У цій статті ви знайдете детальне розслідування зв’язків та діяльності приватної військової компанії.
992 
Ви дізнаєтеся про методологію зовнішньої розвідки, яка є ключовим аспектом у процесі пентестингу та кібербезпеки. Також докладно розгляднемо різні етапи та методи, які допомагають дослідникам безпеки та пентестерам ідентифікувати та аналізувати активи (assets) та ресурси, що належать цільовій організації або компанії.
Отже, вам сказали, що все, що належить якійсь компанії, знаходиться в межах, і ви хочете з’ясувати, чим насправді володіє ця компанія. Метою цього етапу є отримання всіх компаній, що належать головній компанії , а потім усіх активів цих компаній.
Для цього ми збираємося:
Знайдіть придбання головної компанії, це дасть нам компанії в межах області.
Знайдіть ASN (якщо є) кожної компанії, це дасть нам діапазони IP-адрес, що належать кожній компанії
Використовуйте зворотний пошук whois для пошуку інших записів (назви організацій, доменів…), пов’язаних із першим (це можна зробити рекурсивно)
Використовуйте інші методи, такі як шодан orgі sslфільтри, щоб шукати інші ресурси (цей sslтрюк можна виконати рекурсивно).
Перш за все, нам потрібно знати, які ще компанії належать головній компанії . Один із варіантів – відвідати https://www.crunchbase.com/ , знайти головну компанію та натиснути « придбання ». Там ви побачите інші компанії, придбані основною. Інший варіант – відвідати сторінку головної компанії у Вікіпедії та знайти придбання .
Гаразд, на цьому етапі ви повинні знати всі компанії, які входять до сфери дії. Давайте розберемося, як знайти їхні активи.
Номер автономної системи ( ASN ) — це унікальний номер , який призначає автономній системі (AS) Орган з присвоєння номерів Інтернету (IANA) . AS складається з блоків IP -адрес , які мають чітко визначену політику доступу до зовнішніх мереж і адмініструються однією організацією , але можуть складатися з кількох операторів.
Цікаво дізнатися, чи призначила компанія будь-який ASN для пошуку діапазонів своїх IP-адрес. Буде цікаво провести тест на вразливість для всіх хостів у межах області та пошукати домени в цих IP-адресах. Ви можете здійснювати пошук за назвою компанії , IP -адресою або доменом на сторінці https://bgp.he.net/ . Залежно від регіону компанії, ці посилання можуть бути корисними для збору додаткових даних: AFRINIC (Африка), Arin (Північна Америка), APNIC (Азія), LACNIC (Латинська Америка), RIPE NCC (Європа). У всякому разі, напевно, вся корисна інформація (діапазони IP і Whois) з’являється вже в першому посиланні.
#You can try "automate" this with amass, but it's not very recommended amass intel -org tesla amass intel -asn 8911,50313,394161
Крім того, перелік субдоменів BBOT автоматично агрегує та узагальнює ASN наприкінці сканування.
bbot -t tesla.com -f subdomain-enum ... [INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+ [INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24 | 5 | TESLA | Tesla Motors, Inc. | US | [INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+ [INFO] bbot.modules.asn: | AS16509 | 54.148.0.0/15 | 4 | AMAZON-02 | Amazon.com, Inc. | US | [INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+ [INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24 | 3 | TESLA | Tesla Motors, Inc. | US | [INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+ [INFO] bbot.modules.asn: | AS3356 | 8.32.0.0/12 | 1 | LEVEL3 | Level 3 Parent, LLC | US | [INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+ [INFO] bbot.modules.asn: | AS3356 | 8.0.0.0/9 | 1 | LEVEL3 | Level 3 Parent, LLC | US | [INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
Діапазони IP-адрес організації також можна знайти за допомогою http://asnlookup.com/ (він має безкоштовний API). Ви можете визначити IP та ASN домену за допомогою http://ipv4info.com/ .
На даний момент ми знаємо всі активи в межах області , тому, якщо вам дозволено, ви можете запустити якийсь сканер уразливостей (Nessus, OpenVAS) на всіх хостах. Крім того, ви можете запустити кілька сканувань портів або скористатися такими службами, як shodan , щоб знайти відкриті порти , і залежно від того, що ви знайдете, вам слід поглянути в цю книгу, щоб перевірити кілька можливих запущених служб. Крім того, можливо, варто згадати, що ви також можете підготувати деякі списки імен користувачів і паролів за замовчуванням і спробувати брутфорсувати служби за допомогою https://github.com/x90skysn3k/brutespray .
Ми знаємо всі компанії в межах сфери дії та їхні активи, настав час знайти домени в межах сфери дії.
Будь ласка, зверніть увагу, що в наведених нижче методах ви також можете знайти субдомени, і цю інформацію не слід недооцінювати.
Перш за все, вам слід знайти основний домен (и) кожної компанії. Наприклад, для Tesla Inc. буде tesla.com .
Оскільки ви знайшли всі діапазони IP-адрес доменів, ви можете спробувати виконати зворотний пошук DNS на цих IP-адресах, щоб знайти більше доменів у межах . Спробуйте використовувати якийсь dns-сервер жертви або якийсь відомий dns-сервер (1.1.1.1, 8.8.8.8)
dnsrecon -r <DNS Range> -n <IP_DNS> #DNS reverse of all of the addresses dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns
Щоб це працювало, адміністратор має вручну ввімкнути PTR. Ви також можете скористатися онлайн-інструментом для отримання цієї інформації: http://ptrarchive.com/
Всередині whois ви можете знайти багато цікавої інформації , як-от назва організації , адреса , електронні адреси , номери телефонів… Але що ще цікавіше, ви можете знайти більше активів, пов’язаних із компанією , якщо виконайте зворотний пошук whois будь-яким із ці поля (наприклад, інші реєстри whois, де відображається та сама електронна адреса). Ви можете використовувати такі онлайн-інструменти, як:
https://viewdns.info/reversewhois/ – безкоштовно
https://domaineye.com/reverse-whois – безкоштовно
https://www.reversewhois.io/ – безкоштовно
https://www.whoxy.com/ – безкоштовний веб, а не безкоштовний API.
http://reversewhois.domaintools.com/ – не безкоштовно
https://drs.whoisxmlapi.com/reverse-whois-search – Не безкоштовно (лише 100 безкоштовних пошуків)
https://www.domainiq.com/ – не безкоштовно
Ви можете автоматизувати це завдання за допомогою DomLink (потрібен ключ Whoxy API). Ви також можете виконати автоматичне зворотне виявлення whois за допомогою amass :amass intel -d tesla.com -whois
Зауважте, що ви можете використовувати цю техніку, щоб знаходити більше доменних імен кожного разу, коли ви знаходите новий домен.
Якщо виявити однаковий ідентифікатор того самого трекера на 2 різних сторінках, ви можете припустити, що обома сторінками керує одна команда . Наприклад, якщо ви бачите той самий ідентифікатор Google Analytics або той самий ідентифікатор Adsense на кількох сторінках.
Є кілька сторінок і інструментів, які дозволяють шукати за цими трекерами тощо:
Чи знаєте ви, що ми можемо знайти домени та субдомени, пов’язані з нашою цільовою метою, шукаючи той самий хеш значка фавікону? Це саме те, що робить інструмент favihash.py , створений @m4ll0k2 . Ось як ним користуватися:
cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt python3 favihash.py -f https://target/favicon.ico -t targets.txt -s
Простіше кажучи, favihash дозволить нам виявити домени, які мають той самий хеш піктограми favicon, що й наша ціль.
Крім того, ви також можете шукати технології за допомогою хешу фавікону, як пояснюється в цій публікації блогу . Це означає, що якщо ви знаєте хеш фавікону вразливої версії веб-технології, ви можете виконати пошук у шодані та знайти більш уразливі місця :
shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'
Ось як ви можете обчислити хеш веб-іконки:
import mmh3
import requests
import codecs
def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash
Шукайте всередині рядків веб-сторінок , які можуть використовуватися в різних мережах однієї організації . Гарним прикладом може бути рядок авторського права . Потім знайдіть цей рядок у Google , в інших браузерах або навіть у shodan :
shodan search http.html:"Copyright string"
Зазвичай є завдання cron, наприклад:
# /etc/crontab 37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"
щоб оновити всі доменні сертифікати на сервері. Це означає, що навіть якщо центр сертифікації, який використовується для цього, не встановлює час його створення в часі дії, можна знайти домени, що належать одній компанії, у журналах прозорості сертифікатів . Щоб дізнатися більше, перегляньте цей запис .
Мабуть, люди зазвичай призначають субдомени IP-адресам, які належать хмарним провайдерам, і в якийсь момент втрачають цю IP-адресу, але забувають про видалення запису DNS . Тому, просто створивши віртуальну машину в хмарі (наприклад, Digital Ocean), ви фактично заволодієте деякими субдоменами .
У цьому дописі пояснюється про це магазин і пропонується сценарій, який створює віртуальну машину в DigitalOcean , отримує IPv4нової машини та шукає в Virustotal записи субдоменів, що вказують на неї.
Зауважте, що ви можете використовувати цю техніку, щоб знаходити більше доменних імен кожного разу, коли ви знаходите новий домен.
Shodan
Як ви вже знаєте назву організації, яка володіє простором IP. Ви можете здійснювати пошук за цими даними в shodan за допомогою: org:"Tesla, Inc."Перевірте знайдені хости на наявність нових неочікуваних доменів у сертифікаті TLS.
Ви можете отримати доступ до сертифіката TLS головної веб-сторінки, отримати назву організації , а потім шукати це ім’я в сертифікатах TLS усіх веб-сторінок, відомих shodan , за допомогою фільтра: ssl:"Tesla Motors"або скористатися таким інструментом, як sslsearch .
Assetfinder
Assetfinder — це інструмент, який шукає домени, пов’язані з основним доменом ійого субдоменами , досить дивно.
Перевірте, чи немає захоплення домену . Можливо, якась компанія використовує якийсь домен , але вони втратили право власності . Просто зареєструйте його (якщо достатньо дешево) і повідомте компанію.
Якщо ви знайдете будь-який домен з IP-адресою, відмінною від тих, які ви вже знайшли під час виявлення активів, вам слід виконати базове сканування вразливостей (за допомогою Nessus або OpenVAS) і деяке сканування портів за допомогою nmap/masscan/shodan . Залежно від того, які служби запущено, ви можете знайти в цій книзі деякі трюки для їх «атаки» . Зауважте, що іноді домен розміщено всередині IP-адреси, яка не контролюється клієнтом, тому він не входить до сфери дії, будьте обережні.
Ми знаємо всі компанії в межах сфери, усі активи кожної компанії та всі домени, пов’язані з компаніями. Настав час знайти всі можливі субдомени кожного знайденого домену.
Давайте спробуємо отримати субдомени із записів DNS . Ми також повинні спробувати передати зону (якщо ви вразливі, вам слід повідомити про це).
dnsrecon -a -d tesla.com
Найшвидший спосіб отримати велику кількість субдоменів – пошук у зовнішніх джерелах. Найбільш використовувані інструменти є наступними (для кращих результатів налаштуйте ключі API):
# subdomains bbot -t tesla.com -f subdomain-enum # subdomains (passive only) bbot -t tesla.com -f subdomain-enum -rf passive # subdomains + port scan + web screenshots bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output ./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output ./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"
Ви можете отримати доступ до цих даних за допомогою chaospy або навіть отримати доступ до області, яка використовується цим проектом https://github.com/projectdiscovery/chaos-public-program-list
Ви можете знайти порівняння багатьох із цих інструментів тут: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off
Давайте спробуємо знайти DNS-сервери підбірного підбору нових субдоменів , використовуючи можливі імена субдоменів. Для цієї дії вам знадобляться деякі загальні списки слів субдоменів, наприклад :
https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056
https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt
https://localdomain.pw/subdomain-bruteforce-list/all.txt.zip
https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS
А також IP-адреси хороших резолверів DNS. Щоб створити список надійних DNS-розпізнавачів, ви можете завантажити їх із https://public-dns.info/nameservers-all.txt і використати dnsvalidator для їх фільтрації. Або ви можете скористатися: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt
massdns : це був перший інструмент, який виконував ефективний брутфорс DNS. Це дуже швидко, однак воно схильне до помилкових спрацьовувань.
sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt ./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
gobuster :використовує лише 1 резольвер
gobuster dns -d mysite.com -t 50 -w subdomains.txt
shuffledns — це обгортка навколоmassdns, написана в go, яка дозволяє перераховувати дійсні субдомени за допомогою активного брутфорсу, а також розпізнавати субдомени за допомогою обробки символів підстановки та простої підтримки введення-виведення.
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt
puredns : Він також використовує massdns.
puredns bruteforce all.txt domain.com
aiodnsbrute використовує asyncio для асинхронного перебору доменних імен.
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com
Знайшовши субдомени за допомогою відкритих джерел і підбір, ви можете створити зміни знайдених субдоменів, щоб спробувати знайти ще більше. Для цього корисно кілька інструментів:
dnsgen : враховуючи домени та субдомени, генеруйте перестановки.
cat subdomains.txt | dnsgen -
goaltdns : враховуючи домени та субдомени, генеруйте перестановки. Ви можете отримати список слів перестановок goaltdns тут.
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
gotator : враховуючи домени та субдомени генерувати перестановки. Якщо не вказано файл перестановок, gotator використовуватиме свій власний.
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
altdns : окрім генерування перестановок субдоменів, він також може спробувати їх розв’язати (але краще використовувати інструменти з попередніми коментарями). Ви можете отримати список слів для перестановок altdns тут.
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
dmut : ще один інструмент для виконання перестановок, мутацій і змін субдоменів. Цей інструмент підіб’є результат (він не підтримує символ dns wild). Ви можете отримати список слів dmut перестановок тут.
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt
alterx : на основі домену він генерує нові потенційні імена субдоменів на основі вказаних шаблонів, щоб спробувати виявити більше субдоменів.
regulator : щоб отримати більше інформації, прочитайте цю публікацію , але в основному вона отримає основні частини з виявлених субдоменів і змішає їх, щоб знайти більше субдоменів.
python3 main.py adobe.com adobe adobe.rules make_brute_list.sh adobe.rules adobe.brute puredns resolve adobe.brute --write adobe.valid
subzuf — це фазер піддомену грубої сили в поєднанні з надзвичайно простим, але ефективним алгоритмом відповіді DNS. Він використовує наданий набір вхідних даних, як-от спеціальний список слів або історичні записи DNS/TLS, щоб точно синтезувати більше відповідних доменних імен і ще більше розширювати їх у циклі на основі інформації, зібраної під час сканування DNS.
echo www | subzuf facebook.com
Якщо ви знайшли IP-адресу, яка містить одну чи кілька веб-сторінок, що належать до субдоменів, ви можете спробувати знайти інші субдомени з веб-сторінками на цьому IP , шукаючи в джерелах OSINT домени в IP-адресі або шляхом грубого форсування доменних імен VHost у цій IP-адресі .
Ви можете знайти деякі віртуальні хости в IP-адресах за допомогою HostHunter або інших API .
Груба сила
Якщо ви підозрюєте, що якийсь субдомен може бути прихований на веб-сервері, ви можете спробувати це зробити грубим методом:
ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com" gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100 #From https://github.com/allyshka/vhostbrute vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list" #https://github.com/codingo/VHostScan VHostScan -t example.com
За допомогою цієї техніки ви навіть можете отримати доступ до внутрішніх/прихованих кінцевих точок.
Іноді ви знайдете сторінки, які повертають лише заголовок Access-Control-Allow-Origin, якщо в заголовку Origin указано дійсний домен/субдомен . У цих сценаріях ви можете зловживати цією поведінкою, щоб відкривати нові субдомени.
ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body
Під час пошуку піддоменів слідкуйте за тим, чи не вказує він на якийсь тип сегмента , і в такому випадку перевірте дозволи . Крім того, оскільки на цьому етапі ви будете знати всі домени всередині області, спробуйте підібрати можливі імена сегментів і перевірте дозволи .
Ви можете відстежувати , чи створюються нові субдомени домену, відстежуючи підпрограму журналів прозорості сертифіката .
Перевірте можливе захоплення субдоменів . Якщо субдомен вказує на певне відро S3 , перевірте дозволи .
Якщо ви виявите будь-який субдомен з IP-адресою, відмінною від тих, які ви вже знайшли під час виявлення активів, вам слід виконати базове сканування вразливостей (за допомогою Nessus або OpenVAS) і деяке сканування портів за допомогою nmap/masscan/shodan . Залежно від того, які служби запущено, ви можете знайти в цій книзі деякі трюки для їх «атаки» . Зауважте, що іноді субдомен розміщується всередині IP-адреси, яка не контролюється клієнтом, тому він не входить до сфери дії, будьте обережні.
На початкових етапах ви могли знайти деякі діапазони IP-адрес, домени та субдомени . Настав час згадати всі IP-адреси з цих діапазонів і для доменів/субдоменів (DNS-запити).
Використовуючи служби з наступного безкоштовного API, ви також можете знайти попередні IP-адреси, які використовувалися доменами та субдоменами . Ці IP-адреси все ще можуть належати клієнту (і можуть дозволити вам знайти обхід CloudFlare )
Ви також можете перевірити наявність доменів, які вказують на певну IP-адресу, використовуючи інструмент hakip2host
Шукаємо вразливі місця
Скануйте всі IP-адреси портів, які не належать до CDN (оскільки ви, швидше за все, не знайдете там нічого цікавого). У виявлених запущених службах ви можете знайти вразливі місця . Знайдіть посібник щодо сканування хостів.
Ми знайшли всі компанії та їхні активи, а також знаємо діапазони IP-адрес, домени та субдомени в межах цієї сфери. Настав час пошукати веб-сервери.
У попередніх кроках ви, мабуть, уже виконали деяку перевірку виявлених IP-адрес і доменів , тому, можливо, ви вже знайшли всі можливі веб-сервери . Однак, якщо ви цього не зробили, ми зараз побачимо кілька швидких трюків для пошуку веб-серверів у межах області.
Будь ласка, зверніть увагу, що це буде орієнтовано на виявлення веб-програм , тому ви також повинні виконати сканування вразливості та портів ( якщо це дозволено обсягом).
Тут можна знайти швидкий спосіб виявлення відкритих портів, пов’язаних із веб- серверами, за допомогою masscan . Іншим зручним інструментом для пошуку веб-серверів є httprobe , fprobe та httpx . Ви просто передаєте список доменів, і він спробує підключитися до порту 80 (http) і 443 (https). Крім того, ви можете вказати спробувати інші порти:
cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443 cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443
Тепер, коли ви знайшли всі веб-сервери, присутні в області (серед IP-адрес компанії та всіх доменів і субдоменів ), ви, мабуть, не знаєте, з чого почати . Отже, давайте зробимо це простим і почнемо просто робити скріншоти всіх них. Просто поглянувши на головну сторінку, ви можете знайти дивні кінцеві точки, які більш схильні бути вразливими .
Для реалізації запропонованої ідеї ви можете використовувати EyeWitness , HttpScreenshot , Aquatone , Shutter або веб-скріншот .
Більше того, ви можете використати eyeballer , щоб пробігти по всіх знімках екрана , щоб сказати вам , що ймовірно містить уразливості , а що ні.
Щоб знайти потенційні хмарні ресурси, що належать компанії, слід почати зі списку ключових слів, які ідентифікують цю компанію . Наприклад, крипто для криптокомпанії ви можете використовувати такі слова, як:
"crypto", "wallet", "dao", "<domain_name>", <"subdomain_names">.
Вам також знадобляться списки загальних слів, які використовуються у відрах:
https://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt
https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt
https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt
Потім за допомогою цих слів ви повинні згенерувати перестановки (перевірте другий раунд DNS Brute-Force для отримання додаткової інформації).
З отриманими списками слів ви можете використовувати такі інструменти, як cloud_enum , CloudScraper , cloudlist або S3Scanner .
Пам’ятайте, що під час пошуку Cloud Assets ви повинні шукати більше, ніж просто сегменти в AWS .
Якщо ви виявите, що такі речі, як відкриті сегменти або хмарні функції, доступні, вам слід отримати до них доступ і спробувати побачити, що вони вам пропонують, і чи можете ви ними зловживати.
З доменами та субдоменами всередині області ви в основному маєте все, що вам потрібно, щоб розпочати пошук електронних листів . Ось API та інструменти , які найкраще спрацювали для мене, щоб знайти електронні адреси компанії:
theHarvester – з API
API https://hunter.io/ (безкоштовна версія)
API https://app.snov.io/ (безкоштовна версія)
API https://minelead.io/ (безкоштовна версія)
Електронні листи стануть у пригоді пізніше для грубої форсування входу в Інтернет і служб авторизації (таких як SSH). Крім того, вони потрібні для фішингу . Крім того, ці API нададуть вам більше інформації про особу, яка стоїть за електронним листом, що корисно для фішингової кампанії.
За допомогою доменів, субдоменів і електронних листів ви можете почати шукати облікові дані, виточені в минулому, що належать до цих електронних листів:
Якщо ви знайдете дійсні витоку облікових даних, це дуже легка перемога.
Витік облікових даних пов’язаний зі зломами компаній, через які конфіденційна інформація була виточена та продана . Однак компанії можуть постраждати через інші витоки , інформація про які не міститься в цих базах даних:
Облікові дані та API можуть витікати в загальнодоступні репозиторії компанії або користувачів , які працюють у цій компанії github. Ви можете використовувати інструмент Leakos , щоб завантажити всі загальнодоступні репозиторії організації та її розробників і автоматично запустити над ними gitleaks .
Leakos також можна використовувати для запуску gitleaks проти всіх URL-адрес , наданих текстом , оскільки іноді веб-сторінки також містять секрети.
Іноді зловмисники або просто працівники публікують вміст компанії на веб-сайті . Це може містити або не містити конфіденційну інформацію , але її дуже цікаво шукати. Ви можете використовувати інструмент Pastos для пошуку на більш ніж 80 сайтах вставки одночасно.
Старі, але золоті дурні Google завжди корисні для пошуку відкритої інформації, якої там не повинно бути . Єдина проблема полягає в тому, що база даних google-hacking-database містить кілька тисяч можливих запитів, які ви не можете виконати вручну. Отже, ви можете отримати свої улюблені 10 або скористатися таким інструментом, як Gorks , щоб запустити їх усі .
Зауважте, що інструменти, які планують запускати всю базу даних за допомогою звичайного браузера Google, ніколи не закінчаться, оскільки Google заблокує вас дуже-дуже скоро.
Якщо ви знайдете дійсні витоку облікових даних або маркерів API, це дуже легка перемога.
992 
1634 
1426