Hindi - Ht

External Recon Methodology

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप हैकिंग करियर में रुचि रखते हैं और अनहैकेबल को हैक करना चाहते हैं - हम नियुक्ति कर रहे हैं! (फ्लूएंट पोलिश लिखित और बोली जानी चाहिए).

संपत्ति खोजें

तो आपको कहा गया था कि किसी कंपनी के सभी वस्तुएं स्कोप में हैं, और आपको यह जानना है कि यह कंपनी वास्तव में क्या स्वामित्व रखती है।

इस चरण का उद्देश्य है कि मुख्य कंपनी द्वारा स्वामित्वित सभी कंपनियों को प्राप्त करें और फिर इन कंपनियों की संपत्तियों को प्राप्त करें। इसे करने के लिए हमें निम्नलिखित करना होगा:

  1. मुख्य कंपनी की अधिग्रहणों का पता लगाना, यह हमें स्कोप में कंपनियों को देगा।

  2. प्रत्येक कंपनी का एएसएन (यदि कोई हो) खोजें, यह हमें प्रत्येक कंपनी द्वारा स्वामित्वित आईपी सीमाएं देगा

  3. पहले वाले से संबंधित अन्य प्रविष्टियों (संगठन नाम, डोमेन आदि) के लिए रिवर्स व्हॉइस लुकअप का उपयोग करें (यह पुनरावृत्ति द्वारा किया जा सकता है)

  4. अन्य तकनीकों का उपयोग करें जैसे shodan org और ssl फ़िल्टर्स अन्य संपत्तियों के लिए खोजें (यह ssl ट्रिक पुनरावृत्ति द्वारा किया जा सकता है)।

अधिग्रहण

सबसे पहले, हमें जानना होगा कि मुख्य कंपनी द्वारा किसी अन्य कंपनियों का स्वामित्व है। एक विकल्प है https://www.crunchbase.com/ पर जाने, मुख्य कंपनी के लिए खोज करें, और "अधिग्रहण" पर क्लिक करें। वहां आपको मुख्य कंपनी द्वारा अधिग्रहित अन्य कंपनियों को दिखाया जाएगा। दूसरा विकल्प है मुख्य कंपनी के विकिपीडिया पृष्ठ पर जाना और अधिग्रहण के लिए खोजना।

ठीक है, इस बिंदु पर आपको स्कोप में सभी कंपनियों का पता होना चाहिए। चलिए उनकी संपत्तियों को कैसे खोजें, इसे समझते हैं।

एएसएन्स

एक स्वतंत्र प्रणाली संख्या (एएसएन) एक अटोनोमस सिस्टम (AS) को इंटरनेट निर्धारित संख्या प्राधिकरण (आईएएनए) द्वारा एक अटोनोमस सिस्टम (AS) को दी गई एक अद्वितीय संख्या है। एक एएस में आईपी पतों के ब्लॉक होते हैं जिनके लिए बाहरी नेटवर्कों तक पहुंचने के लिए एक स्पष्ट निर्धारित नीति होती है और एक ही संगठन द्वारा प्रबंधित होते हैं लेकिन इसमें कई ऑपरेटर्स हो सकते हैं।

यह दिलचस्प होगा कि क्या कंपनी ने कोई एएसएन सौंपा है ताकि इसके आईपी सीमाएं पता चलें। स्कोप के सभी होस्ट के खिलाफ एक सुरक्षा जांच करना और इन आईपी में डोमेन्स खोजना दिलचस्प होगा। आप https://bgp.he.net/ में कंपनी के नाम, आईपी या डोमेन से खोज कर सकते हैं। कंपनी क्षेत्र के आधार पर ये लिंक्स अधिक डेटा जुटाने के लिए उपयोगी हो सकते हैं: AFRINIC (अफ्रीका), Arin(उत्तर अमेरिका), APNIC (एशिया), LACNIC (लैटिन अमेरिका), RIPE NCC (यूरोप)। जैसे ही, संभावित सभी उपयोगी जानकारी (आईपी सीमाएं और व्हॉइस) पहले लिंक में ही दिखाई देती है।

#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161

इसके अलावा, BBOT's सबडोमेन जांच स्वचालित रूप से स्कैन के अंत में ASNs को संकलित और सारांशित करता है।

bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24      | 5            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509  | 54.148.0.0/15       | 4            | AMAZON-02      | Amazon.com, Inc.           | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24       | 3            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.32.0.0/12         | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.0.0.0/9           | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+

आप एक संगठन के आईपी रेंज भी http://asnlookup.com/ का उपयोग करके पा सकते हैं (इसमें मुफ्त API है)। आप एक डोमेन का आईपी और एएसएन http://ipv4info.com/ का उपयोग करके ढूंढ सकते हैं।

विकल्पों की खोज

इस बिंदु पर हमें दायरा में सभी संपत्तियों के बारे में पता है, इसलिए यदि आपको अनुमति है तो आप कुछ सुरक्षा दोष स्कैनर (Nessus, OpenVAS) को सभी होस्ट पर लॉन्च कर सकते हैं। इसके अलावा, आप कुछ पोर्ट स्कैन भी लॉन्च कर सकते हैं या shodan जैसी सेवाओं का उपयोग करके खुले पोर्ट्स खोज सकते हैं और आपको मिलने वाले आधार पर इस पुस्तक में कैसे पेंटेस्ट करना चाहिए, उसे देखना चाहिएइसके अलावा, यह उल्लेखनीय हो सकता है कि आप कुछ डिफ़ॉल्ट उपयोगकर्ता और पासवर्ड सूचियाँ भी तैयार कर सकते हैं और https://github.com/x90skysn3k/brutespray का उपयोग करके सेवाओं को ब्रूटफ़ोर्स **कर सकते हैं।

डोमेन

हमें दायरा में सभी कंपनियों और उनकी संपत्तियों के बारे में पता है, अब समय है दायरा में डोमेन्स ढूंढने का।

कृपया ध्यान दें कि निम्नलिखित प्रस्तावित तकनीकों में आप सबडोमेन्स भी खोज सकते हैं और उस जानकारी को कम महत्वपूर्ण नहीं समझना चाहिए।

सबसे पहले आपको प्रत्येक कंपनी के मुख्य डोमेन(स) की खोज करनी चाहिए। उदाहरण के लिए, Tesla Inc. के लिए tesla.com होगा।

रिवर्स DNS

जैसे ही आपने सभी डोमेनों के आईपी रेंज पाए हैं, आप उन आईपी पर रिवर्स डीएनएस लुकअप करने का प्रयास कर सकते हैं ताकि दायरा में और डोमेन पाए जा सकें। पीडीएन्एस सर्वर का उपयोग करने की कोशिश करें या किसी पीडीएन्एस सर्वर (1.1.1.1, 8.8.8.8) का उपयोग करें।

dnsrecon -r <DNS Range> -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns

पलटें व्हॉइस (लूप)

एक व्हॉइस के अंदर आपको कई दिलचस्प जानकारी मिल सकती है जैसे संगठन का नाम, पता, ईमेल, फोन नंबर... लेकिन जो और भी दिलचस्प है वह यह है कि आप कंपनी से संबंधित अधिक संपत्तियाँ खोज सकते हैं अगर आप उन क्षेत्रों में से किसी भी के द्वारा पलटें व्हॉइस खोज करते हैं (उदाहरण के लिए जहां एक ही ईमेल प्रकट होता है, वहां अन्य व्हॉइस रजिस्ट्रीज में)। आप ऑनलाइन उपकरणों का उपयोग कर सकते हैं:

आप इस कार्य को DomLink (whoxy API कुंजी की आवश्यकता है) का उपयोग करके स्वचालित कर सकते हैं। आप amass के साथ कुछ स्वचालित पलटें व्हॉइस खोज भी कर सकते हैं: amass intel -d tesla.com -whois

ध्यान दें कि आप इस तकनीक का उपयोग करके हर बार जब आप एक नया डोमेन खोजते हैं, अधिक डोमेन नामों की खोज करने के लिए इस तकनीक का उपयोग कर सकते हैं।

ट्रैकर्स

अगर आप 2 विभिन्न पृष्ठों में एक ही ट्रैकर की एक ही आईडी पाते हैं तो आप समझ सकते हैं कि दोनों पृष्ठ एक ही टीम द्वारा प्रबंधित हैं। उदाहरण के लिए, यदि आप कई पृष्ठों पर एक ही Google Analytics आईडी या एक ही Adsense आईडी देखते हैं।

कुछ पृष्ठ और उपकरण हैं जो आपको इन ट्रैकर्स और अधिक द्वारा खोजने देते हैं:

फेविकॉन

क्या आप जानते हैं कि हम लक्ष्य के संबंधित डोमेन और सब डोमेन्स को एक ही फेविकॉन आइकन हैश की खोज करके खोज सकते हैं? यही वह काम है जिसे @m4ll0k2 द्वारा बनाए गए favihash.py उपकरण करता है। यहाँ इसका उपयोग कैसे करें:

cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

सीधे शब्दों में कहा जाए, favihash हमें हमारे लक्ष्य के समान favicon आइकन हैश वाले डोमेन खोजने की अनुमति देगा।

इसके अतिरिक्त, आप फेविकॉन हैश का उपयोग करके तकनीकों की खोज भी कर सकते हैं जैसा कि इस ब्लॉग पोस्ट में स्पष्ट किया गया है। इसका मतलब है कि यदि आपको किसी वेब तकनीक के एक संक्षिप्त संस्करण के favicon का हैश पता है तो आप शोडन में खोज कर सकते हैं और और अधिक वंशास्पद स्थान खोज सकते हैं:

shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'

यहाँ वेबसाइट के फेविकॉन हैश की गणना कैसे की जा सकती है:

import mmh3
import requests
import codecs

def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash

कॉपीराइट / अद्वितीय स्ट्रिंग

वेब पेज्स के अंदर स्ट्रिंग्स की खोज करें जो संगठन के विभिन्न वेब्स में साझा की जा सकती हैंकॉपीराइट स्ट्रिंग एक अच्छा उदाहरण हो सकता है। फिर उस स्ट्रिंग को google, अन्य ब्राउज़र्स या यहाँ तक कि shodan में खोजें: shodan search http.html:"कॉपीराइट स्ट्रिंग"

सीआरटी समय

ऐसा क्रॉन जॉब होना सामान्य है जैसे कि

# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"

एसर्वर पर सभी डोमेन प्रमाणपत्रों को नवीनीकृत करने के लिए। इसका मतलब है कि यदि इसके लिए उपयोग किया गया सीए इसे वैधता समय में उत्पन्न हुआ है, तो प्रमाणपत्रता लॉग में समान कंपनी के डोमेन खोजना संभव है। इस लेख के लिए अधिक जानकारी के लिए देखें।

मेल DMARC जानकारी

आप एक वेब जैसे https://dmarc.live/info/google.com या एक टूल जैसे https://github.com/Tedixx/dmarc-subdomains का उपयोग करके डोमेन और सबडोमेन साझा करने वाली एक ही dmarc जानकारी खोजने के लिए कर सकते हैं।

निषेधारक ले ओवर

ऐसा लगता है कि लोगों के लिए सामान्य है कि वे उनके उपयोगकर्ता द्वारा उपयोग किए गए आईपी पतों को सबडोमेन्स को सौंपते हैं और किसी समय उस आईपी पते को खो देते हैं लेकिन DNS रिकॉर्ड को हटाने के बारे में भूल जाते हैं। इसलिए, बस एक वीएम को उत्पन्न करने से आप वास्तव में कुछ सबडोमेन(s) को ओवर ले रहे होंगे

यह पोस्ट इसके बारे में एक कहानी का विवरण देता है और एक स्क्रिप्ट का प्रस्ताव देता है जो DigitalOcean में एक वीएम को उत्पन्न करता है, नए मशीन का IPv4 प्राप्त करता है, और उसे इस पर प्वाइंट करने वाले सबडोमेन रिकॉर्ड्स के लिए Virustotal में खोजता है।

अन्य तरीके

ध्यान दें कि आप इस तकनीक का उपयोग करके हर बार जब आप एक नया डोमेन खोजते हैं, अधिक डोमेन नामों की खोज करने के लिए कर सकते हैं।

शोडन

आपको पहले से ही पता है कि आईपी स्थान के मालिकाना नाम का नाम क्या है। आप उस डेटा के द्वारा उसे शोडन में खोज सकते हैं: org:"Tesla, Inc." टीएलएस प्रमाणपत्र में नए अप्रत्याशित डोमेन के लिए पाए गए होस्ट्स की जांच करें।

आप मुख्य वेब पृष्ठ के टीएलएस प्रमाणपत्र तक पहुंच सकते हैं, नए मशीन का संगठन नाम प्राप्त कर सकते हैं और फिर उस नाम की खोज कर सकते हैं शोडन के सभी वेब पृष्ठों के टीएलएस प्रमाणपत्रों में जिन्हें फ़िल्टर के साथ जाना जाता है: ssl:"Tesla Motors" या sslsearch जैसा एक टूल का उपयोग करें।

Assetfinder

Assetfinder एक टूल है जो एक मुख्य डोमेन से संबंधित डोमेनों और उनके सबडोमेन्स की खोज करता है, बहुत शानदार।

विकल्प खोजना

कुछ डोमेन टेकओवर के लिए जांच करें। शायद कोई कंपनी किसी डोमेन का उपयोग कर रही हो लेकिन उन्होंने स्वामित्व खो दिया हो। बस इसे रजिस्टर करें (यदि सस्ता हो) और कंपनी को सूचित करें।

यदि आपको किसी डोमेन मिलता है जिसका आईपी पता अलग है जो आपने पहले ही असेट्स डिस्कवरी में पाए हैं, तो आपको एक मूलभूत सुरक्षा स्कैन (Nessus या OpenVAS का उपयोग करके) और कुछ पोर्ट स्कैन करना चाहिए nmap/masscan/shodan के साथ। जिस सेवाएं चल रही हैं, आप उन्हें "हमला" करने के लिए इस किताब में कुछ ट्रिक्स पा सकते हैंध्यान दें कि कभी-कभी डोमेन उस आईपी के अंदर होस्ट किया जाता है जो ग्राहक द्वारा नियंत्रित नहीं है, इसलिए यह स्कोप में नहीं है, सावधान रहें।

LogoRegister - IntigritiRegister - Intigriti

सबडोमेन्स

हमें स्कोप के अंदर सभी कंपनियों को, प्रत्येक कंपनी के सभी एसेट्स को और सभी कंपनियों से संबंधित सभी डोमेनों को पता है।

अब हमें प्राप्त हुए प्रत्येक डोमेन के सभी संभावित सबडोमेन्स पता करने का समय है।

ध्यान दें कि कुछ उपकरण और तकनीकें डोमेन पता करने में सबडोमेन्स पता करने में भी मदद कर सकती हैं!

DNS

हमें DNS रिकॉर्ड्स से सबडोमेन्स प्राप्त करने का प्रयास करना चाहिए। हमें ज़ोन ट्रांसफर के लिए भी प्रयास करना चाहिए (यदि वंशानुक्रमणीय है, तो आपको इसे रिपोर्ट करना चाहिए)।

dnsrecon -a -d tesla.com

OSINT

बहुत सारे सबडोमेन प्राप्त करने का सबसे तेज तरीका बाहरी स्रोतों में खोजना है। सबसे अधिक प्रयोग किए जाने वाले उपकरण निम्नलिखित हैं (बेहतर परिणाम प्राप्त करने के लिए API कुंजियों को कॉन्फ़िगर करें):

# subdomains
bbot -t tesla.com -f subdomain-enum

# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive

# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"

ऐसे और दिलचस्प उपकरण/API भी हैं जो सबडोमेन्स खोजने में सीधे विशेषज्ञ नहीं हैं, लेकिन सबडोमेन्स खोजने में उपयोगी हो सकते हैं, जैसे:

  • Crobat: API https://sonar.omnisint.io का उपयोग सबडोमेन्स प्राप्त करने के लिए करता है

# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"
curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"
# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com
# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com

  • gau: किसी दिए गए डोमेन से AlienVault के ओपन थ्रेट एक्सचेंज, द वेबैक मशीन, और कॉमन क्रॉल से ज्ञात यूआरएल लाता है।

# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u

  • SubDomainizer & subscraper: वे वेब को स्क्रैप करते हैं जाकर JS फ़ाइलें खोजते हैं और वहां से subdomains निकालते हैं।

# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com

# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f
# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"
export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com
python3 DomainTrail.py -d example.com

यह परियोजना मुफ्त में सभी बग-बाउंटी कार्यक्रमों से संबंधित सभी उपडोमेन्स प्रदान करती है। आप इस डेटा तक पहुंच सकते हैं chaospy का उपयोग करके या इस परियोजना द्वारा उपयोग किए जाने वाले स्कोप तक पहुंच सकते हैं https://github.com/projectdiscovery/chaos-public-program-list

आप इन उपकरणों की तुलना यहाँ कर सकते हैं: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off

DNS ब्रूट फोर्स

चलो नए उपडोमेन्स ढूंढने के लिए DNS सर्वरों को brute-force करते हैं संभावित उपडोमेन नामों का उपयोग करके।

इस क्रिया के लिए आपको कुछ सामान्य उपडोमेन वर्डलिस्ट की आवश्यकता होगी जैसे:

और भी अच्छे DNS रिज़ॉल्वर्स के आईपी। विश्वसनीय DNS रिज़ॉल्वर्स की सूची उत्पन्न करने के लिए आप रिज़ॉल्वर्स को डाउनलोड कर सकते हैं https://public-dns.info/nameservers-all.txt और उन्हें फ़िल्टर करने के लिए dnsvalidator का उपयोग कर सकते हैं। या आप इस्तेमाल कर सकते हैं: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt

DNS ब्रूट फोर्स के लिए सबसे अधिक सिफारिश की जाने वाली उपकरण हैं:

  • massdns: यह पहला उपकरण था जो एक प्रभावी DNS ब्रूट फोर्स करता था। यह बहुत तेज है हालांकि यह गलत सकारात्मक के लिए प्रवृत है।

sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt

  • gobuster: इसमें मुझे लगता है कि केवल 1 रिज़ॉल्वर का उपयोग होता है।

gobuster dns -d mysite.com -t 50 -w subdomains.txt

  • shuffledns एक massdns के चारों ओर लिखा गया एक व्रापर है, जो आपको सक्रिय ब्रूटफोर्स का उपयोग करके वैध सबडोमेन की जांच करने की अनुमति देता है, साथ ही वाइल्डकार्ड हैंडलिंग और आसान इनपुट-आउटपुट समर्थन के साथ सबडोमेन को सुलझाने की अनुमति देता है।

shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt

  • puredns: यह भी massdns का उपयोग करता है।

puredns bruteforce all.txt domain.com

  • aiodnsbrute एसिंक्रोनसली डोमेन नामों को ब्रूट फोर्स करने के लिए asyncio का उपयोग करता है।

aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com

दूसरे DNS ब्रूट-फोर्स राउंड

ओपन सोर्सेस और ब्रूट-फोर्सिंग का उपयोग करके सबडोमेन्स पाने के बाद, आप पाए गए सबडोमेन्स के बदलाव उत्पन्न कर सकते हैं ताकि और भी अधिक पाए जा सकें। इस उद्देश्य के लिए कई टूल उपयोगी हैं:

  • dnsgen: डोमेन और सबडोमेन्स को दिया गया परिवर्तन उत्पन्न करें।

cat subdomains.txt | dnsgen -

  • goaltdns: डोमेन और सबडोमेन दिए गए परिपरिक्षण उत्पन्न करें।

  • आप यहाँ वर्डलिस्ट में goaltdns परिपरिक्षण परिमाण प्राप्त कर सकते हैं।

goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt

  • गोटेटर: डोमेन और सबडोमेन दिए गए परिमुटेशन उत्पन्न करें। अगर परिमुटेशन फ़ाइल निर्दिष्ट नहीं की गई है तो गोटेटर अपनी खुद की एक उपयोग करेगा।

gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]

  • altdns: उपसर्ग उपस्थितियों का निर्माण करने के अलावा, यह उन्हें सुलझाने की कोशिश भी कर सकता है (लेकिन पिछले टिप्पणित उपकरणों का उपयोग करना बेहतर है)।

  • आप यहाँ यहाँ altdns उपसर्ग शब्द सूची प्राप्त कर सकते हैं।

altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3

  • dmut: एक औजार जो subdomains की permutations, mutations और alterations को करने के लिए है। यह औजार brute force करेगा परिणाम (यह dns wild card का समर्थन नहीं करता)।

  • आप dmut permutations wordlist यहाँ में प्राप्त कर सकते हैं।

cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt

  • alterx: एक डोमेन पर आधारित है जो नए संभावित सबडोमेन नाम उत्पन्न करता है जो निर्दिष्ट पैटर्न के आधार पर अधिक सबडोमेन खोजने की कोशिश करता है।

स्मार्ट परिमाण उत्पन्न

  • regulator: अधिक जानकारी के लिए इस पोस्ट को पढ़ें लेकिन यह मुख्य भागों को खोजे गए सबडोमेन से प्राप्त करेगा और उन्हें मिश्रित करेगा ताकि अधिक सबडोमेन मिल सकें।

python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid

  • subzuf: subzuf एक सबडोमेन ब्रूट-फोर्स फज़र है जिसे एक अत्यधिक सरल लेकिन प्रभावी DNS प्रतिक्रिया-निर्देशित एल्गोरिदम के साथ जोड़ा गया है। यह एक विशेष वर्डलिस्ट या ऐतिहासिक DNS/TLS रिकॉर्ड्स जैसे प्रदत्त इनपुट डेटा का उपयोग करता है, ताकि अधिक संबंधित डोमेन नामों को सार्थक रूप से सिन्थेसाइज़ किया जा सके और DNS स्कैन के दौरान जुटाई गई जानकारी के आधार पर उन्हें और भी अधिक विस्तारित किया जा सके।

echo www | subzuf facebook.com

सबडोमेन खोज वर्कफ़्लो

जांचें इस ब्लॉग पोस्ट को जिसमें मैंने लिखा है कि कैसे ट्रिकेस्ट वर्कफ़्लो का उपयोग करके डोमेन से सबडोमेन खोज को स्वचालित करें ताकि मुझे अपने कंप्यूटर में मैन्युअल रूप से कई उपकरणों को लॉन्च करने की आवश्यकता न हो:

VHosts / वर्चुअल होस्ट्स

अगर आपने किसी आईपी पते को पाया है जिसमें एक या कई वेब पेज सबडोमेन के स्वामित्व में हैं, तो आप उस आईपी में अन्य सबडोमेन खोज सकते हैं जिनमें वेब है डोमेन्स के लिए आईपी में देखकर या उस आईपी में VHost डोमेन नामों को ब्रूट-फ़ोर्स करके

OSINT

आप कुछ आईपी में VHosts खोज सकते हैं HostHunter या अन्य API का उपयोग करके

ब्रूट फ़ोर्स

अगर आपको लगता है कि किसी सबडोमेन को वेब सर्वर में छिपा हो सकता है तो आप इसे ब्रूट फ़ोर्स करने की कोशिश कर सकते हैं:

ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"

gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt

wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100

#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"

#https://github.com/codingo/VHostScan
VHostScan -t example.com

इस तकनीक के साथ आप आंतरिक/छिपे हुए एंडपॉइंट्स तक पहुंच सकते हैं।

CORS ब्रूट फोर्स

कभी-कभी आप पृष्ठ मिलेंगे जो केवल वापसी शीर्षक Access-Control-Allow-Origin वापस करते हैं जब एक मान्य डोमेन/सबडोमेन Origin शीर्षक में सेट किया जाता है। इन परिदृश्यों में, आप इस व्यवहार का दुरुपयोग करके नए सबडोमेन की खोज कर सकते हैं।

ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body

बकेट्स ब्रूट फोर्स

सबडोमेन्स की खोज करते समय ध्यान रखें कि क्या यह किसी प्रकार के बकेट को पॉइंट कर रहा है, और उस मामले में अनुमतियों की जांच करें. इसके अलावा, इस समय आपको यह पता चल जाएगा कि दायरा में सभी डोमेन्स के अंदर कौन-कौन से हैं, इसलिए संभावित बकेट नामों की ब्रूट फोर्स करें और अनुमतियों की जांच करें.

मॉनिटरिजेशन

आप यह निगरानी कर सकते हैं कि क्या किसी डोमेन के नए सबडोमेन्स बनाए गए हैं, सर्टिफिकेट ट्रांसपेरेंसी लॉग sublert की मॉनिटरिंग करके।

विकल्पों की खोज

संभावित सबडोमेन टेकओवर की जांच करें। अगर सबडोमेन किसी S3 बकेट को पॉइंट कर रहा है, तो अनुमतियों की जांच करें.

अगर आपको किसी सबडोमेन में किसी भी पहले से अलग आईपी मिलती है जो आपने पहले ही आस्तित्व की खोज में पाई है, तो आपको एक बेसिक सुरक्षा स्कैन (Nessus या OpenVAS का उपयोग करके) और कुछ पोर्ट स्कैन जैसे nmap/masscan/shodan के साथ करना चाहिए। चल रही सेवाओं पर निर्भर करता है कि आप उन्हें "हमला" करने के लिए इस किताब में कुछ ट्रिक्स पा सकते हैं। ध्यान दें कि कभी-कभी सबडोमेन उस आईपी के अंदर होस्ट किया जाता है जो ग्राहक द्वारा नियंत्रित नहीं है, इसलिए यह दायरे में नहीं है, सावधान रहें.

आईपी

प्रारंभिक चरणों में आपने कुछ आईपी रेंज, डोमेन और सबडोमेन्स पाए होंगे। अब समय है कि आप उन रेंजों से सभी आईपी एवं डोमेन/सबडोमेन्स को पुनः जुटाएं (डीएनएस क्वेरीज का उपयोग करके)।

निम्नलिखित मुफ्त एपीआई सेवाओं का उपयोग करके आप डोमेन और सबडोमेन्स द्वारा पहले उपयोग किए गए आईपी भी खोज सकते हैं। ये आईपी अब भी ग्राहक द्वारा स्वामित्व में हो सकते हैं (और आपको क्लाउडफ्लेयर बाइपास खोजने की अनुमति देने की संभावना है)

आप टूल hakip2host का उपयोग करके किसी विशिष्ट आईपी पते पर पॉइंट करने वाले डोमेन की जांच भी कर सकते हैं।

विकल्पों की खोज

सीडीएन्स से संबंधित न होने वाली सभी आईपी को पोर्ट स्कैन करें (क्योंकि आपको वहाँ कुछ भी दिलचस्प नहीं मिलेगा)। चल रही सेवाओं में पाए गए विकल्पों में आप विकल्पों को खोजने में सक्षम हो सकते हैं

होस्ट स्कैन करने के लिए एक गाइड खोजें।

वेब सर्वर्स की शिकारी

हमने सभी कंपनियों और उनके संपत्तियों की खोज कर ली है और हमें दायरा में आईपी रेंज, डोमेन और सबडोमेन्स पता है। अब वेब सर्वर्स की खोज करने का समय है।

पिछले चरणों में आपने संदर्भित आईपी और डोमेन की खोज की होगी, इसलिए आपने संभावित वेब सर्वर्स पहले ही पाए होंगे। हालांकि, अगर आपने नहीं किया है तो अब हम देखेंगे कि दायरा में वेब सर्वर्स खोजने के लिए कुछ तेज ट्रिक्स हैं।

कृपया ध्यान दें कि यह वेब ऐप्स खोज के लिए अभिविष्ट होगा, इसलिए आपको यदि स्कोप द्वारा अनुमति दी गई है तो विकल्पों की खोज और पोर्ट स्कैनिंग भी करनी चाहिए।

वेब सर्वर्स से संबंधित खुले पोर्ट्स खोजने के लिए masscan यहाँ पाया जा सकता है। एक और मित्रशील टूल वेब सर्वर्स की खोज करने के लिए httprobe, fprobe और httpx है। आप एक डोमेनों की सूची पास करेंगे और यह 80 (http) और 443 (https) पोर्ट से कनेक्ट करने की कोशिश करेगा। इसके अतिरिक्त, आप अन्य पोर्ट की कोशिश करने के लिए इंडिकेट कर सकते हैं:

cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443

स्क्रीनशॉट्स

अब जब आपने स्कोप में मौजूद सभी वेब सर्वर (कंपनी के IPs और सभी डोमेन और सबडोमेन्स के बीच) का पता लगा लिया है, तो शायद आप शुरू कहाँ से करें इसका पता नहीं होगा। इसलिए, आइए इसे सरल बनाते हैं और बस उन सभी का स्क्रीनशॉट लेने से शुरू करें। मुख्य पृष्ठ पर एक नजर डालकर आप अजीब एंडपॉइंट्स खोज सकते हैं जो अधिक वंशी होने के योग्य हैं।

प्रस्तावित विचार को कार्यान्वित करने के लिए आप EyeWitness, HttpScreenshot, Aquatone, Shutter, Gowitness या webscreenshot** का उपयोग कर सकते हैं।**

इसके अतिरिक्त, आप फिर eyeballer का उपयोग कर सकते हैं ताकि वह सभी स्क्रीनशॉट्स पर चले और आपको बताए कि किसमें संभावित दोष हैं, और क्या नहीं।

सार्वजनिक क्लाउड संपत्तियाँ

किसी कंपनी की संभावित क्लाउड संपत्तियों का पता लगाने के लिए आपको उस कंपनी की पहचान करने वाले शब्दों की सूची के साथ शुरू करना चाहिए। उदाहरण के लिए, एक क्रिप्टो कंपनी के लिए आप शब्दों का उपयोग कर सकते हैं जैसे: "क्रिप्टो", "वॉलेट", "डाओ", "<डोमेन_नाम>", <"सबडोमेन_नाम">

आपको उसी तरह की बाल्टों में उपयोग किए जाने वाले सामान्य शब्दों की शब्द सूचियाँ भी चाहिए:

फिर, उन शब्दों के साथ आपको अनुक्रमणिकाएँ उत्पन्न करनी चाहिए (अधिक जानकारी के लिए दूसरे दिन DNS ब्रूट-फोर्स की जांच करें)।

नतीजतन शब्द सूचियों के साथ आप cloud_enum, CloudScraper, cloudlist या S3Scanner** जैसे उपकरणों का उपयोग कर सकते हैं।**

ध्यान दें कि क्लाउड संपत्तियों की खोज करते समय आपको AWS में बाल्टों के अलावा भी देखना चाहिए

दोषों की खोज

यदि आपको खुले बाल्टों या क्लाउड फंक्शन उजागर जैसी चीजें मिलती हैं, तो आपको उन्हें पहुंचना चाहिए और देखने की कोशिश करनी चाहिए कि वे आपको क्या प्रदान करते हैं और क्या आप उनका दुरुपयोग कर सकते हैं।

ईमेल

स्कोप में मौजूद डोमेन और सबडोमेन्स के साथ आपके पास आम तौर पर ईमेल खोजने के लिए सभी वह है जो आपको आरंभ करने की आवश्यकता है। ये हैं उन APIs और उपकरण जो मेरे लिए सबसे अच्छे साबित हुए हैं ईमेल खोजने के लिए:

दोषों की खोज

ईमेल बाद में वेब लॉगिन और प्रमाणीकरण सेवाओं के लिए ब्रूट-फोर्स (जैसे SSH) करने के लिए उपयोगी होंगे। इसके अतिरिक्त, ये फिशिंग के लिए आवश्यक हैं। इसके अतिरिक्त, ये APIs आपको ईमेल के पीछे व्यक्ति के बारे में और अधिक जानकारी देंगे, जो फिशिंग अभियान के लिए उपयोगी है।

प्रमाणक लीक

डोमेन, सबडोमेन्स, और ईमेल के साथ आप उन ईमेलों के लिए लीक हो चुके प्रमाणकों की खोज शुरू कर सकते हैं जो उन ईमेलों के लिए सम्मिलित हैं:

दोषों की खोज

यदि आप मान्य लीक प्रमाणक पाते हैं, तो यह बहुत ही आसान जीत है।

रहस्य लीक

प्रमाणक लीक हैं कंपनियों के हैक्स से संबंधित जहां संवेदनशील जानकारी लीक हो गई और बेची गई। हालांकि, कंपनियों को अन्य लीक से प्रभावित किया जा सकता है जिनकी जानकारी उन डेटाबेसों में नहीं है:

गिटहब लीक

प्रमाणक और APIs कंपनी के सार्वजनिक रिपॉजिटरी या उस गिटहब कंपनी के उपयोगकर्ताओं के सार्वजनिक रिपॉजिटरी में लीक हो सकते हैं। आप उपकरण Leakos का उपयोग कर सकते हैं एक संगठन के सभी सार्वजनिक रेपो और उसके डेवलपर्स के सार्वजनिक रेपो को डाउनलोड करने और उन पर स्वचालित रूप से gitleaks चलाने के लिए।

Leakos का उपयोग भी किया जा सकता है gitleaks को फिर से चलाने के लिए सभी टेक्स्ट प्रदान किए गए URLs पर जैसे कि कभी-कभी वेब पृष्ठ भी रहस्य सम्मिलित करते हैं

गिटहब डोर्क्स

आप आक्रमण कर रहे संगठन में खोजने के लिए इस पृष्ठ की भी जांच करें गिटहब डोर्क्स के संभावित।

pageGithub Dorks & Leaks

पेस्ट्स लीक

कभी-कभी हमलावर या केवल कर्मचारी कंपनी सामग्री को एक पेस्ट साइट में प्रकाशित करेंगे। इसमें संवेदनशील जानकारी हो सकती है या नहीं हो सकती है, लेकिन इसे खोजना बहुत दिलचस्प है। आप उपकरण Pastos का उपयोग कर सकते हैं एक साथ 80 से अधिक पेस्ट साइटों में खोजने के लिए।

गूगल डोर्क्स

पुराने लेकिन सोने के गूगल डोर्क्स हमेशा उजागर जानकारी खोजने के लिए उपयोगी होते हैं। एकमात्र समस्या यह है कि google-hacking-database कई हजारों संभावित क्वेरी शामिल करता है जिन्हें आप मैन्युअल रूप से नहीं चला सकते। इसलिए, आप अपने पसंदीदा 10 क्वेरी ले सकते हैं या आप एक उपकरण जैसे Gorks **का उपय

पेंटेस्टिंग वेब मेथडोलॉजी

बग हंटर्स द्वारा पाए गए अधिकांश सुरक्षादायकताएं वेब एप्लिकेशन के अंदर होती हैं, इसलिए इस समय मैं एक वेब एप्लिकेशन टेस्टिंग मेथडोलॉजी के बारे में बात करना चाहूंगा, और आप इस जानकारी को यहाँ पा सकते हैं.

मैं भी विशेष रूप से ध्यान देना चाहूंगा वेब ऑटोमेटेड स्कैनर ओपन सोर्स टूल्स विभाग को, क्योंकि, यदि आपको उन्हें आपको बहुत संवेदनशील दोषों को खोजने की उम्मीद नहीं है, तो वे कुछ प्रारंभिक वेब जानकारी पर लागू करने में मददगार होते हैं।

संक्षेप

बधाई हो! इस समय तक आपने पहले से ही सभी मौलिक गणना कर ली है। हाँ, यह मौलिक है क्योंकि और भी अधिक गणना की जा सकती है (बाद में और ट्रिक्स देखेंगे)।

तो आपने पहले से ही किया है:

  1. सभी कंपनियों को स्कोप के अंदर पाया

  2. कंपनियों के सभी संपत्तियों को पाया (और स्कोप में हो तो कुछ वल्न स्कैन किया)

  3. कंपनियों के सभी डोमेन को पाया

  4. डोमेन के सभी सबडोमेन को पाया (कोई सबडोमेन ले ओवर?)

  5. स्कोप के अंदर सभी आईपी (सीडीएन से नहीं) को पाया।

  6. सभी वेब सर्वर पाए और उनका स्क्रीनशॉट लिया (कुछ अजीब चीजें जिन्हें गहराई से देखने लायक हैं?)

  7. कंपनी के सभी संभावित सार्वजनिक क्लाउड संपत्तियाँ पायी।

  8. ईमेल, क्रेडेंशियल लीक्स, और रहस्य लीक्स जो आपको एक बड़ी जीत बहुत आसानी से दे सकते हैं।

  9. आपने पाए सभी वेब्स को पेंटेस्ट किया

पूर्ण रिकॉन ऑटोमेटिक टूल्स

कई ऐसे टूल्स हैं जो दिए गए स्कोप के खिलाफ प्रस्तावित कार्रवाई का हिस्सा करेंगे।

संदर्भ

यदि आप हैकिंग करियर में रुचि रखते हैं और अनहैकेबल को हैक करना चाहते हैं - हम नियुक्ति कर रहे हैं! (चुस्त पोलिश लिखने और बोलने की आवश्यकता है)

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

PreviousPentesting MethodologyNextWide Source Code Search

Last updated