Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 22:52:06 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/external-recon-methodology
History
Translator cfceec139e Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat
2024-03-17 16:40:00 +00:00
..
github-leaked-secrets.md Translated to Swahili 2024-02-11 02:13:58 +00:00
README.md Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 16:40:00 +00:00
wide-source-code-search.md Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:40:07 +00:00

README.md

Mbinu ya Uchunguzi wa Nje

Jifunze AWS hacking kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyodukuzika - tunakupa kazi! (inahitajika uwezo wa kuandika na kuzungumza Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Ugunduzi wa Mali

Kwa hivyo uliambiwa kwamba kila kitu kinachomilikiwa na kampuni fulani kipo ndani ya wigo, na unataka kugundua kile kampuni hii kwa kweli inamiliki.

Lengo la hatua hii ni kupata kampuni zote zinazomilikiwa na kampuni kuu na kisha mali zote za kampuni hizi. Ili kufanya hivyo, tutafanya yafuatayo:

  1. Tafuta ununuzi wa kampuni kuu, hii itatupa kampuni zilizo ndani ya wigo.
  2. Tafuta ASN (ikiwapo ipo) ya kila kampuni, hii itatupa safu za IP zinazomilikiwa na kila kampuni.
  3. Tumia utafutaji wa whois uliorejeshwa kutafuta kuingia nyingine (majina ya shirika, uwanja...) unaohusiana na la kwanza (hii inaweza kufanywa kwa njia ya kurudia).
  4. Tumia mbinu nyingine kama shodan orgna sslfilters kutafuta mali zingine (mbinu ya ssl inaweza kufanywa kwa njia ya kurudia).

Ununuzi

Kwanza kabisa, tunahitaji kujua ni kampuni gani nyingine inamilikiwa na kampuni kuu.
Chaguo moja ni kutembelea https://www.crunchbase.com/, tafuta kampuni kuu, na bonyeza "ununuzi". Huko utaona kampuni zingine zilizonunuliwa na ile kuu.
Chaguo lingine ni kutembelea ukurasa wa Wikipedia wa kampuni kuu na kutafuta ununuzi.

Vizuri, kufikia hatua hii unapaswa kujua kampuni zote zilizo ndani ya wigo. Hebu tujaribu kugundua jinsi ya kupata mali zao.

ASNs

Namba ya mfumo huru (ASN) ni namba ya kipekee iliyoandaliwa kwa mfumo huru (AS) na Mamlaka ya Namba za Mtandao wa Mtandao (IANA).
AS inajumuisha vifungu vya anwani za IP ambazo zina sera iliyowekwa wazi kwa kupata mitandao ya nje na inasimamiwa na shirika moja lakini inaweza kuundwa na waendeshaji kadhaa.

Ni muhimu kujua ikiwa kampuni imewekewa ASN yoyote ili kupata safu zake za IP. Itakuwa muhimu kufanya jaribio la udhaifu dhidi ya mashine zote ndani ya wigo na kutafuta uwanja ndani ya IP hizi.
Unaweza kutafuta kwa jina la kampuni, kwa IP au kwa uwanja kwenye https://bgp.he.net/.
Kulingana na eneo la kampuni viungo hivi vinaweza kuwa vya manufaa kukusanya data zaidi: AFRINIC (Afrika), Arin(Amerika Kaskazini), APNIC (Asia), LACNIC (Amerika ya Kilatini), RIPE NCC (Ulaya). Hata hivyo, labda taarifa zote muhimu (safu za IP na Whois) tayari zinaonekana kwenye kiungo cha kwanza.

#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161

Pia, uchambuzi wa subdomain wa BBOT hukusanya na kutoa muhtasari wa ASNs mwishoni mwa uchunguzi.

bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24      | 5            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509  | 54.148.0.0/15       | 4            | AMAZON-02      | Amazon.com, Inc.           | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24       | 3            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.32.0.0/12         | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.0.0.0/9           | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+

Unaweza kupata safu za IP za shirika pia kwa kutumia http://asnlookup.com/ (ina API ya bure).
Unaweza kupata IP na ASN ya kikoa kwa kutumia http://ipv4info.com/.

Kutafuta Udhaifu

Kufikia hatua hii tunajua mali zote ndani ya eneo la kuzingatia, hivyo ikiwa unaruhusiwa unaweza kuzindua baadhi ya skana za udhaifu (Nessus, OpenVAS) kwenye mwenyeji wote.
Pia, unaweza kuzindua baadhi ya skani za bandari au kutumia huduma kama shodan kupata bandari zilizofunguliwa na kulingana na unachopata unapaswa kutazama kitabu hiki jinsi ya kupima usalama wa huduma kadhaa zinazofanya kazi.
Pia, inaweza kuwa muhimu kutaja kwamba unaweza pia kuandaa baadhi ya majina ya mtumiaji ya msingi na nywila na kujaribu kuvunja nguvu huduma na https://github.com/x90skysn3k/brutespray.

Viko

Tunajua makampuni yote ndani ya eneo la kuzingatia na mali zao, ni wakati wa kupata viko ndani ya eneo la kuzingatia.

Tafadhali, elewa kwamba katika mbinu zilizopendekezwa zifuatazo unaweza pia kupata viko vya pili na habari hiyo isipaswi kupuuzwa.

Kwanza kabisa unapaswa kutafuta viko kuu vya kila kampuni. Kwa mfano, kwa Tesla Inc. itakuwa tesla.com.

DNS ya Nyuma

Baada ya kupata safu zote za IP za viko unaweza kujaribu kufanya utafutaji wa DNS ya nyuma kwenye IP hizo ili kupata viko zaidi ndani ya eneo la kuzingatia. Jaribu kutumia seva fulani ya dns ya mwathiriwa au seva ya dns inayojulikana (1.1.1.1, 8.8.8.8)

dnsrecon -r <DNS Range> -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns

Ili hii ifanye kazi, msimamizi lazima awezeshe PTR kwa mkono.
Unaweza pia kutumia chombo mtandaoni kwa habari hii: http://ptrarchive.com/

Reverse Whois (mzunguko)

Ndani ya whois unaweza kupata habari nyingi za kuvutia kama jina la shirika, anwani, barua pepe, namba za simu... Lakini jambo linalovutia zaidi ni kwamba unaweza kupata mali zaidi zinazohusiana na kampuni ikiwa utafanya utafutaji wa reverse whois kwa kutumia mojawapo ya hizo taarifa (kwa mfano, mirejesho mingine ya whois ambapo anwani ya barua pepe inaonekana).
Unaweza kutumia zana mtandaoni kama:

Unaweza kiotomatiki kazi hii kutumia DomLink (inahitaji ufunguo wa API ya whoxy).
Unaweza pia kufanya ugunduzi wa reverse whois kiotomatiki na amass: amass intel -d tesla.com -whois

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya kikoa kila unapopata kikoa kipya.

Trackers

Ikiwa unapata kitambulisho sawa cha kufuatilia sawa kwenye kurasa 2 tofauti unaweza kudhani kwamba kurasa zote zinasimamiwa na timu ile ile.
Kwa mfano, ikiwa unaona kitambulisho sawa cha Google Analytics au kitambulisho sawa cha Adsense kwenye kurasa kadhaa.

Kuna kurasa na zana zinazoruhusu utafutaji kwa kutumia hizi trackers na zaidi:

Favicon

Je! Ulijua kwamba tunaweza kupata kikoa na subdomains zinazohusiana na lengo letu kwa kutafuta hash sawa ya alama ya favicon? Hii ndio hasa kazi ya chombo cha favihash.py kilichotengenezwa na @m4ll0k2. Hivi ndivyo unavyoweza kutumia:

cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

favihash - Pata uwanja wenye alama sawa ya favicon icon hash

Kwa maneno rahisi, favihash itaturuhusu kupata uwanja ambao una alama sawa ya favicon icon hash kama lengo letu.

Zaidi ya hayo, unaweza pia kutafuta teknolojia kwa kutumia favicon hash kama ilivyoelezwa katika chapisho hili la blogi. Hii inamaanisha kwamba ikiwa unajua hash ya favicon ya toleo lenye kasoro la teknolojia ya wavuti unaweza kutafuta ikiwa ipo kwenye shodan na kupata maeneo zaidi yenye kasoro:

shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'

Hivi ndivyo unavyoweza kukadiria hash ya favicon ya wavuti:

import mmh3
import requests
import codecs

def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash

Haki miliki / Uniq string

Tafuta ndani ya kurasa za wavuti maneno ambayo yanaweza kushirikishwa kati ya wavuti tofauti katika shirika moja. Uniq string inaweza kuwa mfano mzuri. Kisha tafuta neno hilo katika google, katika vibonyezo vingine au hata katika shodan: shodan search http.html:"Uniq string"

Muda wa CRT

Ni kawaida kuwa na kazi ya cron kama vile

# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"

Uchukuzi wa Kimya

Inavyoonekana ni kawaida kwa watu kuweka subdomains kwa IPs zinazomilikiwa na watoa huduma wa wingu na wakati mwingine kupoteza anwani hiyo ya IP lakini kusahau kuondoa rekodi ya DNS. Kwa hiyo, tu kuzindua VM katika wingu (kama Digital Ocean) utakuwa ukichukua baadhi ya subdomains.

Chapisho hili linaelezea kuhusu hilo na kupendekeza script ambayo inazindua VM katika DigitalOcean, inapata anwani ya IPv4 ya mashine mpya, na kutafuta kwenye Virustotal rekodi za subdomain zinazoashiria hiyo.

Njia Nyingine

Tambua kwamba unaweza kutumia mbinu hii kugundua majina zaidi ya uwanja kila wakati unapopata uwanja mpya.

Shodan

Kama tayari unajua jina la shirika linalomiliki nafasi ya IP. Unaweza kutafuta kwa data hiyo kwenye shodan ukitumia: org:"Tesla, Inc." Angalia mwenyeji waliopatikana kwa ajili ya uwanja mpya usiotarajiwa kwenye cheti cha TLS.

Unaweza kupata cheti cha TLS cha ukurasa wa wavuti kuu, kupata jina la Shirika na kisha kutafuta jina hilo ndani ya cheti za TLS za kurasa zote za wavuti zinazojulikana na shodan kwa kutumia kichujio: ssl:"Tesla Motors" au tumia chombo kama sslsearch.

Assetfinder

Assetfinder ni chombo kinachotafuta uwanja unaohusiana na uwanja wa msingi na subdomains zao, ni nzuri sana.

Kutafuta Udhaifu

Angalia kwa uchukuzi wa uwanja. Labda kuna kampuni ina tumia uwanja lakini imepoteza umiliki. Jiandikishe (ikiwa ni rahisi) na ujulishe kampuni.

Kama utapata uwanja na IP tofauti na zile ulizozipata tayari katika ugunduzi wa mali, unapaswa kufanya uchunguzi wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na uchunguzi wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Taarifa kwamba mara nyingine uwanja unahifadhiwa ndani ya IP ambayo haikodolewi na mteja, hivyo sio sehemu ya kuchunguza, kuwa mwangalifu.


Mbinu ya tuzo ya mdudu: jiandikishe kwa Intigriti, jukwaa la tuzo za mdudu la malipo lililoundwa na wadukuzi, kwa ajili ya wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Subdomains

Tunajua makampuni yote ndani ya wigo, mali zote za kila kampuni na mali zote zinazohusiana na makampuni.

Ni wakati wa kupata subdomains zote zinazowezekana za kila uwanja uliopatikana.

DNS

Hebu jaribu kupata subdomains kutoka kwa rekodi za DNS. Pia jaribu kwa Uhamishaji wa Eneo (ikiwa ina kasoro, unapaswa kuripoti).

dnsrecon -a -d tesla.com

OSINT

Njia ya haraka ya kupata idadi kubwa ya subdomains ni kutafuta katika vyanzo vya nje. Zana zinazotumiwa sana ni zifuatazo (kwa matokeo bora configure funguo za API):

# subdomains
bbot -t tesla.com -f subdomain-enum

# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive

# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .

amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains

# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]

# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]

python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run

assetfinder --subs-only <domain>

# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com

vita -d tesla.com

theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"

Kuna zana/API nyingine za kuvutia ambazo ingawa sio maalum moja kwa moja katika kupata subdomains zinaweza kuwa na manufaa katika kupata subdomains, kama:

# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"

curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"

# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com

# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
  • gau: inapata URL zinazojulikana kutoka kwa AlienVault's Open Threat Exchange, Wayback Machine, na Common Crawl kwa kikoa chochote kilichotolewa.
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u

# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com

# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f

# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"

export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com

python3 DomainTrail.py -d example.com

Mradi huu unatoa bure subdomains zote zinazohusiana na programu za bug-bounty. Unaweza kupata data hii pia kwa kutumia chaospy au hata kupata eneo linalotumiwa na mradi huu https://github.com/projectdiscovery/chaos-public-program-list

Unaweza kupata ulinganifu wa zana nyingi hapa: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off

DNS Brute force

Hebu jaribu kupata subdomains mpya kwa kufanya nguvu ya DNS kwa kutumia majina ya subdomains yanayowezekana.

Kwa hatua hii utahitaji baadhi ya orodha za maneno ya kawaida ya subdomains kama:

Na pia IPs za watoa huduma bora za DNS. Ili kuzalisha orodha ya watoa huduma za DNS za kuaminika unaweza kupakua watoa huduma kutoka https://public-dns.info/nameservers-all.txt na kutumia dnsvalidator kuzifuta. Au unaweza kutumia: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt

Zana zilizopendekezwa zaidi kwa nguvu ya DNS ni:

  • massdns: Hii ilikuwa zana ya kwanza iliyofanya nguvu ya DNS kwa ufanisi. Ni haraka sana hata hivyo inaweza kuwa na matokeo sahihi ya uwongo.
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
  • gobuster: Hii nadhani inatumia 1 resolver
gobuster dns -d mysite.com -t 50 -w subdomains.txt
  • shuffledns ni kifuniko cha massdns, kilichoandikwa kwa lugha ya go, kinachokuwezesha kutambua anwani sahihi za subdomains kwa kutumia nguvu ya bruteforce, pamoja na kutatua subdomains na usindikaji rahisi wa pembejeo-na-pato.
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt

puredns bruteforce all.txt domain.com
  • aiodnsbrute hutumia asyncio kuvunja majina ya uwanja kwa njia isiyo ya moja kwa moja.
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com

Raundi ya Pili ya Kudukua DNS kwa Nguvu

Baada ya kupata subdomains kwa kutumia vyanzo vya wazi na kudukua kwa nguvu, unaweza kuzalisha mabadiliko ya subdomains zilizopatikana kujaribu kupata zaidi. Zana kadhaa ni muhimu kwa lengo hili:

  • dnsgen: Ikitolewa na kikoa na subdomains huzalisha mabadiliko.
cat subdomains.txt | dnsgen -
  • goaltdns: Kutoa mizunguko kwa kutumia uwanja na subdomains.
  • Unaweza kupata mizunguko ya goaltdns wordlist hapa.
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
  • gotator: Kutoa uga na vikoa vya pili kwa kutengeneza mchanganyiko. Ikiwa hakuna faili ya mchanganyiko inaonyeshwa, gotator itatumia yake mwenyewe.
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]

altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
  • dmut: Zana nyingine ya kufanya mabadiliko, mabadiliko na ubadilishaji wa subdomains. Zana hii itafanya nguvu ya matokeo (haitoi msaada wa dns wild card).
  • Unaweza kupata orodha ya maneno ya dmut permutations hapa.
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
  • alterx: Kulingana na kikoa inazalisha majina mapya ya subdomains yanayowezekana kulingana na mifano iliyotajwa kujaribu kugundua subdomains zaidi.

Uzalishaji wa permutesheni za akili

  • regulator: Kwa habari zaidi soma hii chapisho lakini kimsingi itapata sehemu kuu kutoka kwa subdomains zilizogunduliwa na kuzichanganya ili kupata subdomains zaidi.
python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
  • subzuf: subzuf ni programu inayotumika kuvumbua subdomain kwa kutumia algorithm ya DNS iliyoundwa kwa njia rahisi lakini yenye ufanisi mkubwa. Inatumia seti ya data ya kuingiza, kama orodha iliyoboreshwa ya maneno au rekodi za DNS/TLS za kihistoria, kusawazisha majina zaidi ya kikoa kinachohusiana na kupanua zaidi kwa msingi wa mzunguko uliokusanywa wakati wa uchunguzi wa DNS.
echo www | subzuf facebook.com

Mchakato wa Kugundua Subdomain

Angalia chapisho la blogi nililoandika kuhusu jinsi ya kutumia mchakato wa Trickest kiotomatiki kugundua subdomain kutoka kwa kikoa ili nisiitaji kuzindua zana nyingi kwa mkono kwenye kompyuta yangu:

{% embed url="https://trickest.com/blog/full-subdomain-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

{% embed url="https://trickest.com/blog/full-subdomain-brute-force-discovery-using-workflow/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

VHosts / Wenyeji Bandia

Ikiwa umepata anwani ya IP inayohusisha ukurasa mmoja au zaidi wa wavuti unaomilikiwa na subdomains, unaweza kujaribu kupata subdomains zingine zenye wavuti kwenye IP hiyo kwa kutazama vyanzo vya OSINT kwa uwanja wa IP au kwa kufanya nguvu ya kutumia majina ya kikoa cha VHost kwenye IP hiyo.

OSINT

Unaweza kupata VHosts kwenye IPs kwa kutumia HostHunter au APIs nyingine.

Nguvu ya Kutumia

Ikiwa una shaka kwamba subdomain fulani inaweza kuwa imefichwa kwenye seva ya wavuti unaweza kujaribu kuita kwa nguvu:

ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"

gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt

wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100

#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"

#https://github.com/codingo/VHostScan
VHostScan -t example.com

{% hint style="info" %} Kwa kutumia mbinu hii, unaweza hata kupata ufikiaji wa vituo vya ndani/vilivyofichwa. {% endhint %}

CORS Brute Force

Wakati mwingine utakutana na kurasa ambazo hurudisha kichwa cha Access-Control-Allow-Origin pekee wakati kikoa/kidogo cha kikoa halali kimewekwa kwenye kichwa cha Origin. Katika hali hizi, unaweza kutumia tabia hii kugundua kidogo cha kikoa kipya.

ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body

Kikosi cha Kuvunja Nguvu

Wakati unatafuta subdomains, angalia kuona ikiwa inaelekeza kwa aina yoyote ya bucket, na katika kesi hiyo angalia ruhusa.
Pia, kwa wakati huu utajua uwanja wote ndani ya wigo, jaribu kuvunja nguvu majina ya bucket yanayowezekana na angalia ruhusa.

Ufuatiliaji

Unaweza kufuatilia ikiwa subdomains mpya ya uwanja unatengenezwa kwa kufuatilia Certificate Transparency Logs sublert inavyofanya.

Kutafuta Ubaguzi

Angalia kwa uchukuzi wa subdomain unaowezekana.
Ikiwa subdomain inaelekeza kwa bucket ya S3, angalia ruhusa.

Ikiwa unapata subdomain na anwani ya IP tofauti na zile ulizopata tayari katika ugunduzi wa mali, unapaswa kufanya uchunguzi wa msingi wa udhaifu (ukitumia Nessus au OpenVAS) na uchunguzi wa bandari na nmap/masscan/shodan. Kulingana na huduma zipi zinazoendeshwa unaweza kupata katika kitabu hiki mbinu za "kuishambulia".
Taarifa kwamba mara nyingine subdomain inahifadhiwa ndani ya anwani ya IP ambayo haikudhibitiwa na mteja, hivyo sio katika wigo, kuwa mwangalifu.

Anwani za IP

Katika hatua za awali unaweza kuwa umepata aina fulani za anwani za IP, uwanja na subdomains.
Ni wakati wa kukusanya upya anwani zote za IP kutoka kwa hizo anwani na kwa uwanja/subdomains (mipangilio ya DNS).

Kwa kutumia huduma kutoka apis za bure zifuatazo unaweza pia kupata anwani za IP zilizotumiwa hapo awali na uwanja na subdomains. Anwani hizi za IP bado zinaweza kuwa mali ya mteja (na inaweza kukuruhusu kupata njia za kuzunguka CloudFlare)

Unaweza pia kuangalia uwanja unaoelekeza kwa anwani fulani ya IP kwa kutumia zana hakip2host

Kutafuta Ubaguzi

Chunguza bandari zote za IP ambazo sio za CDNs (kwa sababu kuna uwezekano mkubwa hautapata kitu cha kuvutia hapo). Katika huduma zinazoendeshwa zilizogunduliwa unaweza kupata udhaifu.

Pata mwongozo kuhusu jinsi ya kuchunguza mwenyeji.

Uwindaji wa Seva za Wavuti

Tumeona makampuni yote na mali zao na tunajua aina za anwani za IP, uwanja na subdomains ndani ya wigo. Ni wakati wa kutafuta seva za wavuti.

Katika hatua za awali labda tayari umefanya uchunguzi wa IPs na uwanja uliogunduliwa, hivyo unaweza kuwa tayari umepata seva zote za wavuti zinazowezekana. Hata hivyo, ikiwa hujafanya hivyo sasa tutatazama mbinu za haraka za kutafuta seva za wavuti ndani ya wigo.

Tafadhali, kumbuka kuwa hii itakuwa ilielekezwa kwa ugunduzi wa programu za wavuti, hivyo unapaswa kufanya uchunguzi wa udhaifu na uchunguzi wa bandari pia (ikiwa kuruhusiwa na wigo).

Mbinu ya haraka ya kugundua bandari zilizofunguliwa zinazohusiana na seva za wavuti kwa kutumia masscan inaweza kupatikana hapa.
Zana nyingine rafiki ya kutafuta seva za wavuti ni httprobe, fprobe na httpx. Unaweza kupeleka orodha ya uwanja na itajaribu kuunganisha kwenye bandari 80 (http) na 443 (https). Kwa kuongezea, unaweza kuonyesha kujaribu bandari nyingine:

cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443

Maelezo ya Skrini

Sasa baada ya kugundua seva zote za wavuti zilizopo katika eneo la tazama (miongoni mwa IPs za kampuni na domaini zote na subdomaini) labda hujui pa kuanzia. Kwa hivyo, hebu tufanye iwe rahisi na tuanze kwa kuchukua viwambo tu vya vyote hivyo. Kwa kuangalia tu ukurasa wa kuu unaweza kupata malengo ya ajabu ambayo ni zaidi ya kuwa hatarini.

Ili kutekeleza wazo lililopendekezwa unaweza kutumia EyeWitness, HttpScreenshot, Aquatone, Shutter au webscreenshot.

Zaidi ya hayo, unaweza kutumia eyeballer kufanya ukaguzi wa viwambo vyote ili kukwambia ni nini kinachoweza kuwa na mapungufu, na ni nini siyo.

Mali za Wingu za Umma

Ili kupata mali za wingu za kampuni unapaswa kuanza na orodha ya maneno muhimu yanayotambulisha kampuni hiyo. Kwa mfano, kwa kampuni ya crypto unaweza kutumia maneno kama: "crypto", "mkoba", "dao", "<jina_la_kikoa>", <"majina_ya_subdomaini">.

Pia utahitaji orodha za maneno ya kawaida yanayotumiwa katika vikapu:

Kisha, kwa maneno hayo unapaswa kuzalisha permutations (angalia Raundi ya Pili ya Kufanya Nguvu ya DNS kwa maelezo zaidi).

Kwa orodha za maneno zilizopatikana unaweza kutumia zana kama cloud_enum, CloudScraper, cloudlist au S3Scanner.

Kumbuka kwamba unapotafuta Mali za Wingu unapaswa kutafuta zaidi ya vikapu tu katika AWS.

Kutafuta Mapungufu

Ikiwa unakuta mambo kama vikapu vya wazi au kazi za wingu zilizofichuliwa unapaswa kuzifikia na jaribu kuona wanakupa nini na ikiwa unaweza kuzitumia vibaya.

Barua pepe

Kwa domaini na subdomaini ndani ya eneo la tazama kimsingi una kila kitu unachohitaji kuanza kutafuta barua pepe. Hizi ni APIs na zana ambazo zimefanya kazi vizuri kwangu kupata barua pepe ya kampuni:

Kutafuta Mapungufu

Barua pepe zitakuja muhimu baadaye kwa kufanya nguvu za bruteforce za kuingia kwenye wavuti na huduma za uthibitishaji (kama vile SSH). Pia, zinahitajika kwa phishing. Zaidi ya hayo, APIs hizi zitakupa hata habari zaidi kuhusu mtu nyuma ya barua pepe, ambayo ni muhimu kwa kampeni ya phishing.

Kuvuja kwa Anwani za Barua pepe

Kwa domaini, subdomaini, na barua pepe unaweza kuanza kutafuta vibali vilivyovuja hapo awali vinavyomilikiwa na barua pepe hizo:

Kutafuta Mapungufu

Ikiwa unakuta vibali vilivyovuja vilivyothibitishwa, hii ni ushindi rahisi sana.

Kuvuja kwa Siri

Kuvuja kwa vibali kunahusiana na kuvuja kwa kampuni ambapo habari nyeti ilivuja na kuuzwa. Walakini, kampuni zinaweza kuathiriwa na uvujaji mwingine ambao habari yake haipo katika hizo database:

Kuvuja kwa Github

Vibali na APIs zinaweza kuvuja katika makusanyo ya umma ya kampuni au ya watumiaji wanaofanya kazi na kampuni hiyo ya github.
Unaweza kutumia zana Leakos kwa kupakua makusanyo yote ya umma ya shirika na ya wabunifu wake na kukimbia gitleaks juu yao kiotomatiki.

Leakos inaweza pia kutumika kukimbia gitleaks tena kwenye maandishi yote yaliyotolewa URL zilizopitishwa kwake kwa sababu mara nyingi kurasa za wavuti pia zina siri.

Dorks za Github

Angalia pia ukurasa huu kwa dorks za github za uwezekano ambazo unaweza pia kutafuta katika shirika unaloshambulia:

{% content-ref url="github-leaked-secrets.md" %} github-leaked-secrets.md {% endcontent-ref %}

Kuvuja kwa Paste

Marafiki wa mashambulizi au wafanyikazi wataweza kuchapisha yaliyomo ya kampuni kwenye tovuti ya kubandika. Hii inaweza au isiyoweza kuwa na habari nyeti, lakini ni ya kuvutia sana kutafuta.
Unaweza kutumia zana Pastos kutafuta katika zaidi ya tovuti 80 za kubandika kwa wakati mmoja.

Dorks za Google

Dorks za zamani lakini dhahabu daima ni muhimu kwa kutafuta habari zilizofichuliwa ambazo hazipaswi kuwepo. Tatizo pekee ni kwamba google-hacking-database ina maelfu ya matakwa yanayowezekana ambayo huwezi kukimbia kwa mikono. Kwa hivyo, unaweza kupata zako 10 zinazopendwa au unaweza kutumia zana kama Gorks kuzikimbia zote.

Taarifa kwamba zana zinazotarajiwa kukimbia database nzima kwa kutumia kivinjari cha kawaida cha Google hazitamaliza kamwe kwani google atakuzuia haraka sana.

Kutafuta Mapungufu

Ikiwa unakuta vibali vilivyovuja au vitambulisho vya API vilivyovuja, hii ni ushindi rahisi sana.

Mapungufu ya Kodi ya Umma

Ikiwa umegundua kuwa kampuni ina msimbo wa chanzo wazi unaweza kuuangalia na kutafuta mapungufu ndani yake.

Kulingana na lugha kuna zana tofauti unazoweza kutumia:

{% content-ref url="../../network-services-pentesting/pentesting-web/code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}

Pia kuna huduma za bure zinazokuwezesha kutafuta makusanyo ya umma, kama vile:

Mbinu ya Kupima Usalama wa Wavuti

Ukubwa wa kasoro zilizopatikana na wawindaji wa makosa zinapatikana ndani ya maombi ya wavuti, kwa hivyo kwa sasa ningependa kuzungumzia mbinu ya kupima maombi ya wavuti, na unaweza kupata habari hapa.

Pia ningependa kufanya marejeleo maalum kwa sehemu ya Zana za chanzo wazi za Uchunguzi wa Wavuti zilizohakikiwa, kwani, ingawa hutegemei kupata kasoro zenye hisia sana, zinaweza kusaidia kutekeleza kwenye mifumo ya kazi ili kupata habari ya awali ya wavuti.

Muhtasari

Hongera! Kufikia hatua hii tayari umefanya uchunguzi wa msingi wote. Ndiyo, ni msingi kwa sababu uchunguzi mwingi zaidi unaweza kufanywa (tutaona mbinu zaidi baadaye).

Kwa hivyo tayari umefanya yafuatayo:

  1. Kupata makampuni yote ndani ya eneo la kuchunguza
  2. Kupata mali zote zinazomilikiwa na makampuni (na kufanya uchunguzi wa kasoro ikiwa ni sehemu ya eneo la kuchunguza)
  3. Kupata kikoa zote zinazomilikiwa na makampuni
  4. Kupata subdomain zote za vikoa (kuna uwezekano wa kuchukua subdomain?)
  5. Kupata IPs zote (kutoka na sio kutoka kwa CDNs) ndani ya eneo la kuchunguza.
  6. Kupata seva za wavuti zote na kuchukua picha ya skrini yao (kuna kitu cha ajabu kinachostahili uchunguzi zaidi?)
  7. Kupata mali zote za wingu la umma zinazomilikiwa na kampuni.
  8. Barua pepe, vuja vya siri, na vuja vya siri ambavyo vinaweza kukupa ushindi mkubwa kwa urahisi sana.
  9. Kupima usalama wa wavuti zote ulizopata

Zana za Kiotomatiki za Uchunguzi Kamili

Kuna zana kadhaa huko nje ambazo zitafanya sehemu ya hatua zilizopendekezwa dhidi ya eneo lililopewa.

Vyanzo

Ikiwa una nia ya kazi ya udukuzi na kudukua yasiyodukuzika - tunakupa kazi! (inahitajika uwezo wa kuandika na kuzungumza Kipolishi kwa ufasaha).

{% embed url="https://www.stmcyber.com/careers" %}

Jifunze udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks: