External Recon Methodology
यदि आप हैकिंग करियर में रुचि रखते हैं और अनहैकेबल को हैक करना चाहते हैं - हम नियुक्ति कर रहे हैं! (फ्लूएंट पोलिश लिखित और बोली जानी चाहिए).
संपत्ति खोजें
तो आपको कहा गया था कि किसी कंपनी के सभी वस्तुएं स्कोप में हैं, और आपको यह जानना है कि यह कंपनी वास्तव में क्या स्वामित्व रखती है।
इस चरण का उद्देश्य है कि मुख्य कंपनी द्वारा स्वामित्वित सभी कंपनियों को प्राप्त करें और फिर इन कंपनियों की संपत्तियों को प्राप्त करें। इसे करने के लिए हमें निम्नलिखित करना होगा:
मुख्य कंपनी की अधिग्रहणों का पता लगाना, यह हमें स्कोप में कंपनियों को देगा।
प्रत्येक कंपनी का एएसएन (यदि कोई हो) खोजें, यह हमें प्रत्येक कंपनी द्वारा स्वामित्वित आईपी सीमाएं देगा
पहले वाले से संबंधित अन्य प्रविष्टियों (संगठन नाम, डोमेन आदि) के लिए रिवर्स व्हॉइस लुकअप का उपयोग करें (यह पुनरावृत्ति द्वारा किया जा सकता है)
अन्य तकनीकों का उपयोग करें जैसे shodan
org
औरssl
फ़िल्टर्स अन्य संपत्तियों के लिए खोजें (यहssl
ट्रिक पुनरावृत्ति द्वारा किया जा सकता है)।
अधिग्रहण
सबसे पहले, हमें जानना होगा कि मुख्य कंपनी द्वारा किसी अन्य कंपनियों का स्वामित्व है। एक विकल्प है https://www.crunchbase.com/ पर जाने, मुख्य कंपनी के लिए खोज करें, और "अधिग्रहण" पर क्लिक करें। वहां आपको मुख्य कंपनी द्वारा अधिग्रहित अन्य कंपनियों को दिखाया जाएगा। दूसरा विकल्प है मुख्य कंपनी के विकिपीडिया पृष्ठ पर जाना और अधिग्रहण के लिए खोजना।
ठीक है, इस बिंदु पर आपको स्कोप में सभी कंपनियों का पता होना चाहिए। चलिए उनकी संपत्तियों को कैसे खोजें, इसे समझते हैं।
एएसएन्स
एक स्वतंत्र प्रणाली संख्या (एएसएन) एक अटोनोमस सिस्टम (AS) को इंटरनेट निर्धारित संख्या प्राधिकरण (आईएएनए) द्वारा एक अटोनोमस सिस्टम (AS) को दी गई एक अद्वितीय संख्या है। एक एएस में आईपी पतों के ब्लॉक होते हैं जिनके लिए बाहरी नेटवर्कों तक पहुंचने के लिए एक स्पष्ट निर्धारित नीति होती है और एक ही संगठन द्वारा प्रबंधित होते हैं लेकिन इसमें कई ऑपरेटर्स हो सकते हैं।
यह दिलचस्प होगा कि क्या कंपनी ने कोई एएसएन सौंपा है ताकि इसके आईपी सीमाएं पता चलें। स्कोप के सभी होस्ट के खिलाफ एक सुरक्षा जांच करना और इन आईपी में डोमेन्स खोजना दिलचस्प होगा। आप https://bgp.he.net/ में कंपनी के नाम, आईपी या डोमेन से खोज कर सकते हैं। कंपनी क्षेत्र के आधार पर ये लिंक्स अधिक डेटा जुटाने के लिए उपयोगी हो सकते हैं: AFRINIC (अफ्रीका), Arin(उत्तर अमेरिका), APNIC (एशिया), LACNIC (लैटिन अमेरिका), RIPE NCC (यूरोप)। जैसे ही, संभावित सभी उपयोगी जानकारी (आईपी सीमाएं और व्हॉइस) पहले लिंक में ही दिखाई देती है।
इसके अलावा, BBOT's सबडोमेन जांच स्वचालित रूप से स्कैन के अंत में ASNs को संकलित और सारांशित करता है।
आप एक संगठन के आईपी रेंज भी http://asnlookup.com/ का उपयोग करके पा सकते हैं (इसमें मुफ्त API है)। आप एक डोमेन का आईपी और एएसएन http://ipv4info.com/ का उपयोग करके ढूंढ सकते हैं।
विकल्पों की खोज
इस बिंदु पर हमें दायरा में सभी संपत्तियों के बारे में पता है, इसलिए यदि आपको अनुमति है तो आप कुछ सुरक्षा दोष स्कैनर (Nessus, OpenVAS) को सभी होस्ट पर लॉन्च कर सकते हैं। इसके अलावा, आप कुछ पोर्ट स्कैन भी लॉन्च कर सकते हैं या shodan जैसी सेवाओं का उपयोग करके खुले पोर्ट्स खोज सकते हैं और आपको मिलने वाले आधार पर इस पुस्तक में कैसे पेंटेस्ट करना चाहिए, उसे देखना चाहिए। इसके अलावा, यह उल्लेखनीय हो सकता है कि आप कुछ डिफ़ॉल्ट उपयोगकर्ता और पासवर्ड सूचियाँ भी तैयार कर सकते हैं और https://github.com/x90skysn3k/brutespray का उपयोग करके सेवाओं को ब्रूटफ़ोर्स **कर सकते हैं।
डोमेन
हमें दायरा में सभी कंपनियों और उनकी संपत्तियों के बारे में पता है, अब समय है दायरा में डोमेन्स ढूंढने का।
कृपया ध्यान दें कि निम्नलिखित प्रस्तावित तकनीकों में आप सबडोमेन्स भी खोज सकते हैं और उस जानकारी को कम महत्वपूर्ण नहीं समझना चाहिए।
सबसे पहले आपको प्रत्येक कंपनी के मुख्य डोमेन(स) की खोज करनी चाहिए। उदाहरण के लिए, Tesla Inc. के लिए tesla.com होगा।
रिवर्स DNS
जैसे ही आपने सभी डोमेनों के आईपी रेंज पाए हैं, आप उन आईपी पर रिवर्स डीएनएस लुकअप करने का प्रयास कर सकते हैं ताकि दायरा में और डोमेन पाए जा सकें। पीडीएन्एस सर्वर का उपयोग करने की कोशिश करें या किसी पीडीएन्एस सर्वर (1.1.1.1, 8.8.8.8) का उपयोग करें।
पलटें व्हॉइस (लूप)
एक व्हॉइस के अंदर आपको कई दिलचस्प जानकारी मिल सकती है जैसे संगठन का नाम, पता, ईमेल, फोन नंबर... लेकिन जो और भी दिलचस्प है वह यह है कि आप कंपनी से संबंधित अधिक संपत्तियाँ खोज सकते हैं अगर आप उन क्षेत्रों में से किसी भी के द्वारा पलटें व्हॉइस खोज करते हैं (उदाहरण के लिए जहां एक ही ईमेल प्रकट होता है, वहां अन्य व्हॉइस रजिस्ट्रीज में)। आप ऑनलाइन उपकरणों का उपयोग कर सकते हैं:
https://www.reversewhois.io/ - मुफ्त
https://www.whoxy.com/ - मुफ्त वेब, मुफ्त एपीआई नहीं।
http://reversewhois.domaintools.com/ - मुफ्त नहीं
https://drs.whoisxmlapi.com/reverse-whois-search - मुफ्त नहीं (केवल 100 मुफ्त खोजें)
https://www.domainiq.com/ - मुफ्त नहीं
आप इस कार्य को DomLink (whoxy API कुंजी की आवश्यकता है) का उपयोग करके स्वचालित कर सकते हैं।
आप amass के साथ कुछ स्वचालित पलटें व्हॉइस खोज भी कर सकते हैं: amass intel -d tesla.com -whois
ध्यान दें कि आप इस तकनीक का उपयोग करके हर बार जब आप एक नया डोमेन खोजते हैं, अधिक डोमेन नामों की खोज करने के लिए इस तकनीक का उपयोग कर सकते हैं।
ट्रैकर्स
अगर आप 2 विभिन्न पृष्ठों में एक ही ट्रैकर की एक ही आईडी पाते हैं तो आप समझ सकते हैं कि दोनों पृष्ठ एक ही टीम द्वारा प्रबंधित हैं। उदाहरण के लिए, यदि आप कई पृष्ठों पर एक ही Google Analytics आईडी या एक ही Adsense आईडी देखते हैं।
कुछ पृष्ठ और उपकरण हैं जो आपको इन ट्रैकर्स और अधिक द्वारा खोजने देते हैं:
फेविकॉन
क्या आप जानते हैं कि हम लक्ष्य के संबंधित डोमेन और सब डोमेन्स को एक ही फेविकॉन आइकन हैश की खोज करके खोज सकते हैं? यही वह काम है जिसे @m4ll0k2 द्वारा बनाए गए favihash.py उपकरण करता है। यहाँ इसका उपयोग कैसे करें:
सीधे शब्दों में कहा जाए, favihash हमें हमारे लक्ष्य के समान favicon आइकन हैश वाले डोमेन खोजने की अनुमति देगा।
इसके अतिरिक्त, आप फेविकॉन हैश का उपयोग करके तकनीकों की खोज भी कर सकते हैं जैसा कि इस ब्लॉग पोस्ट में स्पष्ट किया गया है। इसका मतलब है कि यदि आपको किसी वेब तकनीक के एक संक्षिप्त संस्करण के favicon का हैश पता है तो आप शोडन में खोज कर सकते हैं और और अधिक वंशास्पद स्थान खोज सकते हैं:
यहाँ वेबसाइट के फेविकॉन हैश की गणना कैसे की जा सकती है:
कॉपीराइट / अद्वितीय स्ट्रिंग
वेब पेज्स के अंदर स्ट्रिंग्स की खोज करें जो संगठन के विभिन्न वेब्स में साझा की जा सकती हैं। कॉपीराइट स्ट्रिंग एक अच्छा उदाहरण हो सकता है। फिर उस स्ट्रिंग को google, अन्य ब्राउज़र्स या यहाँ तक कि shodan में खोजें: shodan search http.html:"कॉपीराइट स्ट्रिंग"
सीआरटी समय
ऐसा क्रॉन जॉब होना सामान्य है जैसे कि
एसर्वर पर सभी डोमेन प्रमाणपत्रों को नवीनीकृत करने के लिए। इसका मतलब है कि यदि इसके लिए उपयोग किया गया सीए इसे वैधता समय में उत्पन्न हुआ है, तो प्रमाणपत्रता लॉग में समान कंपनी के डोमेन खोजना संभव है। इस लेख के लिए अधिक जानकारी के लिए देखें।
मेल DMARC जानकारी
आप एक वेब जैसे https://dmarc.live/info/google.com या एक टूल जैसे https://github.com/Tedixx/dmarc-subdomains का उपयोग करके डोमेन और सबडोमेन साझा करने वाली एक ही dmarc जानकारी खोजने के लिए कर सकते हैं।
निषेधारक ले ओवर
ऐसा लगता है कि लोगों के लिए सामान्य है कि वे उनके उपयोगकर्ता द्वारा उपयोग किए गए आईपी पतों को सबडोमेन्स को सौंपते हैं और किसी समय उस आईपी पते को खो देते हैं लेकिन DNS रिकॉर्ड को हटाने के बारे में भूल जाते हैं। इसलिए, बस एक वीएम को उत्पन्न करने से आप वास्तव में कुछ सबडोमेन(s) को ओवर ले रहे होंगे।
यह पोस्ट इसके बारे में एक कहानी का विवरण देता है और एक स्क्रिप्ट का प्रस्ताव देता है जो DigitalOcean में एक वीएम को उत्पन्न करता है, नए मशीन का IPv4 प्राप्त करता है, और उसे इस पर प्वाइंट करने वाले सबडोमेन रिकॉर्ड्स के लिए Virustotal में खोजता है।
अन्य तरीके
ध्यान दें कि आप इस तकनीक का उपयोग करके हर बार जब आप एक नया डोमेन खोजते हैं, अधिक डोमेन नामों की खोज करने के लिए कर सकते हैं।
शोडन
आपको पहले से ही पता है कि आईपी स्थान के मालिकाना नाम का नाम क्या है। आप उस डेटा के द्वारा उसे शोडन में खोज सकते हैं: org:"Tesla, Inc."
टीएलएस प्रमाणपत्र में नए अप्रत्याशित डोमेन के लिए पाए गए होस्ट्स की जांच करें।
आप मुख्य वेब पृष्ठ के टीएलएस प्रमाणपत्र तक पहुंच सकते हैं, नए मशीन का संगठन नाम प्राप्त कर सकते हैं और फिर उस नाम की खोज कर सकते हैं शोडन के सभी वेब पृष्ठों के टीएलएस प्रमाणपत्रों में जिन्हें फ़िल्टर के साथ जाना जाता है: ssl:"Tesla Motors"
या sslsearch जैसा एक टूल का उपयोग करें।
Assetfinder
Assetfinder एक टूल है जो एक मुख्य डोमेन से संबंधित डोमेनों और उनके सबडोमेन्स की खोज करता है, बहुत शानदार।
विकल्प खोजना
कुछ डोमेन टेकओवर के लिए जांच करें। शायद कोई कंपनी किसी डोमेन का उपयोग कर रही हो लेकिन उन्होंने स्वामित्व खो दिया हो। बस इसे रजिस्टर करें (यदि सस्ता हो) और कंपनी को सूचित करें।
यदि आपको किसी डोमेन मिलता है जिसका आईपी पता अलग है जो आपने पहले ही असेट्स डिस्कवरी में पाए हैं, तो आपको एक मूलभूत सुरक्षा स्कैन (Nessus या OpenVAS का उपयोग करके) और कुछ पोर्ट स्कैन करना चाहिए nmap/masscan/shodan के साथ। जिस सेवाएं चल रही हैं, आप उन्हें "हमला" करने के लिए इस किताब में कुछ ट्रिक्स पा सकते हैं। ध्यान दें कि कभी-कभी डोमेन उस आईपी के अंदर होस्ट किया जाता है जो ग्राहक द्वारा नियंत्रित नहीं है, इसलिए यह स्कोप में नहीं है, सावधान रहें।
सबडोमेन्स
हमें स्कोप के अंदर सभी कंपनियों को, प्रत्येक कंपनी के सभी एसेट्स को और सभी कंपनियों से संबंधित सभी डोमेनों को पता है।
अब हमें प्राप्त हुए प्रत्येक डोमेन के सभी संभावित सबडोमेन्स पता करने का समय है।
ध्यान दें कि कुछ उपकरण और तकनीकें डोमेन पता करने में सबडोमेन्स पता करने में भी मदद कर सकती हैं!
DNS
हमें DNS रिकॉर्ड्स से सबडोमेन्स प्राप्त करने का प्रयास करना चाहिए। हमें ज़ोन ट्रांसफर के लिए भी प्रयास करना चाहिए (यदि वंशानुक्रमणीय है, तो आपको इसे रिपोर्ट करना चाहिए)।
OSINT
बहुत सारे सबडोमेन प्राप्त करने का सबसे तेज तरीका बाहरी स्रोतों में खोजना है। सबसे अधिक प्रयोग किए जाने वाले उपकरण निम्नलिखित हैं (बेहतर परिणाम प्राप्त करने के लिए API कुंजियों को कॉन्फ़िगर करें):
ऐसे और दिलचस्प उपकरण/API भी हैं जो सबडोमेन्स खोजने में सीधे विशेषज्ञ नहीं हैं, लेकिन सबडोमेन्स खोजने में उपयोगी हो सकते हैं, जैसे:
Crobat: API https://sonar.omnisint.io का उपयोग सबडोमेन्स प्राप्त करने के लिए करता है
RapidDNS मुफ्त API
gau: किसी दिए गए डोमेन से AlienVault के ओपन थ्रेट एक्सचेंज, द वेबैक मशीन, और कॉमन क्रॉल से ज्ञात यूआरएल लाता है।
SubDomainizer & subscraper: वे वेब को स्क्रैप करते हैं जाकर JS फ़ाइलें खोजते हैं और वहां से subdomains निकालते हैं।
securitytrails.com के पास उपडोमेन्स और आईपी इतिहास खोजने के लिए एक मुफ्त API है
यह परियोजना मुफ्त में सभी बग-बाउंटी कार्यक्रमों से संबंधित सभी उपडोमेन्स प्रदान करती है। आप इस डेटा तक पहुंच सकते हैं chaospy का उपयोग करके या इस परियोजना द्वारा उपयोग किए जाने वाले स्कोप तक पहुंच सकते हैं https://github.com/projectdiscovery/chaos-public-program-list
आप इन उपकरणों की तुलना यहाँ कर सकते हैं: https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off
DNS ब्रूट फोर्स
चलो नए उपडोमेन्स ढूंढने के लिए DNS सर्वरों को brute-force करते हैं संभावित उपडोमेन नामों का उपयोग करके।
इस क्रिया के लिए आपको कुछ सामान्य उपडोमेन वर्डलिस्ट की आवश्यकता होगी जैसे:
और भी अच्छे DNS रिज़ॉल्वर्स के आईपी। विश्वसनीय DNS रिज़ॉल्वर्स की सूची उत्पन्न करने के लिए आप रिज़ॉल्वर्स को डाउनलोड कर सकते हैं https://public-dns.info/nameservers-all.txt और उन्हें फ़िल्टर करने के लिए dnsvalidator का उपयोग कर सकते हैं। या आप इस्तेमाल कर सकते हैं: https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt
DNS ब्रूट फोर्स के लिए सबसे अधिक सिफारिश की जाने वाली उपकरण हैं:
massdns: यह पहला उपकरण था जो एक प्रभावी DNS ब्रूट फोर्स करता था। यह बहुत तेज है हालांकि यह गलत सकारात्मक के लिए प्रवृत है।
gobuster: इसमें मुझे लगता है कि केवल 1 रिज़ॉल्वर का उपयोग होता है।
shuffledns एक
massdns
के चारों ओर लिखा गया एक व्रापर है, जो आपको सक्रिय ब्रूटफोर्स का उपयोग करके वैध सबडोमेन की जांच करने की अनुमति देता है, साथ ही वाइल्डकार्ड हैंडलिंग और आसान इनपुट-आउटपुट समर्थन के साथ सबडोमेन को सुलझाने की अनुमति देता है।
puredns: यह भी
massdns
का उपयोग करता है।
aiodnsbrute एसिंक्रोनसली डोमेन नामों को ब्रूट फोर्स करने के लिए asyncio का उपयोग करता है।
दूसरे DNS ब्रूट-फोर्स राउंड
ओपन सोर्सेस और ब्रूट-फोर्सिंग का उपयोग करके सबडोमेन्स पाने के बाद, आप पाए गए सबडोमेन्स के बदलाव उत्पन्न कर सकते हैं ताकि और भी अधिक पाए जा सकें। इस उद्देश्य के लिए कई टूल उपयोगी हैं:
dnsgen: डोमेन और सबडोमेन्स को दिया गया परिवर्तन उत्पन्न करें।
goaltdns: डोमेन और सबडोमेन दिए गए परिपरिक्षण उत्पन्न करें।
आप यहाँ वर्डलिस्ट में goaltdns परिपरिक्षण परिमाण प्राप्त कर सकते हैं।
गोटेटर: डोमेन और सबडोमेन दिए गए परिमुटेशन उत्पन्न करें। अगर परिमुटेशन फ़ाइल निर्दिष्ट नहीं की गई है तो गोटेटर अपनी खुद की एक उपयोग करेगा।
altdns: उपसर्ग उपस्थितियों का निर्माण करने के अलावा, यह उन्हें सुलझाने की कोशिश भी कर सकता है (लेकिन पिछले टिप्पणित उपकरणों का उपयोग करना बेहतर है)।
आप यहाँ यहाँ altdns उपसर्ग शब्द सूची प्राप्त कर सकते हैं।
dmut: एक औजार जो subdomains की permutations, mutations और alterations को करने के लिए है। यह औजार brute force करेगा परिणाम (यह dns wild card का समर्थन नहीं करता)।
आप dmut permutations wordlist यहाँ में प्राप्त कर सकते हैं।
alterx: एक डोमेन पर आधारित है जो नए संभावित सबडोमेन नाम उत्पन्न करता है जो निर्दिष्ट पैटर्न के आधार पर अधिक सबडोमेन खोजने की कोशिश करता है।
स्मार्ट परिमाण उत्पन्न
subzuf: subzuf एक सबडोमेन ब्रूट-फोर्स फज़र है जिसे एक अत्यधिक सरल लेकिन प्रभावी DNS प्रतिक्रिया-निर्देशित एल्गोरिदम के साथ जोड़ा गया है। यह एक विशेष वर्डलिस्ट या ऐतिहासिक DNS/TLS रिकॉर्ड्स जैसे प्रदत्त इनपुट डेटा का उपयोग करता है, ताकि अधिक संबंधित डोमेन नामों को सार्थक रूप से सिन्थेसाइज़ किया जा सके और DNS स्कैन के दौरान जुटाई गई जानकारी के आधार पर उन्हें और भी अधिक विस्तारित किया जा सके।
सबडोमेन खोज वर्कफ़्लो
जांचें इस ब्लॉग पोस्ट को जिसमें मैंने लिखा है कि कैसे ट्रिकेस्ट वर्कफ़्लो का उपयोग करके डोमेन से सबडोमेन खोज को स्वचालित करें ताकि मुझे अपने कंप्यूटर में मैन्युअल रूप से कई उपकरणों को लॉन्च करने की आवश्यकता न हो:
VHosts / वर्चुअल होस्ट्स
अगर आपने किसी आईपी पते को पाया है जिसमें एक या कई वेब पेज सबडोमेन के स्वामित्व में हैं, तो आप उस आईपी में अन्य सबडोमेन खोज सकते हैं जिनमें वेब है डोमेन्स के लिए आईपी में देखकर या उस आईपी में VHost डोमेन नामों को ब्रूट-फ़ोर्स करके।
OSINT
आप कुछ आईपी में VHosts खोज सकते हैं HostHunter या अन्य API का उपयोग करके।
ब्रूट फ़ोर्स
अगर आपको लगता है कि किसी सबडोमेन को वेब सर्वर में छिपा हो सकता है तो आप इसे ब्रूट फ़ोर्स करने की कोशिश कर सकते हैं:
इस तकनीक के साथ आप आंतरिक/छिपे हुए एंडपॉइंट्स तक पहुंच सकते हैं।
CORS ब्रूट फोर्स
कभी-कभी आप पृष्ठ मिलेंगे जो केवल वापसी शीर्षक Access-Control-Allow-Origin वापस करते हैं जब एक मान्य डोमेन/सबडोमेन Origin शीर्षक में सेट किया जाता है। इन परिदृश्यों में, आप इस व्यवहार का दुरुपयोग करके नए सबडोमेन की खोज कर सकते हैं।
बकेट्स ब्रूट फोर्स
सबडोमेन्स की खोज करते समय ध्यान रखें कि क्या यह किसी प्रकार के बकेट को पॉइंट कर रहा है, और उस मामले में अनुमतियों की जांच करें. इसके अलावा, इस समय आपको यह पता चल जाएगा कि दायरा में सभी डोमेन्स के अंदर कौन-कौन से हैं, इसलिए संभावित बकेट नामों की ब्रूट फोर्स करें और अनुमतियों की जांच करें.
मॉनिटरिजेशन
आप यह निगरानी कर सकते हैं कि क्या किसी डोमेन के नए सबडोमेन्स बनाए गए हैं, सर्टिफिकेट ट्रांसपेरेंसी लॉग sublert की मॉनिटरिंग करके।
विकल्पों की खोज
संभावित सबडोमेन टेकओवर की जांच करें। अगर सबडोमेन किसी S3 बकेट को पॉइंट कर रहा है, तो अनुमतियों की जांच करें.
अगर आपको किसी सबडोमेन में किसी भी पहले से अलग आईपी मिलती है जो आपने पहले ही आस्तित्व की खोज में पाई है, तो आपको एक बेसिक सुरक्षा स्कैन (Nessus या OpenVAS का उपयोग करके) और कुछ पोर्ट स्कैन जैसे nmap/masscan/shodan के साथ करना चाहिए। चल रही सेवाओं पर निर्भर करता है कि आप उन्हें "हमला" करने के लिए इस किताब में कुछ ट्रिक्स पा सकते हैं। ध्यान दें कि कभी-कभी सबडोमेन उस आईपी के अंदर होस्ट किया जाता है जो ग्राहक द्वारा नियंत्रित नहीं है, इसलिए यह दायरे में नहीं है, सावधान रहें.
आईपी
प्रारंभिक चरणों में आपने कुछ आईपी रेंज, डोमेन और सबडोमेन्स पाए होंगे। अब समय है कि आप उन रेंजों से सभी आईपी एवं डोमेन/सबडोमेन्स को पुनः जुटाएं (डीएनएस क्वेरीज का उपयोग करके)।
निम्नलिखित मुफ्त एपीआई सेवाओं का उपयोग करके आप डोमेन और सबडोमेन्स द्वारा पहले उपयोग किए गए आईपी भी खोज सकते हैं। ये आईपी अब भी ग्राहक द्वारा स्वामित्व में हो सकते हैं (और आपको क्लाउडफ्लेयर बाइपास खोजने की अनुमति देने की संभावना है)
आप टूल hakip2host का उपयोग करके किसी विशिष्ट आईपी पते पर पॉइंट करने वाले डोमेन की जांच भी कर सकते हैं।
विकल्पों की खोज
सीडीएन्स से संबंधित न होने वाली सभी आईपी को पोर्ट स्कैन करें (क्योंकि आपको वहाँ कुछ भी दिलचस्प नहीं मिलेगा)। चल रही सेवाओं में पाए गए विकल्पों में आप विकल्पों को खोजने में सक्षम हो सकते हैं।
होस्ट स्कैन करने के लिए एक गाइड खोजें।
वेब सर्वर्स की शिकारी
हमने सभी कंपनियों और उनके संपत्तियों की खोज कर ली है और हमें दायरा में आईपी रेंज, डोमेन और सबडोमेन्स पता है। अब वेब सर्वर्स की खोज करने का समय है।
पिछले चरणों में आपने संदर्भित आईपी और डोमेन की खोज की होगी, इसलिए आपने संभावित वेब सर्वर्स पहले ही पाए होंगे। हालांकि, अगर आपने नहीं किया है तो अब हम देखेंगे कि दायरा में वेब सर्वर्स खोजने के लिए कुछ तेज ट्रिक्स हैं।
कृपया ध्यान दें कि यह वेब ऐप्स खोज के लिए अभिविष्ट होगा, इसलिए आपको यदि स्कोप द्वारा अनुमति दी गई है तो विकल्पों की खोज और पोर्ट स्कैनिंग भी करनी चाहिए।
वेब सर्वर्स से संबंधित खुले पोर्ट्स खोजने के लिए masscan यहाँ पाया जा सकता है। एक और मित्रशील टूल वेब सर्वर्स की खोज करने के लिए httprobe, fprobe और httpx है। आप एक डोमेनों की सूची पास करेंगे और यह 80 (http) और 443 (https) पोर्ट से कनेक्ट करने की कोशिश करेगा। इसके अतिरिक्त, आप अन्य पोर्ट की कोशिश करने के लिए इंडिकेट कर सकते हैं:
स्क्रीनशॉट्स
अब जब आपने स्कोप में मौजूद सभी वेब सर्वर (कंपनी के IPs और सभी डोमेन और सबडोमेन्स के बीच) का पता लगा लिया है, तो शायद आप शुरू कहाँ से करें इसका पता नहीं होगा। इसलिए, आइए इसे सरल बनाते हैं और बस उन सभी का स्क्रीनशॉट लेने से शुरू करें। मुख्य पृष्ठ पर एक नजर डालकर आप अजीब एंडपॉइंट्स खोज सकते हैं जो अधिक वंशी होने के योग्य हैं।
प्रस्तावित विचार को कार्यान्वित करने के लिए आप EyeWitness, HttpScreenshot, Aquatone, Shutter, Gowitness या webscreenshot** का उपयोग कर सकते हैं।**
इसके अतिरिक्त, आप फिर eyeballer का उपयोग कर सकते हैं ताकि वह सभी स्क्रीनशॉट्स पर चले और आपको बताए कि किसमें संभावित दोष हैं, और क्या नहीं।
सार्वजनिक क्लाउड संपत्तियाँ
किसी कंपनी की संभावित क्लाउड संपत्तियों का पता लगाने के लिए आपको उस कंपनी की पहचान करने वाले शब्दों की सूची के साथ शुरू करना चाहिए। उदाहरण के लिए, एक क्रिप्टो कंपनी के लिए आप शब्दों का उपयोग कर सकते हैं जैसे: "क्रिप्टो", "वॉलेट", "डाओ", "<डोमेन_नाम>", <"सबडोमेन_नाम">
।
आपको उसी तरह की बाल्टों में उपयोग किए जाने वाले सामान्य शब्दों की शब्द सूचियाँ भी चाहिए:
फिर, उन शब्दों के साथ आपको अनुक्रमणिकाएँ उत्पन्न करनी चाहिए (अधिक जानकारी के लिए दूसरे दिन DNS ब्रूट-फोर्स की जांच करें)।
नतीजतन शब्द सूचियों के साथ आप cloud_enum, CloudScraper, cloudlist या S3Scanner** जैसे उपकरणों का उपयोग कर सकते हैं।**
ध्यान दें कि क्लाउड संपत्तियों की खोज करते समय आपको AWS में बाल्टों के अलावा भी देखना चाहिए।
दोषों की खोज
यदि आपको खुले बाल्टों या क्लाउड फंक्शन उजागर जैसी चीजें मिलती हैं, तो आपको उन्हें पहुंचना चाहिए और देखने की कोशिश करनी चाहिए कि वे आपको क्या प्रदान करते हैं और क्या आप उनका दुरुपयोग कर सकते हैं।
ईमेल
स्कोप में मौजूद डोमेन और सबडोमेन्स के साथ आपके पास आम तौर पर ईमेल खोजने के लिए सभी वह है जो आपको आरंभ करने की आवश्यकता है। ये हैं उन APIs और उपकरण जो मेरे लिए सबसे अच्छे साबित हुए हैं ईमेल खोजने के लिए:
theHarvester - APIs के साथ
https://hunter.io/ का API (नि:शुल्क संस्करण)
https://app.snov.io/ का API (नि:शुल्क संस्करण)
https://minelead.io/ का API (नि:शुल्क संस्करण)
दोषों की खोज
ईमेल बाद में वेब लॉगिन और प्रमाणीकरण सेवाओं के लिए ब्रूट-फोर्स (जैसे SSH) करने के लिए उपयोगी होंगे। इसके अतिरिक्त, ये फिशिंग के लिए आवश्यक हैं। इसके अतिरिक्त, ये APIs आपको ईमेल के पीछे व्यक्ति के बारे में और अधिक जानकारी देंगे, जो फिशिंग अभियान के लिए उपयोगी है।
प्रमाणक लीक
डोमेन, सबडोमेन्स, और ईमेल के साथ आप उन ईमेलों के लिए लीक हो चुके प्रमाणकों की खोज शुरू कर सकते हैं जो उन ईमेलों के लिए सम्मिलित हैं:
दोषों की खोज
यदि आप मान्य लीक प्रमाणक पाते हैं, तो यह बहुत ही आसान जीत है।
रहस्य लीक
प्रमाणक लीक हैं कंपनियों के हैक्स से संबंधित जहां संवेदनशील जानकारी लीक हो गई और बेची गई। हालांकि, कंपनियों को अन्य लीक से प्रभावित किया जा सकता है जिनकी जानकारी उन डेटाबेसों में नहीं है:
गिटहब लीक
प्रमाणक और APIs कंपनी के सार्वजनिक रिपॉजिटरी या उस गिटहब कंपनी के उपयोगकर्ताओं के सार्वजनिक रिपॉजिटरी में लीक हो सकते हैं। आप उपकरण Leakos का उपयोग कर सकते हैं एक संगठन के सभी सार्वजनिक रेपो और उसके डेवलपर्स के सार्वजनिक रेपो को डाउनलोड करने और उन पर स्वचालित रूप से gitleaks चलाने के लिए।
Leakos का उपयोग भी किया जा सकता है gitleaks को फिर से चलाने के लिए सभी टेक्स्ट प्रदान किए गए URLs पर जैसे कि कभी-कभी वेब पृष्ठ भी रहस्य सम्मिलित करते हैं।
गिटहब डोर्क्स
आप आक्रमण कर रहे संगठन में खोजने के लिए इस पृष्ठ की भी जांच करें गिटहब डोर्क्स के संभावित।
pageGithub Dorks & Leaksपेस्ट्स लीक
कभी-कभी हमलावर या केवल कर्मचारी कंपनी सामग्री को एक पेस्ट साइट में प्रकाशित करेंगे। इसमें संवेदनशील जानकारी हो सकती है या नहीं हो सकती है, लेकिन इसे खोजना बहुत दिलचस्प है। आप उपकरण Pastos का उपयोग कर सकते हैं एक साथ 80 से अधिक पेस्ट साइटों में खोजने के लिए।
गूगल डोर्क्स
पुराने लेकिन सोने के गूगल डोर्क्स हमेशा उजागर जानकारी खोजने के लिए उपयोगी होते हैं। एकमात्र समस्या यह है कि google-hacking-database कई हजारों संभावित क्वेरी शामिल करता है जिन्हें आप मैन्युअल रूप से नहीं चला सकते। इसलिए, आप अपने पसंदीदा 10 क्वेरी ले सकते हैं या आप एक उपकरण जैसे Gorks **का उपय
बग हंटर्स द्वारा पाए गए अधिकांश सुरक्षादायकताएं वेब एप्लिकेशन के अंदर होती हैं, इसलिए इस समय मैं एक वेब एप्लिकेशन टेस्टिंग मेथडोलॉजी के बारे में बात करना चाहूंगा, और आप इस जानकारी को यहाँ पा सकते हैं.
मैं भी विशेष रूप से ध्यान देना चाहूंगा वेब ऑटोमेटेड स्कैनर ओपन सोर्स टूल्स विभाग को, क्योंकि, यदि आपको उन्हें आपको बहुत संवेदनशील दोषों को खोजने की उम्मीद नहीं है, तो वे कुछ प्रारंभिक वेब जानकारी पर लागू करने में मददगार होते हैं।
संक्षेप
बधाई हो! इस समय तक आपने पहले से ही सभी मौलिक गणना कर ली है। हाँ, यह मौलिक है क्योंकि और भी अधिक गणना की जा सकती है (बाद में और ट्रिक्स देखेंगे)।
तो आपने पहले से ही किया है:
सभी कंपनियों को स्कोप के अंदर पाया
कंपनियों के सभी संपत्तियों को पाया (और स्कोप में हो तो कुछ वल्न स्कैन किया)
कंपनियों के सभी डोमेन को पाया
डोमेन के सभी सबडोमेन को पाया (कोई सबडोमेन ले ओवर?)
स्कोप के अंदर सभी आईपी (सीडीएन से नहीं) को पाया।
सभी वेब सर्वर पाए और उनका स्क्रीनशॉट लिया (कुछ अजीब चीजें जिन्हें गहराई से देखने लायक हैं?)
कंपनी के सभी संभावित सार्वजनिक क्लाउड संपत्तियाँ पायी।
ईमेल, क्रेडेंशियल लीक्स, और रहस्य लीक्स जो आपको एक बड़ी जीत बहुत आसानी से दे सकते हैं।
आपने पाए सभी वेब्स को पेंटेस्ट किया
पूर्ण रिकॉन ऑटोमेटिक टूल्स
कई ऐसे टूल्स हैं जो दिए गए स्कोप के खिलाफ प्रस्तावित कार्रवाई का हिस्सा करेंगे।
https://github.com/hackerspider1/EchoPwn - थोड़ा पुराना है और अपडेट नहीं है
संदर्भ
@Jhaddix के सभी मुफ्त कोर्सेस जैसे The Bug Hunter's Methodology v4.0 - Recon Edition
यदि आप हैकिंग करियर में रुचि रखते हैं और अनहैकेबल को हैक करना चाहते हैं - हम नियुक्ति कर रहे हैं! (चुस्त पोलिश लिखने और बोलने की आवश्यकता है)
Last updated