングします。または、https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt を使用することもできます。
DNSブルートフォースに最も推奨されるツールは次のとおりです:
- massdns: これは効果的なDNSブルートフォースを実行した最初のツールです。非常に高速ですが、誤検知しやすいです。
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
- gobuster: これは1つのリゾルバーを使用していると思います
gobuster dns -d mysite.com -t 50 -w subdomains.txt
- shuffledns は、
massdns
をラップしたもので、有効なサブドメインをアクティブなブルートフォースを使用して列挙し、ワイルドカード処理と簡単な入出力サポートを備えています。
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt
- puredns: それは
massdns
も使用しています。
puredns bruteforce all.txt domain.com
- aiodnsbruteは、非同期でドメイン名を総当たり攻撃するためにasyncioを使用します。
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com
第二のDNSブルートフォースラウンド
オープンソースとブルートフォースを使用してサブドメインを見つけた後、見つかったサブドメインの変更を生成してさらに見つけることができます。この目的にはいくつかのツールが役立ちます:
- dnsgen: ドメインとサブドメインを与えられた場合、順列を生成します。
cat subdomains.txt | dnsgen -
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
- gotator: ドメインとサブドメインが与えられた場合、順列を生成します。順列ファイルが指定されていない場合、gotator は独自のファイルを使用します。
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
- altdns: サブドメインの順列を生成するだけでなく、それらを解決しようともします(ただし、以前にコメントされたツールを使用する方が良いです)。
- altdnsの順列 ワードリスト はこちらで入手できます。
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
- dmut: サブドメインの順列、変異、および変更を実行する別のツール。このツールは結果を総当たり攻撃します(dnsワイルドカードはサポートされていません)。
- dmutの順列ワードリストはこちらで入手できます。
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
- alterx: ドメインに基づいて、指定されたパターンに基づいて新しい潜在的なサブドメイン名を生成し、より多くのサブドメインを発見しようとします。
スマートな順列生成
python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
- subzuf: subzuf は、極めてシンプルで効果的なDNS応答ガイドアルゴリズムと組み合わされたサブドメインブルートフォースファズツールです。特製のワードリストや過去のDNS/TLSレコードなどの入力データセットを使用して、より対応するドメイン名を正確に合成し、DNSスキャン中に収集された情報に基づいてさらにループで拡張します。
echo www | subzuf facebook.com
サブドメイン発見ワークフロー
このブログポストをチェックしてください。Trickestワークフローを使用してドメインからサブドメインの発見を自動化する方法について書いています。これにより、コンピュータで手動で多くのツールを起動する必要がありません。
{% embed url="https://trickest.com/blog/full-subdomain-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
{% embed url="https://trickest.com/blog/full-subdomain-brute-force-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
VHosts / バーチャルホスト
サブドメインに属する1つ以上のウェブページを含むIPアドレスを見つけた場合、そのIP内の他のサブドメインを見つけることができます。これは、IP内のドメインを検索するか、そのIP内のVHostドメイン名をブルートフォースで探すことによって行えます。
OSINT
HostHunter や他のAPIを使用して、IP内のVHostを見つけることができます。
ブルートフォース
Webサーバーにいくつかのサブドメインが隠されている可能性がある場合、それをブルートフォースで試すことができます。
ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"
gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt
wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100
#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"
#https://github.com/codingo/VHostScan
VHostScan -t example.com
{% hint style="info" %} このテクニックを使用すると、内部/非公開のエンドポイントにアクセスできるかもしれません。 {% endhint %}
CORS ブルートフォース
時々、有効なドメイン/サブドメインが Origin ヘッダーに設定されている場合にのみ Access-Control-Allow-Origin ヘッダーを返すページが見つかります。 これらのシナリオでは、この動作を悪用して、新しい サブドメイン を発見することができます。
ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body
バケツのブルートフォース
サブドメインを探している間に、それがどの種類のバケットを指しているかを確認し、その場合は権限をチェックしてください。
また、この時点でスコープ内のすべてのドメインを把握しているため、可能なバケット名をブルートフォースし、権限をチェックしてください。
モニタリング
ドメインの新しいサブドメインが作成されたかどうかをモニタリングすることができます。これは証明書透過性ログを監視するsublertが行います。
脆弱性の探索
可能なサブドメイン乗っ取りをチェックしてください。
サブドメインがS3バケットを指している場合は、権限をチェックしてください。
アセットの発見で見つけたIPとは異なるIPを持つサブドメインを見つけた場合、基本的な脆弱性スキャン(NessusまたはOpenVASを使用)とポートスキャン(nmap/masscan/shodanを使用)を実行する必要があります。実行中のサービスに応じて、この書籍でそれらを"攻撃"するためのヒントを見つけることができます。
サブドメインがクライアントによって制御されていないIP内にホストされている場合があるため、スコープ外にある可能性があることに注意してください。
IPs
初期段階でいくつかのIP範囲、ドメイン、およびサブドメインを見つけたかもしれません。
これらの範囲からすべてのIPと**ドメイン/サブドメイン(DNSクエリ)**を再収集する時がきました。
以下の無料APIを使用すると、ドメインとサブドメインで以前に使用されたIPを見つけることもできます。これらのIPはクライアントが所有している可能性があります(そしてCloudFlareのバイパスを見つけることができるかもしれません)
また、ツールhakip2hostを使用して特定のIPアドレスを指すドメインをチェックすることもできます。
脆弱性の探索
CDNに属さないすべてのIPにポートスキャンを実行してください(そこに興味深いものはほとんど見つからない可能性が高いです)。発見された実行中のサービスで脆弱性を見つけることができるかもしれません。
ホストをスキャンする方法についてのガイド を見つけてください。
Webサーバーの探索
すべての企業とその資産を見つけ、IP範囲、ドメイン、およびスコープ内のサブドメインを把握しています。Webサーバーを検索する時がきました。
前の手順でおそらくすでに発見されたIPとドメインの調査を実行しているかもしれませんので、すでに可能なすべてのWebサーバーを見つけているかもしれません。しかし、まだ見つけていない場合は、スコープ内のWebサーバーを検索するための迅速なトリックを見ていきます。
これはWebアプリの発見に向けられているため、スコープで許可されている場合は脆弱性とポートスキャンも実行する必要があります。
masscanを使用して関連するWebサーバーにオープンなポートを発見する迅速な方法はこちらにあります。
Webサーバーを探すためのもう1つの便利なツールはhttprobe、fprobe、およびhttpxです。ドメインのリストを渡すと、ポート80(http)および443(https)に接続しようとします。さらに、他のポートを試すよう指示することもできます。
cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443
スクリーンショット
スコープ内のすべてのWebサーバー(企業のIPアドレス、すべてのドメイン、サブドメインの中から)を発見したので、おそらくどこから始めればよいかわからないでしょう。ですので、単純にすべてのWebサーバーのスクリーンショットを撮影してみましょう。メインページを見るだけで、脆弱性を抱えやすい奇妙なエンドポイントを見つけることができます。
提案されたアイデアを実行するためには、EyeWitness、HttpScreenshot、Aquatone、Shutter、Gowitness、またはwebscreenshotを使用できます。
さらに、eyeballerを使用して、すべてのスクリーンショットを実行し、どこに脆弱性が含まれている可能性が高いか、含まれていないかを確認できます。
パブリッククラウド資産
企業に関連する潜在的なクラウド資産を見つけるには、その企業を識別するキーワードのリストから始める必要があります。たとえば、暗号通貨企業の場合、"crypto"、"wallet"、"dao"、"<domain_name>"、<"subdomain_names">などの単語を使用できます。
また、バケツで使用される一般的な単語のワードリストが必要です:
- https://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt
- https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt
- https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt
その単語を使用して、パーミュテーションを生成する必要があります(詳細はSecond Round DNS Brute-Forceを参照)。
生成されたワードリストを使用して、cloud_enum、CloudScraper、cloudlist、またはS3Scannerなどのツールを使用できます。
クラウド資産を探す際には、AWSのバケツだけでなく、他のものも探す必要があります。
脆弱性を探す
オープンなバケツや公開されたクラウド関数などのものを見つけた場合は、それらにアクセスして提供されるものを確認し、悪用できるかどうかを試してください。
メール
スコープ内のドメインとサブドメインがあれば、企業のメールアドレスを検索を開始するために必要なものがすべて揃っています。これらは私にとって最も効果的だった企業のメールアドレスを見つけるためのAPIとツールです:
- theHarvester - APIsを使用
- https://hunter.io/のAPI(無料版)
- https://app.snov.io/のAPI(無料版)
- https://minelead.io/のAPI(無料版)
脆弱性を探す
後でメールは、WebログインやSSHなどの認証サービスをブルートフォース攻撃するのに役立ちます。また、フィッシングには必要不可欠です。さらに、これらのAPIは、メールアドレスの背後にいる人物についてのさらなる情報を提供し、フィッシングキャンペーンに役立ちます。
資格情報の漏洩
ドメイン、サブドメイン、およびメールアドレスを使用して、過去に漏洩した資格情報を探すことができます:
脆弱性を探す
有効な漏洩した資格情報を見つけた場合、これは非常に簡単な勝利です。
シークレットの漏洩
資格情報の漏洩は、企業のハッキングに関連し、機密情報が漏洩され、販売されたものです。ただし、企業はそのデータベースにない情報が含まれている可能性のある他の漏洩にも影響を受けるかもしれません。
Githubの漏洩
資格情報やAPIが、企業の公開リポジトリやそのgithub企業の開発者によって公開される可能性があります。
Leakosツールを使用して、組織とその開発者のすべての公開リポジトリをダウンロードし、自動的にgitleaksを実行できます。
Leakosは、渡されたURLのすべてのテキストに対してgitleaksを再実行するために使用できます。なぜなら、ウェブページにもシークレットが含まれることがあるからです。
Github Dorks
攻撃対象の組織で検索する可能性のあるgithub dorksを見つけるために、このページもチェックしてください:
{% content-ref url="github-leaked-secrets.md" %} github-leaked-secrets.md {% endcontent-ref %}
ペーストの漏洩
攻撃者や単なる作業者が、企業のコンテンツをペーストサイトに公開することがあります。これには機密情報が含まれている可能性がありますが、含まれていない可能性もあります。
80以上のペーストサイトで検索するためにPastosツールを使用できます。
Google Dorks
古くからのGoogle Dorksは、そこにあってはならない情報を見つけるのに常に役立ちます。唯一の問題は、google-hacking-databaseには数千ものクエリが含まれており、手動で実行することはできないことです。したがって、お気に入りの10個を取得するか、Gorksのようなツールを使用してすべてを実行できます。
通常のGoogleブラウザを使用してデータベース全体を実行することを期待しているツールは、Googleがすぐにブロックするため、決して終了しません。
脆弱性を探す
有効な漏洩した資格情報やAPIトークンを見つけた場合、これは非常に簡単な勝利です。
パブリックコードの脆弱性
企業がオープンソースコードを持っていることがわかった場合、そのコードを分析して脆弱性を検索できます。
言語によって異なるツールがあります:
{% content-ref url="../../network-services-pentesting/pentesting-web/code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}
また、以下のような無料のサービスを使用してパブリックリポジトリをスキャンすることができます:
Webペンテスト手法
バグハンターによって見つかる脆弱性の大部分はWebアプリケーション内に存在するため、この時点でWebアプリケーションのテスト手法について話したいと思います。詳細はこちらで見つけることができます。
また、Web Automated Scannersオープンソースツールセクションに特別な言及をしたいと思います。非常に機密性の高い脆弱性を見つけることは期待できないかもしれませんが、ワークフローに実装して初期のWeb情報を得るのに役立ちます。
要約
おめでとうございます!この時点で、すでにすべての基本的な列挙を行っています。はい、基本的なものですが、さらに多くの列挙ができます(後でさらなるトリックを見ていきます)。
したがって、すでに次のことを行っています:
- スコープ内のすべての企業を見つけました
- 企業に属するすべての資産を見つけました(スコープ内の場合は脆弱性スキャンも実行)
- 企業に属するすべてのドメインを見つけました
- ドメインのすべてのサブドメインを見つけました(サブドメインの乗っ取りはありましたか?)
- スコープ内のCDNからでないIPを含むすべてのIPを見つけました
- すべてのWebサーバーを見つけ、スクリーンショットを取りました(深く調査する価値のある奇妙なものはありますか?)
- 企業に属する潜在的なパブリッククラウド資産をすべて見つけました
- 簡単に大きな勝利をもたらす可能性のある メール、資格情報の漏洩、およびシークレットの漏洩を見つけました
- 見つけたすべてのWebをペンテストしました
完全なRecon自動ツール
与えられたスコープに対して提案されたアクションの一部を実行するいくつかのツールがあります。
- https://github.com/yogeshojha/rengine
- https://github.com/j3ssie/Osmedeus
- https://github.com/six2dez/reconftw
- https://github.com/hackerspider1/EchoPwn - 少し古く、更新されていません
参考文献
ハッキングキャリアに興味がある方や、解読不能なものをハックしたい方 - 採用中です!(流暢なポーランド語の読み書きが必要です)。
{% embed url="https://www.stmcyber.com/careers" %}
**htARTE(HackTricks AWS Red Team Expert)**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合や、HackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksグッズを入手してください
- The PEASS Familyを発見し、独占的なNFTsコレクションを見つけてください
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出することで、あなたのハッキングトリックを共有してください。