Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
Инструменты разведчика.
Подбираем полезные
утилиты для разведки при
охоте за багами
joelblack , 19.08.2021 2 комментария 9,744 Добавить в закладки
Содержание статьи
01. Поиск поддоменов
02. Словари
03. Сканеры портов
04. Файлы, директории, параметры
05. Internet Wayback Machine
06. GitHub
07. Фреймворки
08. Заключение
Любой взлом начинается со сбора информации о цели. Чем быстрее
и качественнее ты соберешь информацию — тем больше шанс найти
крутую багу, зарепортить ее первым и получить вознаграждение.
В отличие от пентеста, в багбаунти участвуют сотни тысяч людей
одновременно, а сервисы, которые у всех на виду, вдоль и поперек
исследованы, и обнаружить там что-нибудь крайне сложно. В этой статье
я расскажу об инструментах, которые помогут тебе провести разведку
и собрать максимально много информации о цели.
ПОИСК ПОДДОМЕНОВ
Каждый поддомен — это потенциальная цель, так что их поиск — один из первых шагов
при разведке. В больших компаниях, вроде IBM или Microsoft, используются десятки
тысяч поддоменов, и все их нужно поддерживать в актуальном состоянии,
своевременно ставить обновления софта и фиксить баги. Как показывает практика,
о некоторых поддоменах просто забывают или ставят заглушки, хотя весь контент
при этом остается доступен. Критические уязвимости, вроде RCE, SSTI, SSRF или XXE,
чаще всего обнаруживают на поддоменах. Чем больше ты их найдешь, тем шире будет
поверхность атаки. Существует очень много инструментов для их поиска, поэтому я
рассмотрю только те, которые прошли проверку в боевых условиях и показали себя
эффективными на разных программах bug bounty.
Chaos
Сайт проекта
INFO
WWW
restaurants.uber.com
testcdn.uber.com
approvalservice.uber.com
zoom-logs.uber.com
eastwood.uber.com
meh.uber.com
webview.uber.com
kiosk-api.uber.com
...
recon.dev
Сайт проекта
Еще один сайт, который поможет собрать много полезной информации о поддоменах.
В отличие от Chaos, бесплатно recon.dev показывает только первые 20 результатов
поиска. За остальные придется заплатить, однако цена за полученный набор данных
небольшая.
recon.dev
sub�nder
Скачать с GitHub
Sub�nder имеет удобную модульную архитектуру и написан на Go, так что очень быстро
работает.
Sub�nder
СЛОВАРИ
Перед тем как начинать разведку, стоит запастись пачкой добротных словарей.
От выбора хорошего словаря зависит многое: чем больше будет собрано скрытых
параметров, поддоменов, директорий и файлов, тем выше шанс обнаружить
какую-нибудь брешь в безопасности.
В интернете можно найти огромное количество словарей, но не все они эффективны.
Занимаясь некоторое время багбаунти и попробовав при этом разные словари, я
для себя выделил несколько очень интересных вариантов, которые не раз меня
выручали и помогали обнаружить места, до которых еще не доходили другие охотники
за багами.
fuzz.txt
Скачать с GitHub
SecLists
Скачать с GitHub
SecLists — это целая коллекция словарей, которые очень пригодятся не только
в багбаунти, но и при пентесте. Словари включают в себя юзернеймы, пароли,
параметры URL, поддомены, веб-шеллы и многое другое. Я настоятельно рекомендую
потратить немного времени на детальное изучение содержимого коллекции.
Страница проекта
WWW
Assetnote Wordlists
Сайт проекта
Самостоятельная генерация
Частенько приходится генерировать собственные словари. Написать скрипт, конечно,
не составит труда, но зачем изобретать велосипед?
• вместо а знак @;
• вместо о 0;
• в конце от одного до трех чисел.
Здесь <none> означает, что утилите не нужно делать никаких дополнительных действий
с подстановочной комбинацией.
В конце Pydictor выводит краткую сводку по процессу генерации. Не то чтобы очень
важная инфа, но чувствуется забота разработчика.
СКАНЕРЫ ПОРТОВ
Пройтись по всем портам в поисках интересного — милое дело во время багбаунти.
Если получится найти никем ранее не исследованное приложение — еще лучше!
При этом не стоит забывать, что даже внешне безобидные порты могут скрывать что-то
не вполне ожидаемое. Я, например, находил HTTP-сервис на 22-м порте: туда даже
браузером зайти нельзя, только через curl или wget!
MassMap
Скачать с GitHub
Страничка с результатами
Так как скрипт — это фактически обертка над сканерами, ты можешь изменить любые
параметры, добавить какие-то свои тулзы, в общем, творить и улучшать как хочешь!
dnmasscan
Скачать с GitHub
Dnmasscan — это еще один скрипт на Bash для автоматического резолвинга доменных
имен и последующего их сканирования с помощью masscan. Поскольку masscan
не принимает доменные имена, скрипт создает файл, в котором записаны IP-адреса
доменов.
Вывод dnmasscan
Gobuster
Скачать с GitHub
Gobuster
GoSpider
Скачать с GitHub
GoSpider
Поисковики
Первую свою багу, за которую мне заплатили, я обнаружил именно благодаря
поисковикам. Бывает, что ни gobuster, ни GoSpider не дают никаких результатов.
Но если тулзы ничего не находят, это еще не означает, что на сайте действительно
ничего нет.
Гуглим
Бинго!
Как видишь, в выдаче уже девять результатов вместо двух. Мораль: не забывай, что,
помимо Google, существуют и другие поисковики! �
arjun
Скачать с GitHub
Аrjun умеет находить скрытые параметры запросов для заданных эндпоинтов. Вот
некоторые особенности:
Arjun
INFO
Waybackrobots
wbk.go
Скачать с GitHub
У Wayback Machine, среди прочего, есть список всех URL, которые он собирал
для домена. Например, ты можешь получить список всех урлов, которые машина
заархивировала для tesla.com.
com
go run wbk.go tesla.
Демонстрация работы
GITHUB
GitHub — это, считай, отраслевой стандарт для контроля версий и совместной работы
над проектом. Миллионы разработчиков несколько раз за один день вносят изменения
в код на GitHub, и далеко не всегда они смотрят, что именно загружают. Бывает, что они
случайно забывают удалить учетные данные — логины, пароли и самые разные токены.
Ты наверняка не раз сталкивался с Google dorks. В GitHub тоже есть свои дорки,
которые можно использовать для поиска вкусных данных, вроде API-ключей.
INFO
gdorklinks.sh
Скачать с GitHub Gist
gdorklinks.sh
GirDorker
Скачать с GitHub
Для работы потребуется завести GitHub Personal Access Token, а лучше минимум два
таких токена. Это связано с тем, что поисковый API ограничен 30 запросами в минуту:
если токен всего один, очень быстро упрешься в лимиты.
GitDorker
ФРЕЙМВОРКИ
Когда долгое время занимаешься багбаунти или пентестом, разведка начинает
превращаться в рутину. Тут невольно задумаешься об автоматизации. Ниже мы
поговорим о фреймворках, которые практически полностью автоматизируют разведку.
Sudomy
Скачать с GitHub
WWW
Для примера давай просто запустим скрипт с параметрами --all (запустить все
перечисления) и --html (сформировать отчет в HTML). Посмотрим, что он найдет,
например, для hackerone.com.
Результаты
Reconftw
Скачать с GitHub
ЗАКЛЮЧЕНИЕ
Естественно, в статье рассмотрены далеко не все инструменты для рекона. Эти, на мой
взгляд, самые годные из тех, с которыми работаю я, но у тебя могут быть лучшие
инструменты. Если тебе этого мало — загляни в репозитории KingOfBugbounty
и nahamsec.
Оцени статью:
joelblack
www.linkedin.com/in/kaledinov/
Присоединиться к обсуждению
{} [+]
2 КОММЕНТАРИЕВ Старые