滲透流程 - HackMD

資產蒐集階段 (擴大攻擊面)

子域蒐集常用工具

subfinder (被動源，要配置api)
amass (可以輸出到maltego，也自帶DB功能，所以好用)
maltego (好用 要配置api)
oneforall (好用)
the harevest (堪用)

域名替換

altdns
https://www.whoxy.com/
https://siterankdata.com/

ip歷史反解找出旁站

ip 反解需要先替除 hostsharing 跟 cdn 否則會很多垃圾網站。

批量IP檢測cdn線上工具。

https://zh.infobyip.com/ipbulklookup.php

IP反解

https://viewdns.info/reverseip/
https://hackertarget.com/reverse-ip-lookup/
https://networkappers.com/tools/reverse-ip-checker
https://www.virustotal.com
https://securitytrails.com/

ssl歷史紀錄

可以透過ssl fingerprint 去尋找相關子站

https://crt.sh/

dns歷史紀錄 (A NS MX SOA CNAME TXT)

A 紀錄，若非CDN就省下很多時間。
NS 如果是小型NS 的話可以找到旁站，但機率小
MX 有時會有有用的域名
SOA 有時會有有用的資訊
CNAME 就是別名，也可以作為一個有效域名來蒐集。

https://dnshistory.org/ (推薦，非常好用)
https://osint.sh/dnshistory/(備用)

whois 歷史紀錄

越來越多的站點使用 whois privacy 所以未來會越來越沒用，對於老站還是挺不錯的

https://www.whoxy.com/ (推薦)
https://www.virustotal.com/(備用)

wayback 蒐集子域 JS歷史接口

都是基於wayback 的資訊蒐集，每個工具都有自己的特點，(這部並非必須步驟)

wayback 
wayback_machine_downloader
waybackpack 
waymore

網站檢測 linkin linkout (旁站)

可以檢查鏈入或者鏈出，有可能會找到相關旁站

https://www.statscrop.com/

蒐集html中 email username 社交帳戶

secretfinder
findsomething (瀏覽器插件)
F12 慢慢搜尋

子域爆破

dnsvalidator  (dns 有效解析器) 
dnsfaster (篩選快速的解析器 )
massdns (爆破子域)
ksubdomain (聽說很快)

web 提取js中的相關域名敏感資訊

JSFinder (JS 提取子域)
JSINFO-SCAN  (JS 敏感資訊)

traceroute 查看線路(說不定會有相關域名或真實IP)

https://dnschecker.org/online-traceroute.php

線上掃全網:

面對cdn時，有助於縮小範圍，例如org 國家 asn 或是 c段，ip歷史
(ip反解子域旁站相關域名 html_body_hash icon_hash 相關鏈入鏈出 title )

shodan (更新太慢)
fofa (推薦)
censys (推薦，不過有數量限制，更新最快)
quack360 (帳號不好辦)

掃全網工具

掃描asn 網段解析域名
掃C段反解出相關域名

這四個通常會互相結合使用

zmap 
zgrab 
nmap 
masscan

其他工具

文件洩漏

Metagoofil

github 代碼有可能會找到子域

searchcode

社交帳號

sherlock

google hacking 以上出現過的關鍵字

小節

以上循環幾次可以多次增加目標相關的域名，取決於時間和深度

存活驗證，定位弱資產，定位IP網段(通常是 web服務80,443)

繞過cdn 找真實IP(非必須，但還是有必要嘗試)

maltego (資產可視化，推薦)
httpx (存活驗證，端口判斷 )
bscan (存活驗證，端口判斷)

網站測試 owasp top 10 類

常見測試

網站架構 伺服器版本 nday漏洞
框架 語言 套件 cms nday漏洞
JS 接口
robots.txt 
目錄爆破
敏感資訊洩漏
參數fuzz
找CVE nday 
waf檢測 繞過 (不熟)
wayback 歷史接口
wayback 歷史目錄
wayback 歷史資訊
wayback 歷史參數

掃描工具 (很少用，流量太大，很多都有免費限制)

nessus (免費版 16次)
OpenVAS / GVM

常用工具:

antsword (webshell管理)
burpsuite (付費版沒用過)
owasp zap (免費好用)
fuff (目錄爆破)
sqlmap (sql 注入)
nip.io (DNS解析繞過)
ceye.io (DNS log OOB常用)
wafw00f (waf判斷)

wayback 和 js接口工具:

wayback_machine_downloader
waybackpack 
waymore
JSINFO-SCAN

瀏覽器插件:

findsomething (敏感目錄 訊息)
wappalyzer ( 網站基礎框架檢測)
WhatRuns ( 網站基礎框架檢測)

payload庫:

payload all the thing
https://github.com/swisskyrepo/PayloadsAllTheThings

osint類:

yandex  (反向圖片 )
google hacking 關鍵詞 id

如果有較弱的旁站會增加滲透成功率，通常主站的防禦比較好
若是以上運氣好有web漏洞可以嘗試拿到主機 shell

CTF 類

端口掃描:

rustscan (快速掃端口)
nmap (好用)

弱服務版本漏洞

可能會用到的漏洞payload工具

msfconsole
msfvenom (生成payload，或是混淆)
meterpreter (後滲透工具)
exploit DB
netcat

密碼類

john (破解密碼)
hashcat (破解hash)
mkpasswd (生成密碼)
hydra (爆破服務)
unshadow (搭配 john 破解)
hash-id (hash identifier)


線上 hash
https://hashes.com/en/tools/hash_identifier
https://www.tunnelsup.com/hash-analyzer/

suid guid 文件權限 or sudo

GTFOBIN
https://gtfobins.github.io/

某個程式有root權限，可以查看檔案或寫入檔案。

/etc/passwd
/etc/shadow

敏感文件

.ssh 私鑰洩漏

定時任務 /etc/crontab 竄改

竄改某個腳本的內容
或是竄改環境變數

枚舉腳本:

linpeas
LinEnum
Linux Exploit Suggester

後滲透跳板 (不熟忘了，需要複習)

假設reverse shell 會自動上線

內網服務端口轉發到外網。
socat 
frp 


內網掃描
資訊蒐集
封包蒐集
arp spoof 
慢慢拿下內網所有機器。
做C2控制
走dns端口53端口帶外，繞過防火牆

windows 域滲透 (不熟忘了，需要複習)

windows 忘光了以下是需要加強的

弱服務配置錯誤
mimikatz 
NTLM
NTLMV2
responder 
powershell 
psexec 
winpeas
potato 提權
文件不落地