Yksi asioista, jotka minun on tehtävä aika ajoin, on löytää esimerkiksi sivuston aliverkkotunnukset.

Alkaen esimerkki.fi

  • sub1. esimerkki.fi
  • muu.esimerkki.fi
  • toinen.esimerkki.fi

Etsin muita tapoja suorittaa uudelleen nämä kohteet ja haluan saada luettelon kaikista verkkotunnuksen aliverkkotunnuksista.

Teen tällä hetkellä useita asioita, mukaan lukien

  • maltegon käyttäminen tietojen indeksointiin
  • Hakukoneiden käyttäminen aliverkkotunnusten hakemiseen
  • indeksointisivustolinkit
  • DNS-tietueiden tutkiminen
  • Väärin määritettyjen SSL-varmenteiden tutkiminen
  • Arvaaminen esimerkiksi ”vpn.example.com”

Uskon, että on enemmän kuin sellaisia, jotka olen löytänyt toistaiseksi, mutta nyt minulla ei ole ideoita.

Kommentit

  • On toinen po st on stackoverflow, että ’ on varsin hyvä: [Aliverkkotunnusten luettelo] [1] [1]: stackoverflow.com/questions/ 131989 / …
  • Sitten on vain yksi tapa – tee se kuten maltego: tee arvokkaita arvauksia …
  • Yritän kokeilla sitä koputuksella ( code.google.com/p/knock ), mutta varo: On vaaraa joutua mustalle listalle.
  • Siellä ’ sa python-komentosarja subdomainer.py, jonka pitäisi pystyä auttamaan sinua … Tee haku Googlesta
  • FYI se löytyy edge-security.com -sivustolla , mutta vanha linkki lähetettiin SecurityTube -wiki -sivulle on kuollut (vaikkakin sillä on käyttöesimerkki, joka on tietenkin määritelty joka tapauksessa usage() -kohdassa). Lähdekoodin perusteella päätellen se kerää tietoja kolmelta suurelta hakukoneelta (yahoo, msn, google) ja minulle epäselvältä verkkosivustolta pgp.rediris.es, joka näyttää olevan sähköpostin scrapper.

vastaus

Koska pentesteri löytää usein sivuston aliverkkotunnukset, se esiintyy usein. Joten kirjoitin työkalun, SubBrute , joka tekee tämän melko hyvin, jos sanon niin itsekin. Lyhyesti sanottuna tämä on parempi kuin muut työkalut (kovaa2), koska sen paljon nopeampi, tarkempi ja helpompi työskennellä . Tämän työkalun mukana tulee luettelo todellisista aliverkkotunnuksista, jotka on saatu verkon hämähäkkimisestä. Tämä aliverkkotunnusluettelo on yli 16-kertainen kovaa2-kokoiseen ja ala-asteisto kestää noin 15 minuuttia tämän luettelon tyhjentäminen kotiliitännässä. Tulos on puhdas uusi rivillä eroteltu luettelo, jota on helppo käyttää muiden työkalujen, kuten nmap: n tai verkkosovelluksen haavoittuvuuksien skannerin, tulona.

Kommentit

  • Mahtava, i ’ tarkistan sen. Onko mitään käsitystä siitä, kuinka hyvin se verrataan ’ koputukseen ’?
  • @ D3C4FF koputus on paskaa.
  • Kaikki kunnia Rookille. Käytin työkalua tänään live-testissä ja se toimi kuin viehätys. Sieltä puuttui vain yksi kahdesta tusinasta aliverkkotunnuksesta, joka nimettiin mywebreading
  • @ D3C4FF hell yeah, I ’ iloinen, että tekikin temppu;)
  • @Etsi vain nopea ajatus alibutista, lisää mahdollisuus ratkaista (ja tulostaa) IP-osoite myös löydetyistä isäntänimistä. Tein muutoksen, ja se auttoi muutamassa testissä, joissa tietyt alueet eivät kuulu soveltamisalaan, vaikka ne olisivatkin aliverkkotunnuksia. Kiitos vielä kerran!

Vastaa

1. Vyöhykkeen siirto

Jotkut nimipalvelimet sallivat DNS-vyöhykkeiden siirron kenelle tahansa Internetissä, yleensä tahattomasti. Tässä kysymyksessä selitetään tarkemmin: DNS-vyöhykkeen siirtohyökkäys .

Työkalut vyöhykkeen siirtoon

toiseen kysymykseen annetussa vastauksessa mainitaan, kuinka testata sitä sekä Windowsille että Linuxille:

Windows:

nslookup > server <DNS you are querying> > set type=any > ls -d <target> 

Unix (nslookup on vanhentunut Unixissa):

dig -t axfr @<DNS you are querying> <target> 

(Muokatin Unix-versiota, koska -axfr ei näytä toimivan. Minun oli määritettävä -t axfr.)

2. DNSSEC-vyöhykekävely

DNSSEC allekirjoittaa DNS-tietueet, joten voit olla varma, että saat oikean vastauksen (hyvin, kun otetaan huomioon jotkut luottamuksen juuret ja välittäjät). Mutta kuinka osoitat, että jotain ei ole olemassa, esim. kun etsitään nonexistentsub.example.com, miten example.com -palvelimen nimipalvelin todistaa aliverkkotunnuksen olemattomuuden? Siinä ei ole allekirjoitusavainta (allekirjoitus tehdään, kun järjestelmänvalvojat päivittävät vyöhykkeen).

Vastauksessaan kohtaan Kuinka DNSSec toimii? Onko olemassa tunnettuja rajoituksia tai ongelmia?, / u / tylerl selittää:

On selvää, että vastausta tarvitaan allekirjoitettava, mutta yleensä DNS-palvelimella itsellään ei ole pääsyä allekirjoitusavaimeen ja se ei voi allekirjoittaa vastausta lennossa; kaikki allekirjoitukset luodaan ” offline-tilassa ” etukäteen. Tämä estää avainta paljastamasta, jos DNS-palvelimesi vaarantuu.

Joten aakkosjärjestä aliverkkotunnuksesi ja sano ” jokaiselle mail.example-nimelle. com ja pop.example.com, muita aliverkkotunnuksia ei ole ” ja allekirjoita tämä väite. Kun joku pyytää nachos.example.com, voit antaa heille vastauksen (joka on jo allekirjoitettu) ja asiakas tietää sen, koska nachos.example.com kuuluu aakkosjärjestyksessä mail.example.com ja pop.example.com väliin, sitten ” tätä verkkotunnusta ei ole olemassa ” -vastauksen katsotaan allekirjoitetun oikein ja tulleen sinulta.

Paikka, josta tämä tulee ongelmalliseksi, on se, että sinulla on joukko näitä negatiivisia vastauksia, joissa todetaan nimenomaisesti, että ” X: n ja Y: n välillä ei ole vastauksia, voit helposti kartoittaa tarkalleen mitkä verkkotunnukset olemassa koko vyöhykkeelle. Tiedät, että ” X ” on olemassa, ja tiedät, että ” Y ” on olemassa, ja tiedät, ettei niiden välillä ole mitään muuta. Tee vain hieman enemmän satunnaisesti ja pystyt nopeasti laatimaan luettelon kaikista tietueista joita on olemassa.

Tietuetta, joka määrittelee ”, kunnes pop.example.com ei ole mitään ”, kutsutaan NSEC (Seuraava turvallinen tietue).

Tätä varten on suunniteltu kiertotapa: NSEC3. Se hajauttaa nimiä, joten mail muuttuu b83a88... ja pop muuttuu b21afc.... Kuvittele, että nämä ovat kaksi ainoaa aliverkkotunnusta, jolloin allekirjoitettu vastaus sanoo ” b21afc... ja ”. Jälleen se toimii aakkosjärjestyksessä ja voit hankkia ne kaikki, mutta tällä kertaa sinun täytyy murtaa jokainen hash, ennen kuin opit aliverkkotunnukset.

Kokemukseni mukaan useimmilla NSEC3-laajennus on käytössä.

Työkalut vyöhykekävelylle

NSEC3Walker tekee sekä luettelon että halkeilun. En voi taata murtamisen tehokkuutta, mutta se on ehdottomasti vain CPU-pohjainen. Koska NSEC3 käyttää SHA1: tä (ainakin alun perin), on todennäköisesti parempia murtamisohjelmia.

dnsrecon näyttää myös pystyvän siihen: dnsrecon -z -d example.com. En tiedä, onko olemassa virallista verkkosivustoa, jossa on tietoja, mutta Debian Stretchissä, Busterissa ja Bullseye I apt install dnsrecon.

3. Käänteiset hakut aliverkossa

Arvaamalla muutama, löydät usein vastauksia vastaavalta alueelta. Jos tiedät, että www. on olemassa ja mail. on olemassa, ja molemmat päättävät 192.168.3.x, saattaa olla enemmän. Yritä tehdä käänteinen haku kaikille osoitteille 192.168.3.0-255 (/24), ja löydät todennäköisesti lisää aliverkkotunnuksia. Voit myös kokeilla WHOIS-kyselyä IP-osoitteesta löytääksesi alueen rajat (jos niillä on oma lohko).

Käänteisen haun työkalut

dnsrecon voi tehdä tämän:

dnsrecon -t rvl -r 192.168.1.0/24 

Missä -t rvl tarkoittaa ” -tyyppinen käänteinen haku ” ja -r läpäisee IP-alueen CIDR-merkinnässä. En tiedä jos on virallinen verkkosivusto, jossa on tietoja, mutta Debian Stretchissä, Busterissa ja Bullseye: ssä voin apt install dnsrecon.

4. DNS-palvelun tietueet

Voidaan asettaa SRV (palvelu) -tietueet palvelun löytämistä varten, esimerkiksi _sip._tcp.example.com voisi osoittaa sipserver.example.com porttiin 5060. Koska palvelunimet (” sip ” esimerkissä) ovat tyypillisesti IANA: n rekisteröimiä standardeja, voimme iteroida niiden kautta.

Työkalut srv-tietueiden kyselyyn

dnsrecon voi tehdä tämän:

dnsrecon -t srv -d example.com 

Se vie osajoukon olemassa olevista palvelunimistä, jonka tuntematon on valinnut menetelmä, kuten sen man-sivulla on mainittu (man dnsrecon).

5. Muut menetelmät

Mainitsit jo joitain niistä.En aio mennä yksityiskohtiin, koska ne ovat melko itsestään selviä ja riippuvat joko kohteessa käynnissä olevasta sovelluksesta (kuten FTP), riippuvat kolmannesta osapuolesta tai heistä ei todellakaan ole paljon sanottavaa .

  • Hakutulokset saattavat paljastaa aliverkkotunnuksia. Jälleen dnsrecon voi tehdä tämän -t goo -vaihtoehdolla (käyttää nimenomaan Googlea).

  • Muiden TLD-nimien tarkistaminen samalle nimelle saattaa paljastaa joitain muita variantteja tai IP-osoitteita. Esimerkiksi. jos example.com on olemassa, voi olla olemassa myös example.org. dnsrecon voi tehdä tämän myös valitsemalla dnsrecon -t tld -d example.com.

  • Verkkosivuston indeksointi tai viitteiden etsiminen muualla saattaa antaa vihjeitä. (Apua haetaan: mitä työkalua käytetään?)

  • TLS-varmenteiden tarkasteleminen tuottaa usein tuloksia. Muista tarkistaa HTTPS: n, SMTP: n (S), FTP: n (S) jne. Portit ja käyttää STARTTLS: ää.

  • On olemassa kolmannen osapuolen työkaluja, jotka voivat luetella aliverkkotunnuksia verkkotunnus. Heidän menetelmänsä ovat vähemmän selkeät, mutta Internetin ja historiallisten tietueiden indeksointi (ehkä verkkotunnuksen siirto oli kerran mahdollista?) Ovat usein osa sitä. (Haluttu apua: onko suosituksia? Muistan vain nähneeni sen olevan olemassa.)

6. Arvaus.

Viimeinen vaihtoehto on vain arvaus, joko sanakirjan (suosittelisin sitä) tai raakan voiman avulla. Jokerimerkit vaikeuttavat tätä, vaikka monet työkalut yrittävät havaita ja ratkaista tämän.

Arvaamisen / karkean pakottamisen työkalut

Tätä varten rakennettiin kovaa: https://github.com/mschwager/fierce
Se on asennettu oletuksena Kali Linuxiin.

Kuten / u / rook mainittu toisessa vastauksessa tässä säikeessä , he kirjoittivat Subbruten tähän tarkoitukseen: https://github.com/TheRook/subbrute

dnsrecon voi tehdä tämän valitsemalla dnsrecon -t brt -d example.com. Käytä -f – ” Suodata Brute Force -toimialueen hakutietueista, jotka ratkaistaan jokerimääritetyllä IP-osoitteella tallennettaessa tietueita ” sen man-sivu). Voit lähettää -D sanakirjatiedostolle.

Liite: dict ionarit

Etsin edelleen hyviä sanakirjoja (arvaamiseen / raakaan pakottamiseen), mutta tässä on joitain, joista olen tietoinen. Auta minua täydentämään tämä luettelo! Suurempi, sitä parempi, kunhan ne lajitellaan todennäköisyyden mukaan.

Vastaa

Jason Haddix kirjoitti suosikkialiverkkotunnukseni / isäntänimeni etsintätyökalu, joka riippuu Recon-ng: n hyvin uudesta versiosta – saatavilla täältä –

https://github.com/jhaddix/domain

aliarvio on kunnollinen, fierce -dns <domain> toimii hyvin, dnsmap <domain> -r file.txt on myös kelvollinen, enkä näe mitään syytä olla pitämättä knock -wc <domain> -kohdasta (vaikka koputuksen muutkin ominaisuudet voivat olla epäilty). Kaikissa näissä työkaluissa käytetään kuitenkin tekniikoita, jotka osoittavat heidän ikänsä. Joidenkin näiden hyökkäysparannusten temppu on keksiä räätälöity tiedosto, joka sisältää nimenomaan kohteelle räätälöidyt isäntänimet.

DNS-löydön ketjusaha on kuitenkin dnsrecon. Se tekee kaiken.

Voit myös harkita kaupallista tarjousta, kuten RiskIQ, joka voi tehdä paljon enemmän kuin kaikki nämä työkalut. Heidän tekniikoihinsa kuuluu paljon tutkimuksia, joita useimmat teistä eivät ajattelisi.

[PÄIVITÄ] Toinen suosikki (isäntänimille, ei ensisijaisesti aliverkkotunnuksille – onko OP kiinnostunut molemmista?) On – https://github.com/tomsteele/blacksheepwall

Vastaa

Yritän kokeilla sitä koputuksella , mutta varo: On vaarana joutua mustalle listalle.

Valitettavasti ei ole kiertotietä bruteforcing, jos vyöhykkeen siirto ei toimi.

Kommentit

  • Tämä työkalu on heikkolaatuinen; SubBrute on paljon parempi.

vastaus

pinon ylivuotoon , Paul Melici ehdotti käyttämällä WolframAlpha .(Kuvakaappaukset itse)

  1. Kirjoita toimialue hakukenttään ja suorita haku. (Esim. stackexchange.com )

    Wolfram - kotisivu

  2. Yläosassa olevassa 3. osiossa (nimeltään ”Verkkotilastot kaikelle pinonvaihdolle”). fi ”) napsauta Aliverkkotunnukset

    Wolfram - Aliverkkotunnukset-painike

  3. Napsauta Aliverkkotunnukset-osiossa Lisää

    Wolfram - Lisää aliverkkotunnuksia -painike

Näet luettelon aliverkkotunnuksista siellä. Vaikka epäilen, että se ei näytä KAIKKI aliverkkotunnuksia.

Kommentit

  • tämä mainitaan ensimmäisessä kommentissa

vastaus

Katso http://ha.ckers.org/fierce/ . Se voi viedä sanakirjatiedoston sekä raakaa voimaa. Se sisältyy myös Kaliin.

Vastaus

Alun perin käytän usein passiivista dns-tietokantaa aliverkkotunnusten löytämiseen sivustolle. Tämän menetelmän haittana on, että löydät vain tietokannassa luetellut sivustot. Mutta etuna on, että löydät sivustoja, joita ei ole lueteltu missään sanaluettelossa.

Joitakin tietokantoja viitteeksi:

https://www.virustotal.com/en/domain/stackexchange.com/information/

http://www.nonexiste.net/?q=stackexchange.com

Vastaa

Helppo. Kirjoita sivuston osoite wolframalpha. Ja napsauta ”aliverkkotunnukset” -painiketta.

Esimerkki; https://www.wolframalpha.com/input/?i=www.imdb.com

Tarkastele sivuston aliverkkotunnuksia napsauttamalla ”Aliverkkotunnukset”.

Lisäksi wolfram alfalla on api, jos haluat tavoittaa sen ja käyttää sitä. Toivottavasti se auttaa …

Kommentit

  • Kadonnut – jos voit laajentaa tätä, selittämällä, mitä Wolfram tekee, tämä vastaus voi saada myönteisiä ääniä.
  • ” -aliverkkotunnukset ” -linkki näyttää olevan vain joissakin -verkkotunnuksissa?

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *