## 資產蒐集階段 (擴大攻擊面) ### 子域蒐集常用工具 ``` subfinder (被動源，要配置api) amass (可以輸出到maltego，也自帶DB功能，所以好用) maltego (好用 要配置api) oneforall (好用) the harevest (堪用) ``` ### 域名替換 ``` altdns https://www.whoxy.com/ https://siterankdata.com/ ``` ### ip歷史反解找出旁站 ip 反解需要先替除 hostsharing 跟 cdn 否則會很多垃圾網站。 #### 批量IP檢測cdn線上工具。 ``` https://zh.infobyip.com/ipbulklookup.php ``` #### IP反解 ``` https://viewdns.info/reverseip/ https://hackertarget.com/reverse-ip-lookup/ https://networkappers.com/tools/reverse-ip-checker https://www.virustotal.com https://securitytrails.com/ ``` ### ssl歷史紀錄 可以透過ssl fingerprint 去尋找相關子站 ``` https://crt.sh/ ``` ### dns歷史紀錄 (A NS MX SOA CNAME TXT) A 紀錄，若非CDN就省下很多時間。 NS 如果是小型NS 的話可以找到旁站，但機率小 MX 有時會有有用的域名 SOA 有時會有有用的資訊 CNAME 就是別名，也可以作為一個有效域名來蒐集。 ``` https://dnshistory.org/ (推薦，非常好用) https://osint.sh/dnshistory/(備用) ``` ### whois 歷史紀錄 \ 越來越多的站點使用 whois privacy 所以未來會越來越沒用，對於老站還是挺不錯的 ``` https://www.whoxy.com/ (推薦) https://www.virustotal.com/(備用) ``` ### wayback 蒐集子域 JS歷史接口 都是基於wayback 的資訊蒐集，每個工具都有自己的特點，(這部並非必須步驟) ``` wayback wayback_machine_downloader waybackpack waymore ``` ### 網站檢測 linkin linkout (旁站) 可以檢查鏈入 或者 鏈出，有可能會找到相關旁站 ``` https://www.statscrop.com/ ``` ### 蒐集html中 email username 社交帳戶 ``` secretfinder findsomething (瀏覽器插件) F12 慢慢搜尋 ``` ### 子域爆破 ``` dnsvalidator (dns 有效解析器) dnsfaster (篩選快速的解析器 ) massdns (爆破子域) ksubdomain (聽說很快) ``` ### web 提取js中的相關域名 敏感資訊 ``` JSFinder (JS 提取子域) JSINFO-SCAN (JS 敏感資訊) ``` ### traceroute 查看線路(說不定會有相關域名或真實IP) ``` https://dnschecker.org/online-traceroute.php ``` ### 線上掃全網: 面對cdn時，有助於縮小範圍，例如org 國家 asn 或是 c段，ip歷史 (ip反解 子域 旁站 相關域名 html_body_hash icon_hash 相關鏈入鏈出 title ) ``` shodan (更新太慢) fofa (推薦) censys (推薦，不過有數量限制，更新最快) quack360 (帳號不好辦) ``` ### 掃全網工具 掃描asn 網段解析域名 掃C段反解出相關域名 **這四個通常會互相結合使用** ``` zmap zgrab nmap masscan ``` ### 其他工具 #### 文件洩漏 ``` Metagoofil ``` #### github 代碼有可能會找到子域 ``` searchcode ``` #### 社交帳號 ``` sherlock ``` #### google hacking 以上出現過的關鍵字 ### 小節 ``` 以上循環幾次可以多次增加目標相關的域名，取決於時間和深度 ``` ## 存活驗證，定位弱資產，定位IP網段(通常是 web服務80,443) ### 繞過cdn 找真實IP(非必須，但還是有必要嘗試) ``` maltego (資產可視化，推薦) httpx (存活驗證，端口判斷 ) bscan (存活驗證，端口判斷) ``` ## 網站測試 owasp top 10 類 ### 常見測試 ``` 網站架構 伺服器版本 nday漏洞 框架 語言 套件 cms nday漏洞 JS 接口 robots.txt 目錄爆破 敏感資訊洩漏 參數fuzz 找CVE nday waf檢測 繞過 (不熟) wayback 歷史接口 wayback 歷史目錄 wayback 歷史資訊 wayback 歷史參數 ``` ### 掃描工具 (很少用，流量太大，很多都有免費限制) ``` nessus (免費版 16次) OpenVAS / GVM ``` ### 常用工具: ``` antsword (webshell管理) burpsuite (付費版沒用過) owasp zap (免費好用) fuff (目錄爆破) sqlmap (sql 注入) nip.io (DNS解析繞過) ceye.io (DNS log OOB常用) wafw00f (waf判斷) ``` ### wayback 和 js接口 工具: ``` wayback_machine_downloader waybackpack waymore JSINFO-SCAN ``` ### 瀏覽器插件: ``` findsomething (敏感目錄 訊息) wappalyzer ( 網站基礎框架檢測) WhatRuns ( 網站基礎框架檢測) ``` ### payload庫: ``` payload all the thing https://github.com/swisskyrepo/PayloadsAllTheThings ``` ### osint類: ``` yandex (反向圖片 ) google hacking 關鍵詞 id ``` **如果有較弱的旁站會增加滲透成功率，通常主站的防禦比較好** **若是以上運氣好有web漏洞可以嘗試拿到主機 shell** ## CTF 類 ### 端口掃描: ``` rustscan (快速掃端口) nmap (好用) ``` ### 弱服務版本漏洞 可能會用到的漏洞payload工具 ``` msfconsole msfvenom (生成payload，或是混淆) meterpreter (後滲透工具) exploit DB netcat ``` ### 密碼類 ``` john (破解密碼) hashcat (破解hash) mkpasswd (生成密碼) hydra (爆破服務) unshadow (搭配 john 破解) hash-id (hash identifier) 線上 hash https://hashes.com/en/tools/hash_identifier https://www.tunnelsup.com/hash-analyzer/ ``` ### suid guid 文件權限 or sudo ``` GTFOBIN https://gtfobins.github.io/ ``` ### 某個程式有root權限，可以查看檔案或寫入檔案。 ``` /etc/passwd /etc/shadow ``` ### 敏感文件 ``` .ssh 私鑰洩漏 ``` ### 定時任務 /etc/crontab 竄改 ``` 竄改某個腳本的內容 或是竄改環境變數 ``` ### 枚舉腳本: ``` linpeas LinEnum Linux Exploit Suggester ``` ## 後滲透跳板 (不熟忘了，需要複習) **假設reverse shell 會自動上線** ``` 內網服務端口轉發到外網。 socat frp 內網掃描 資訊蒐集 封包蒐集 arp spoof 慢慢拿下內網所有機器。 做C2控制 走dns端口53端口帶外，繞過防火牆 ``` ## windows 域滲透 (不熟忘了，需要複習) windows 忘光了以下是需要加強的 ``` 弱服務配置錯誤 mimikatz NTLM NTLMV2 responder powershell psexec winpeas potato 提權 文件不落地 ```