国外会工程学:信息侦查与人肉搜索【翻译文】

admin
24171admin首席执行运营官
2017-07-30 21:45:21
24171 2017-07-30 21:45:21
国外会工程学:信息侦查与人肉搜索【翻译文】
介绍
侦察在黑客攻击方面发挥主要作用。Recon并不总是意味着找到属于一家公司的子域名,它也可能与找出一家公司如何设置其属性及其使用的资源有关。在这篇博文中,我们将讨论不同的方法,通过组合不同的工具和资源,可以帮助我们发现子域,内部资源,公司使用的模式,秘密/私钥,API端点以及文件/目录结构。进行适当的侦察会增加我们的攻击面,为我们找到更多的安全漏洞,给我们更大的空间。

强制子域
传统上,大多数黑客通过提供单词列表和目标域来使用诸如Sublist3rknockpyenumall工具。这可能适用于大多数情况; 然而,我相信像其他任何事情一样,这可以调整到最大程度上被使用。一旦我们运行了我们的初始暴力,并确定了公司如何设置子域,那么下一步应该总是设置为递归地强制该公司使用的不同环境。例如,如果一个公司使用`dashboard.dev.hackme.tld`,我们应该使用这个模式来查找`dev`环境后面的更多子域。这还将允许我们识别与实际生产站点相比限制较少的其他属性。
如果将公司的内部资产放置在公司或内部子域(例如tools.corp.hackme.tld或tools.internal.hackme.tld)后面,则可以列举公司的内部资产。通过暴力强制corp / internal.hacketwo.com域,我们可以枚举更多属性,以扩展我们的攻击面。

Github上

Github可能是收集目标基础设施信息的好工具。我们可以简单地搜索公司名称或网站(如hackme.tld),以查看文件和文档的类型已被推送到Github作为第一步。我们还可以通过使用初始搜索中的信息来缩小搜索范围,以查找更具体的模式。例如,如果我们搜索“hackme.tld”,并发现他们正在为其内部应用程序(如JIRA或其企业VPN)使用“us.hackme.tld”,那么将其重点转移到“us.hackme”就是一个好地方。 tld“作为我们的下一个搜索,而我们也为”us.hackme.tld“背后的任何一个子域蛮力。
Github也是寻找凭据和私人API密钥的好地方。关于这种方法最难的事情是在寻找不同的键时变得有创意。下面是我在github上查找几个项目的列表:
“Hackme.tld”API_key
“Hackme.tld”secret_key
“Hackme.tld”aws_key
“Hackme.tld”密码  
“Hackme.tld”FTP
“Hackme.tld”登录  
“ Hackme.tld“github_token

我们还可以在子域上查找更多的信息和端点,也可以在Github上搜索它。通过寻找“api.hackme.tld”和分析几年前提交的文件,我已经能够在github上找到较旧的API端点。有大量的工具可以用于自动化这项工作来节省时间,大多数时候我个人喜欢手动执行此操作,因为通过查看可能包含以上关键字的文件,我们可能会发现其他“多汁”信息,即使通过这些关键字出现的内容是无用的。
在查看Github时可能看起来好像是一个好主意,有些事情可能会出错:
由于绊倒了第三方应用程序或简单地不属于程序范围的属性,我们可能会超出范围。
我们可能会发现真正的老钥匙不再工作或属于公司。
钥匙也可能是假的,故意放在Github上。

仔细检查你找到的内容,如果它在范围内总是一个好主意。

亚马逊网络服务

AWS已经成为数千家不同公司的巨大财富。一些公司只是使用AWS s3桶来托管他们的内容,而其他公司则使用它来部署和托管他们的应用程序。像任何其他资源一样,AWS也可能被错误的配置或滥用。例如,通常可能发现错误配置的s3桶,允许组织外的用户读取和写入属于该公司的存储桶上的文件。
这些属性可以通过组合几种不同的方法来发现:  
使用google dork找到它们:site:s3.amazonaws.com + hackme.tld
我们可以在github上查找它们:“hackme.tld”+“s3”  
我们可以强制AWS查找特定的s3桶,并自动执行加速

Lazys3是基于方法#3开发的。这个工具使用一个常见的s3桶列表,创建不同的模式和排列,获取响应标题,只要没有返回404就返回它们。例如,如果我们在hackme.tld下搜索s3桶,这个工具将对wordlist的每个项目进行测试,查找不同的模式(即:attachments-dev.hackme.tld,attachments.dev.hackme.tld,attachmentsdev.hackme.tld等),并返回那些具有响应代码为200或403。
*使用lazys3在开发环境中查找名为“assets”的存储桶的示例模式。当前版本只输出现有的桶。

虽然在亚马逊Web服务上强力强制和寻找不同的应用程序可能有助于扩展我们的攻击面,但是这里也有一些可能会出错:
s3桶可能暗示它属于某个公司,但实际上它不是由该公司拥有或经营。 由于包括第三方应用在内的不同原因,我们可能会再次失范。
s3 bucket可能具有读访问权限,但桶中的任何文件都不包含任何敏感信息。
再次,检查范围总是好的,并且在报告这种性质的问题时记住,如果它们属于上述类别之一,则可能会被拒绝。

资产识别


为了补充我们以前的方法,我们还可以使用其他资产识别工具,如Censys,Shodan或archive.org扩展我们的攻击面。

Censys.io

Censys在扫描IP地址并从一组不同的端口收集信息方面做得很好。Censys可以通过分析属于该属性的SSL证书来帮助我们找到更多的内部工具和资产。使用censys(https://censys.io/overview)发现内容有不同的方法和语法,但我个人只是想根据他们的SSL证书来查看目标。例如,使用字符串`443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:Yahoo.com`可以让我们拉任何指向Yahoo.com的子域/属性。
我们也可以像其他任何工具一样调整对Censys的搜索。创造力是做重建的重要资产。已经有很多次,我搜索了censys的随机模式,例如:“hackme.tld”+内部(或其他关键字),导致找到从来没有出现在我以前的搜索中的唯一属性。
Shodan.io

Shodan类似于censys,除了Shodan扫描每个IP地址,找到该IP地址上的任何开放端口,并生成大量数据,并允许用户通过位置,组织(拥有该IP地址),开放端口,产品( apache,tomcat,nginx等),主机名等。
也就是说,如果我们要使用hackme.tld上的默认端口寻找任何RabbitMQ实例,我们可以搜索“hostname:hackme.tld org:hackme ports:15672”。如果我们想查询特定的产品,如tomcat,我们也可以将ports选项更改为“product”:“hostname:hackme.tld org:hackme product:tomcat”
您可以阅读Shodan创始人约翰·马瑟利(John Matherly)撰写的“Shodan 完整指南”,了解更多关于Shodan的信息。

Archive.org

Archive.org是查找可能包含旧端点和其他敏感信息的旧的robots.txt文件的另一个很好的资源,查找旧版本的站点,以便分析源并收集更多信息,并找到其他旧的和被遗忘的子域和开发环境。我们可以通过访问Archive.org,搜索我们的目标,挑选较旧的日期(也许一年或两年前),然后点击网站来完成所有这些。
这也可以是自动的(已经)。使用waybackurl.pywaybackrobots.txt,我们可以通过运行其中一个脚本并等待结果找到上述所有信息。
Archive.org也是找到可能仍然可以阅读的较旧的javascript文件的好地方。使用这种方法,我们可以找到更多的过时的功能和端点。
收集新旧的JavaScript文件列表后,我们可以使用JSParser创建这些JavaScript文件中提到的所有端点的完整列表:


结论

侦察进程不仅仅是运行一组可用的工具来查找属性。它更多的是首先了解我们的目标,使用这些工具集,并结合不同的方法,并使用我们自己的创造力来寻找更多的结果。这个博客文章并没有涵盖在目标上进行适当调查的所有可能方式,但是结合上述方法,添加自己的思维过程,并提出更多创造性的方法应该是一个很好的开始。
本文标题:国外会工程学:信息侦查与人肉搜索【翻译文】
本文作者:admin
本文来自:蚁安黑客官网
转载请注明本文链接:http://www.mayidui.net/t785-1.html
Kwok
沙发Kwok网络安全主管 2017-08-07 22:20
333
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan