External Recon Methodology
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wenn du an einer Hacking-Karriere interessiert bist und das Unhackbare hacken möchtest - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).
Man hat dir gesagt, dass alles, was zu einem Unternehmen gehört, im Geltungsbereich liegt, und du möchtest herausfinden, was dieses Unternehmen tatsächlich besitzt.
Das Ziel dieser Phase ist es, alle Unternehmen, die im Besitz des Hauptunternehmens sind, und dann alle Vermögenswerte dieser Unternehmen zu ermitteln. Dazu werden wir:
Die Übernahmen des Hauptunternehmens finden, dies wird uns die Unternehmen im Geltungsbereich geben.
Die ASN (falls vorhanden) jedes Unternehmens finden, dies wird uns die IP-Bereiche geben, die jedem Unternehmen gehören.
Reverse-Whois-Abfragen verwenden, um nach anderen Einträgen (Organisationsnamen, Domains...) zu suchen, die mit dem ersten verbunden sind (dies kann rekursiv erfolgen).
Andere Techniken wie Shodan org
und ssl
-Filter verwenden, um nach anderen Vermögenswerten zu suchen (der ssl
-Trick kann rekursiv durchgeführt werden).
Zunächst müssen wir wissen, welche anderen Unternehmen im Besitz des Hauptunternehmens sind. Eine Möglichkeit ist, https://www.crunchbase.com/ zu besuchen, nach dem Hauptunternehmen zu suchen und auf "Übernahmen" zu klicken. Dort siehst du andere Unternehmen, die von dem Hauptunternehmen übernommen wurden. Eine andere Möglichkeit ist, die Wikipedia-Seite des Hauptunternehmens zu besuchen und nach Übernahmen zu suchen.
Ok, an diesem Punkt solltest du alle Unternehmen im Geltungsbereich kennen. Lass uns herausfinden, wie wir ihre Vermögenswerte finden können.
Eine autonome Systemnummer (ASN) ist eine eindeutige Nummer, die einem autonomen System (AS) von der Internet Assigned Numbers Authority (IANA) zugewiesen wird. Ein AS besteht aus Blöcken von IP-Adressen, die eine eindeutig definierte Richtlinie für den Zugriff auf externe Netzwerke haben und von einer einzigen Organisation verwaltet werden, aber aus mehreren Betreibern bestehen können.
Es ist interessant herauszufinden, ob das Unternehmen eine ASN zugewiesen hat, um seine IP-Bereiche zu finden. Es wäre interessant, einen Sicherheitstest gegen alle Hosts im Geltungsbereich durchzuführen und nach Domains innerhalb dieser IPs zu suchen. Du kannst nach dem Unternehmensnamen, nach IP oder nach Domain in https://bgp.he.net/** suchen. Je nach Region des Unternehmens könnten diese Links nützlich sein, um weitere Daten zu sammeln: AFRINIC (Afrika), Arin(Nordamerika),** APNIC (Asien), LACNIC (Lateinamerika), RIPE NCC (Europa). Jedenfalls erscheinen wahrscheinlich alle nützlichen Informationen (IP-Bereiche und Whois) bereits im ersten Link.
Auch die Subdomainenumeration von BBOT** aggregiert und fasst ASNs am Ende des Scans automatisch zusammen.**
You can find the IP ranges of an organisation also using http://asnlookup.com/ (es hat eine kostenlose API). You can find the IP and ASN of a domain using http://ipv4info.com/.
An diesem Punkt kennen wir alle Vermögenswerte innerhalb des Umfangs, also wenn Sie dürfen, könnten Sie einige Schwachstellenscanner (Nessus, OpenVAS) über alle Hosts starten. Außerdem könnten Sie einige Portscans starten oder Dienste wie shodan verwenden, um offene Ports zu finden, und je nachdem, was Sie finden, sollten Sie in diesem Buch nachsehen, wie man mehrere mögliche Dienste testet. Es könnte auch erwähnenswert sein, dass Sie auch einige Standardbenutzernamen und Passwortlisten vorbereiten und versuchen können, Dienste mit https://github.com/x90skysn3k/brutespray zu bruteforcen.
Wir kennen alle Unternehmen innerhalb des Umfangs und deren Vermögenswerte, es ist Zeit, die Domains innerhalb des Umfangs zu finden.
Bitte beachten Sie, dass Sie mit den folgenden vorgeschlagenen Techniken auch Subdomains finden können und diese Informationen nicht unterschätzt werden sollten.
Zunächst sollten Sie nach der Hauptdomain(s) jedes Unternehmens suchen. Zum Beispiel wird für Tesla Inc. die Domain tesla.com sein.
Da Sie alle IP-Bereiche der Domains gefunden haben, könnten Sie versuchen, Reverse-DNS-Abfragen auf diesen IPs durchzuführen, um weitere Domains innerhalb des Umfangs zu finden. Versuchen Sie, einen DNS-Server des Opfers oder einen bekannten DNS-Server (1.1.1.1, 8.8.8.8) zu verwenden.
Für dies zu funktionieren, muss der Administrator manuell den PTR aktivieren. Sie können auch ein Online-Tool für diese Informationen verwenden: http://ptrarchive.com/
Innerhalb eines whois finden Sie viele interessante Informationen wie Organisationsname, Adresse, E-Mails, Telefonnummern... Aber was noch interessanter ist, ist, dass Sie weitere Vermögenswerte, die mit dem Unternehmen verbunden sind, finden können, wenn Sie Reverse-Whois-Suchen nach einem dieser Felder durchführen (zum Beispiel andere Whois-Registrierungen, bei denen dieselbe E-Mail erscheint). Sie können Online-Tools wie verwenden:
https://viewdns.info/reversewhois/ - Kostenlos
https://domaineye.com/reverse-whois - Kostenlos
https://www.reversewhois.io/ - Kostenlos
https://www.whoxy.com/ - Kostenlos web, nicht kostenlos API.
http://reversewhois.domaintools.com/ - Nicht kostenlos
https://drs.whoisxmlapi.com/reverse-whois-search - Nicht kostenlos (nur 100 kostenlose Suchen)
https://www.domainiq.com/ - Nicht kostenlos
Sie können diese Aufgabe automatisieren, indem Sie DomLink verwenden (benötigt einen Whoxy-API-Schlüssel).
Sie können auch einige automatische Reverse-Whois-Entdeckungen mit amass durchführen: amass intel -d tesla.com -whois
Beachten Sie, dass Sie diese Technik verwenden können, um jedes Mal, wenn Sie eine neue Domain finden, weitere Domainnamen zu entdecken.
Wenn Sie die gleiche ID des gleichen Trackers auf 2 verschiedenen Seiten finden, können Sie annehmen, dass beide Seiten von dem gleichen Team verwaltet werden. Zum Beispiel, wenn Sie dieselbe Google Analytics ID oder dieselbe Adsense ID auf mehreren Seiten sehen.
Es gibt einige Seiten und Tools, die es Ihnen ermöglichen, nach diesen Trackern und mehr zu suchen:
Wussten Sie, dass wir verwandte Domains und Subdomains zu unserem Ziel finden können, indem wir nach dem gleichen Favicon-Icon-Hash suchen? Genau das macht das Tool favihash.py, das von @m4ll0k2 erstellt wurde. So verwenden Sie es:
Einfach gesagt, favihash ermöglicht es uns, Domains zu entdecken, die denselben Favicon-Icon-Hash wie unser Ziel haben.
Darüber hinaus kannst du auch Technologien mithilfe des Favicon-Hashes suchen, wie in diesem Blogbeitrag erklärt. Das bedeutet, dass du, wenn du den Hash des Favicon einer verwundbaren Version einer Web-Technologie kennst, in Shodan suchen und weitere verwundbare Orte finden kannst:
So können Sie den Favicon-Hash einer Website berechnen:
Suchen Sie auf den Webseiten Strings, die in verschiedenen Webs derselben Organisation geteilt werden könnten. Der Copyright-String könnte ein gutes Beispiel sein. Suchen Sie dann nach diesem String in Google, in anderen Browsern oder sogar in Shodan: shodan search http.html:"Copyright string"
Es ist üblich, einen Cron-Job zu haben, wie
to renew the all the domain certificates on the server. This means that even if the CA used for this doesn't set the time it was generated in the Validity time, it's possible to find domains belonging to the same company in the certificate transparency logs. Check out this writeup for more information.
You can use a web such as https://dmarc.live/info/google.com or a tool such as https://github.com/Tedixx/dmarc-subdomains to find domains and subdomain sharing the same dmarc information.
Offensichtlich ist es üblich, dass Menschen Subdomains IPs zuweisen, die zu Cloud-Anbietern gehören, und irgendwann diese IP-Adresse verlieren, aber vergessen, den DNS-Eintrag zu entfernen. Daher wird man durch das Erstellen einer VM in einer Cloud (wie Digital Ocean) tatsächlich einige Subdomains übernehmen.
Dieser Beitrag erklärt eine Geschichte darüber und schlägt ein Skript vor, das eine VM in DigitalOcean erstellt, die IPv4 der neuen Maschine erhält und in Virustotal nach Subdomain-Einträgen sucht, die darauf verweisen.
Beachten Sie, dass Sie diese Technik verwenden können, um jedes Mal mehr Domainnamen zu entdecken, wenn Sie eine neue Domain finden.
Shodan
Wie Sie bereits wissen, ist der Name der Organisation, die den IP-Bereich besitzt. Sie können mit diesen Daten in Shodan suchen: org:"Tesla, Inc."
Überprüfen Sie die gefundenen Hosts auf neue unerwartete Domains im TLS-Zertifikat.
Sie könnten das TLS-Zertifikat der Hauptwebseite abrufen, den Namen der Organisation erhalten und dann nach diesem Namen in den TLS-Zertifikaten aller von shodan bekannten Webseiten mit dem Filter suchen: ssl:"Tesla Motors"
oder ein Tool wie sslsearch verwenden.
Assetfinder
Assetfinder ist ein Tool, das nach Domains sucht, die mit einer Hauptdomain verbunden sind, und deren Subdomains, ziemlich erstaunlich.
Überprüfen Sie einige Domainübernahmen. Vielleicht verwendet ein Unternehmen eine Domain, aber sie haben das Eigentum verloren. Registrieren Sie sie einfach (wenn sie günstig genug ist) und informieren Sie das Unternehmen.
Wenn Sie eine Domain mit einer anderen IP als den bereits in der Asset-Entdeckung gefundenen finden, sollten Sie einen grundlegenden Schwachstellenscan (mit Nessus oder OpenVAS) und einen Portscan mit nmap/masscan/shodan durchführen. Je nachdem, welche Dienste ausgeführt werden, können Sie in diesem Buch einige Tricks finden, um sie zu "angreifen". Beachten Sie, dass die Domain manchmal innerhalb einer IP gehostet wird, die nicht vom Kunden kontrolliert wird, sodass sie nicht im Geltungsbereich liegt. Seien Sie vorsichtig.
Wir kennen alle Unternehmen im Geltungsbereich, alle Vermögenswerte jedes Unternehmens und alle Domains, die mit den Unternehmen verbunden sind.
Es ist Zeit, alle möglichen Subdomains jeder gefundenen Domain zu finden.
Beachten Sie, dass einige der Tools und Techniken zur Auffindung von Domains auch helfen können, Subdomains zu finden!
Lassen Sie uns versuchen, Subdomains aus den DNS-Einträgen zu erhalten. Wir sollten auch nach Zone Transfer suchen (wenn anfällig, sollten Sie es melden).
Der schnellste Weg, um viele Subdomains zu erhalten, ist die Suche in externen Quellen. Die am häufigsten verwendeten Tools sind die folgenden (für bessere Ergebnisse die API-Schlüssel konfigurieren):
Es gibt andere interessante Tools/APIs, die, auch wenn sie nicht direkt auf das Finden von Subdomains spezialisiert sind, nützlich sein könnten, um Subdomains zu finden, wie:
Crobat: Verwendet die API https://sonar.omnisint.io, um Subdomains zu erhalten
RapidDNS kostenlose API
gau: ruft bekannte URLs von AlienVaults Open Threat Exchange, der Wayback Machine und Common Crawl für eine gegebene Domain ab.
SubDomainizer & subscraper: Sie durchsuchen das Web nach JS-Dateien und extrahieren von dort Subdomains.
securitytrails.com hat eine kostenlose API, um nach Subdomains und IP-Historie zu suchen
Dieses Projekt bietet kostenlos alle Subdomains, die mit Bug-Bounty-Programmen verbunden sind. Sie können auf diese Daten auch mit chaospy zugreifen oder sogar auf den Umfang zugreifen, der von diesem Projekt verwendet wird https://github.com/projectdiscovery/chaos-public-program-list
Hier finden Sie einen Vergleich vieler dieser Tools: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off
Lassen Sie uns versuchen, neue Subdomains durch Brute-Forcing von DNS-Servern mit möglichen Subdomain-Namen zu finden.
Für diese Aktion benötigen Sie einige gemeinsame Subdomain-Wortlisten wie:
Und auch IPs von guten DNS-Resolvern. Um eine Liste vertrauenswürdiger DNS-Resolver zu erstellen, können Sie die Resolver von https://public-dns.info/nameservers-all.txt herunterladen und dnsvalidator verwenden, um sie zu filtern. Oder Sie könnten verwenden: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt
Die am meisten empfohlenen Tools für DNS-Brute-Force sind:
massdns: Dies war das erste Tool, das ein effektives DNS-Brute-Force durchführte. Es ist sehr schnell, jedoch anfällig für falsche Positivmeldungen.
gobuster: Ich denke, dass dieser nur 1 Resolver verwendet.
shuffledns ist ein Wrapper um massdns
, geschrieben in Go, der es Ihnen ermöglicht, gültige Subdomains durch aktives Bruteforcing zu enumerieren sowie Subdomains mit Wildcard-Verarbeitung und einfacher Eingabe-Ausgabe-Unterstützung aufzulösen.
puredns: Es verwendet ebenfalls massdns
.
aiodnsbrute verwendet asyncio, um Domänennamen asynchron zu brute-forcen.
Nachdem Sie Subdomains mit offenen Quellen und Brute-Forcing gefunden haben, können Sie Variationen der gefundenen Subdomains generieren, um noch mehr zu finden. Mehrere Tools sind dafür nützlich:
dnsgen: Generiert Permutationen basierend auf den Domains und Subdomains.
goaltdns: Gegebenen Domains und Subdomains Permutationen generieren.
Sie können die goaltdns Permutationen Wortliste hier erhalten.
gotator: Gegebene Domains und Subdomains generieren Permutationen. Wenn keine Permutationsdatei angegeben ist, verwendet gotator seine eigene.
altdns: Abgesehen von der Generierung von Subdomain-Permutationen kann es auch versuchen, diese aufzulösen (aber es ist besser, die zuvor kommentierten Tools zu verwenden).
Sie können die altdns-Permutationen Wortliste hier erhalten.
dmut: Ein weiteres Tool zur Durchführung von Permutationen, Mutationen und Änderungen von Subdomains. Dieses Tool wird das Ergebnis brute-forcen (es unterstützt keine DNS-Wildcards).
Sie können die dmut-Permutationen-Wortliste hier erhalten.
alterx: Basierend auf einer Domain generiert es neue potenzielle Subdomain-Namen basierend auf angegebenen Mustern, um weitere Subdomains zu entdecken.
subzuf: subzuf ist ein Subdomain-Brute-Force-Fuzzer, der mit einem äußerst einfachen, aber effektiven DNS-Antwort-gesteuerten Algorithmus gekoppelt ist. Er nutzt einen bereitgestellten Satz von Eingabedaten, wie eine maßgeschneiderte Wortliste oder historische DNS/TLS-Aufzeichnungen, um genauere entsprechende Domainnamen zu synthetisieren und diese in einer Schleife basierend auf den während des DNS-Scans gesammelten Informationen weiter zu erweitern.
Überprüfen Sie diesen Blogbeitrag, den ich über die Automatisierung der Subdomain-Entdeckung von einer Domain mit Trickest-Workflows geschrieben habe, damit ich nicht manuell eine Reihe von Tools auf meinem Computer starten muss:
Wenn Sie eine IP-Adresse gefunden haben, die eine oder mehrere Webseiten von Subdomains enthält, könnten Sie versuchen, andere Subdomains mit Webseiten in dieser IP zu finden, indem Sie in OSINT-Quellen nach Domains in einer IP suchen oder indem Sie VHost-Domainnamen in dieser IP brute-forcen.
Sie können einige VHosts in IPs finden mit HostHunter oder anderen APIs.
Brute Force
Wenn Sie vermuten, dass eine Subdomain auf einem Webserver verborgen sein könnte, könnten Sie versuchen, sie brute zu forcen:
Mit dieser Technik können Sie möglicherweise sogar auf interne/verborgene Endpunkte zugreifen.
Manchmal finden Sie Seiten, die nur den Header Access-Control-Allow-Origin zurückgeben, wenn eine gültige Domain/Subdomain im Origin Header gesetzt ist. In diesen Szenarien können Sie dieses Verhalten ausnutzen, um neue Subdomains zu entdecken.
Während du nach Subdomains suchst, achte darauf, ob sie auf irgendeine Art von Bucket zeigen, und in diesem Fall prüfe die Berechtigungen. Außerdem, da du zu diesem Zeitpunkt alle Domains im Scope kennst, versuche mögliche Bucket-Namen zu brute-forcen und die Berechtigungen zu überprüfen.
Du kannst überwachen, ob neue Subdomains einer Domain erstellt werden, indem du die Certificate Transparency Logs überwachst, was sublert tut.
Überprüfe auf mögliche Subdomain-Übernahmen. Wenn die Subdomain auf einen S3-Bucket zeigt, prüfe die Berechtigungen.
Wenn du eine Subdomain mit einer anderen IP als den bereits in der Asset-Entdeckung gefundenen findest, solltest du einen grundlegenden Schwachstellenscan (mit Nessus oder OpenVAS) und einen Portscan mit nmap/masscan/shodan durchführen. Je nachdem, welche Dienste laufen, kannst du in diesem Buch einige Tricks finden, um sie zu "angreifen". Bedenke, dass die Subdomain manchmal auf einer IP gehostet wird, die nicht vom Kunden kontrolliert wird, also ist sie nicht im Scope, sei vorsichtig.
In den ersten Schritten hast du möglicherweise einige IP-Bereiche, Domains und Subdomains gefunden. Es ist Zeit, alle IPs aus diesen Bereichen zu sammeln und für die Domains/Subdomains (DNS-Abfragen).
Mit Diensten aus den folgenden kostenlosen APIs kannst du auch frühere IPs finden, die von Domains und Subdomains verwendet wurden. Diese IPs könnten immer noch dem Kunden gehören (und könnten dir helfen, CloudFlare-Umgehungen zu finden).
Du kannst auch nach Domains suchen, die auf eine bestimmte IP-Adresse zeigen, indem du das Tool hakip2host verwendest.
Portscan aller IPs, die nicht zu CDNs gehören (da du dort höchstwahrscheinlich nichts Interessantes finden wirst). In den entdeckten laufenden Diensten könntest du Schwachstellen finden.
Finde einen Leitfaden darüber, wie man Hosts scannt.
Wir haben alle Unternehmen und ihre Assets gefunden und kennen IP-Bereiche, Domains und Subdomains im Scope. Es ist Zeit, nach Webservern zu suchen.
In den vorherigen Schritten hast du wahrscheinlich bereits einige Recon der entdeckten IPs und Domains durchgeführt, sodass du bereits alle möglichen Webserver gefunden haben könntest. Wenn nicht, werden wir jetzt einige schnelle Tricks zur Suche nach Webservern im Scope sehen.
Bitte beachte, dass dies auf die Entdeckung von Webanwendungen ausgerichtet ist, sodass du auch den Schwachstellenscan und Portscan durchführen solltest (wenn im Scope erlaubt).
Eine schnelle Methode, um offene Ports im Zusammenhang mit Web-Servern zu entdecken, ist masscan hier zu finden. Ein weiteres benutzerfreundliches Tool zur Suche nach Webservern ist httprobe, fprobe und httpx. Du gibst einfach eine Liste von Domains ein und es versucht, sich mit Port 80 (http) und 443 (https) zu verbinden. Zusätzlich kannst du angeben, andere Ports auszuprobieren:
Jetzt, da Sie alle Webserver im Geltungsbereich (unter den IPs des Unternehmens und allen Domains und Subdomains) entdeckt haben, wissen Sie wahrscheinlich nicht, wo Sie anfangen sollen. Lassen Sie uns das einfach machen und beginnen Sie einfach damit, Screenshots von allen zu machen. Schon beim Blick auf die Hauptseite können Sie seltsame Endpunkte finden, die eher anfällig für Schwachstellen sind.
Um die vorgeschlagene Idee umzusetzen, können Sie EyeWitness, HttpScreenshot, Aquatone, Shutter, Gowitness oder webscreenshot.
Darüber hinaus könnten Sie dann eyeballer verwenden, um alle Screenshots zu durchlaufen und Ihnen zu sagen, was wahrscheinlich Schwachstellen enthält und was nicht.
Um potenzielle Cloud-Ressourcen eines Unternehmens zu finden, sollten Sie mit einer Liste von Schlüsselwörtern beginnen, die dieses Unternehmen identifizieren. Zum Beispiel, für ein Krypto-Unternehmen könnten Sie Wörter wie: "crypto", "wallet", "dao", "<domain_name>", <"subdomain_names">
verwenden.
Sie benötigen auch Wortlisten von häufig verwendeten Wörtern in Buckets:
Dann sollten Sie mit diesen Wörtern Permutationen generieren (siehe Second Round DNS Brute-Force für weitere Informationen).
Mit den resultierenden Wortlisten könnten Sie Tools wie cloud_enum, CloudScraper, cloudlist oder S3Scanner.
Denken Sie daran, dass Sie bei der Suche nach Cloud-Ressourcen mehr als nur Buckets in AWS suchen sollten.
Wenn Sie Dinge wie offene Buckets oder exponierte Cloud-Funktionen finden, sollten Sie auf sie zugreifen und versuchen zu sehen, was sie Ihnen bieten und ob Sie sie missbrauchen können.
Mit den Domains und Subdomains im Geltungsbereich haben Sie im Grunde alles, was Sie brauchen, um nach E-Mails zu suchen. Dies sind die APIs und Tools, die für mich am besten funktioniert haben, um E-Mails eines Unternehmens zu finden:
theHarvester - mit APIs
API von https://hunter.io/ (kostenlose Version)
API von https://app.snov.io/ (kostenlose Version)
API von https://minelead.io/ (kostenlose Version)
E-Mails werden später nützlich sein, um Web-Logins und Authentifizierungsdienste (wie SSH) zu brute-forcen. Außerdem werden sie für Phishing benötigt. Darüber hinaus geben Ihnen diese APIs sogar noch mehr Informationen über die Person hinter der E-Mail, was für die Phishing-Kampagne nützlich ist.
Mit den Domains, Subdomains und E-Mails können Sie beginnen, nach in der Vergangenheit geleakten Anmeldeinformationen zu suchen, die zu diesen E-Mails gehören:
Wenn Sie gültige geleakte Anmeldeinformationen finden, ist das ein sehr einfacher Gewinn.
Credential Leaks stehen im Zusammenhang mit Hacks von Unternehmen, bei denen sensible Informationen geleakt und verkauft wurden. Unternehmen könnten jedoch auch von anderen Leaks betroffen sein, deren Informationen nicht in diesen Datenbanken enthalten sind:
Anmeldeinformationen und APIs könnten in den öffentlichen Repositories des Unternehmens oder der Benutzer, die für dieses Github-Unternehmen arbeiten, geleakt werden. Sie können das Tool Leakos verwenden, um alle öffentlichen Repos einer Organisation und ihrer Entwickler herunterzuladen und automatisch gitleaks darüber auszuführen.
Leakos kann auch verwendet werden, um gitleaks gegen alle Text-URLs, die ihm übergeben werden, auszuführen, da manchmal Webseiten auch Geheimnisse enthalten.
Überprüfen Sie auch diese Seite auf potenzielle Github Dorks, nach denen Sie in der Organisation, die Sie angreifen, suchen könnten:
Github Dorks & LeaksManchmal veröffentlichen Angreifer oder einfach Mitarbeiter Unternehmensinhalte auf einer Paste-Seite. Dies könnte sensible Informationen enthalten oder auch nicht, aber es ist sehr interessant, danach zu suchen. Sie können das Tool Pastos verwenden, um gleichzeitig in mehr als 80 Paste-Seiten zu suchen.
Alte, aber bewährte Google Dorks sind immer nützlich, um exponierte Informationen zu finden, die dort nicht sein sollten. Das einzige Problem ist, dass die Google-Hacking-Datenbank mehrere tausend mögliche Abfragen enthält, die Sie nicht manuell ausführen können. Sie können also Ihre 10 Lieblingsabfragen auswählen oder ein Tool wie Gorks verwenden, um sie alle auszuführen.
Bedenken Sie, dass die Tools, die erwarten, die gesamte Datenbank mit dem regulären Google-Browser auszuführen, niemals enden werden, da Google Sie sehr schnell blockieren wird.
Wenn Sie gültige geleakte Anmeldeinformationen oder API-Token finden, ist das ein sehr einfacher Gewinn.
Wenn Sie festgestellt haben, dass das Unternehmen Open-Source-Code hat, können Sie ihn analysieren und nach Schwachstellen darin suchen.
Je nach Sprache gibt es verschiedene Tools, die Sie verwenden können:
Source code Review / SAST ToolsEs gibt auch kostenlose Dienste, die es Ihnen ermöglichen, öffentliche Repositories zu scannen, wie:
Die Mehrheit der Schwachstellen, die von Bug-Jägern gefunden werden, befindet sich in Webanwendungen, daher möchte ich an dieser Stelle über eine Testmethodik für Webanwendungen sprechen, und Sie können diese Informationen hier finden.
Ich möchte auch einen besonderen Hinweis auf den Abschnitt Web Automated Scanners open source tools geben, da, auch wenn Sie nicht erwarten sollten, dass sie sehr sensible Schwachstellen finden, sie nützlich sind, um sie in Workflows zu implementieren, um einige erste Webinformationen zu erhalten.
Herzlichen Glückwunsch! An diesem Punkt haben Sie bereits alle grundlegenden Enumeration durchgeführt. Ja, es ist grundlegend, weil viel mehr Enumeration durchgeführt werden kann (wir werden später mehr Tricks sehen).
Sie haben bereits:
Alle Unternehmen im Geltungsbereich gefunden
Alle Assets gefunden, die zu den Unternehmen gehören (und einige Schwachstellenscans durchgeführt, wenn im Geltungsbereich)
Alle Domains gefunden, die zu den Unternehmen gehören
Alle Subdomains der Domains gefunden (gibt es eine Subdomain-Übernahme?)
Alle IPs (von und nicht von CDNs) im Geltungsbereich gefunden.
Alle Webserver gefunden und einen Screenshot von ihnen gemacht (gibt es etwas Seltsames, das einen genaueren Blick wert ist?)
Alle potenziellen öffentlichen Cloud-Ressourcen gefunden, die zu dem Unternehmen gehören.
E-Mails, Credential Leaks und Secret Leaks, die Ihnen einen großen Gewinn sehr einfach bringen könnten.
Pentesting aller Webseiten, die Sie gefunden haben
Es gibt mehrere Tools, die Teile der vorgeschlagenen Aktionen gegen einen bestimmten Geltungsbereich durchführen.
https://github.com/hackerspider1/EchoPwn - Ein wenig alt und nicht aktualisiert
Alle kostenlosen Kurse von @Jhaddix wie The Bug Hunter's Methodology v4.0 - Recon Edition
Wenn Sie an einer Hacking-Karriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: melden Sie sich an für Intigriti, eine Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Treten Sie uns heute bei https://go.intigriti.com/hacktricks und beginnen Sie, Prämien von bis zu $100,000 zu verdienen!