Koska pentesteri löytää usein sivuston aliverkkotunnukset, se esiintyy usein. Joten kirjoitin työkalun, SubBrute , joka tekee tämän melko hyvin, jos sanon niin itsekin. Lyhyesti sanottuna tämä on parempi kuin muut työkalut (kovaa2), koska sen paljon nopeampi, tarkempi ja helpompi työskennellä . Tämän työkalun mukana tulee luettelo todellisista aliverkkotunnuksista, jotka on saatu verkon hämähäkkimisestä. Tämä aliverkkotunnusluettelo on yli 16-kertainen kovaa2-kokoiseen ja ala-asteisto kestää noin 15 minuuttia tämän luettelon tyhjentäminen kotiliitännässä. Tulos on puhdas uusi rivillä eroteltu luettelo, jota on helppo käyttää muiden työkalujen, kuten nmap: n tai verkkosovelluksen haavoittuvuuksien skannerin, tulona.

Kommentit

• Mahtava, i ’ tarkistan sen. Onko mitään käsitystä siitä, kuinka hyvin se verrataan ’ koputukseen ’?
• @ D3C4FF koputus on paskaa.
• Kaikki kunnia Rookille. Käytin työkalua tänään live-testissä ja se toimi kuin viehätys. Sieltä puuttui vain yksi kahdesta tusinasta aliverkkotunnuksesta, joka nimettiin mywebreading
• @ D3C4FF hell yeah, I ’ iloinen, että tekikin temppu;)
• @Etsi vain nopea ajatus alibutista, lisää mahdollisuus ratkaista (ja tulostaa) IP-osoite myös löydetyistä isäntänimistä. Tein muutoksen, ja se auttoi muutamassa testissä, joissa tietyt alueet eivät kuulu soveltamisalaan, vaikka ne olisivatkin aliverkkotunnuksia. Kiitos vielä kerran!

1. Vyöhykkeen siirto

Jotkut nimipalvelimet sallivat DNS-vyöhykkeiden siirron kenelle tahansa Internetissä, yleensä tahattomasti. Tässä kysymyksessä selitetään tarkemmin: DNS-vyöhykkeen siirtohyökkäys .

Työkalut vyöhykkeen siirtoon

toiseen kysymykseen annetussa vastauksessa mainitaan, kuinka testata sitä sekä Windowsille että Linuxille:

Windows:

nslookup > server <DNS you are querying> > set type=any > ls -d <target> 

Unix (nslookup on vanhentunut Unixissa):

dig -t axfr @<DNS you are querying> <target> 

(Muokatin Unix-versiota, koska -axfr ei näytä toimivan. Minun oli määritettävä -t axfr.)

2. DNSSEC-vyöhykekävely

DNSSEC allekirjoittaa DNS-tietueet, joten voit olla varma, että saat oikean vastauksen (hyvin, kun otetaan huomioon jotkut luottamuksen juuret ja välittäjät). Mutta kuinka osoitat, että jotain ei ole olemassa, esim. kun etsitään nonexistentsub.example.com, miten example.com -palvelimen nimipalvelin todistaa aliverkkotunnuksen olemattomuuden? Siinä ei ole allekirjoitusavainta (allekirjoitus tehdään, kun järjestelmänvalvojat päivittävät vyöhykkeen).

Vastauksessaan kohtaan Kuinka DNSSec toimii? Onko olemassa tunnettuja rajoituksia tai ongelmia?, / u / tylerl selittää:

On selvää, että vastausta tarvitaan allekirjoitettava, mutta yleensä DNS-palvelimella itsellään ei ole pääsyä allekirjoitusavaimeen ja se ei voi allekirjoittaa vastausta lennossa; kaikki allekirjoitukset luodaan ” offline-tilassa ” etukäteen. Tämä estää avainta paljastamasta, jos DNS-palvelimesi vaarantuu.

Joten aakkosjärjestä aliverkkotunnuksesi ja sano ” jokaiselle mail.example-nimelle. com ja pop.example.com, muita aliverkkotunnuksia ei ole ” ja allekirjoita tämä väite. Kun joku pyytää nachos.example.com, voit antaa heille vastauksen (joka on jo allekirjoitettu) ja asiakas tietää sen, koska nachos.example.com kuuluu aakkosjärjestyksessä mail.example.com ja pop.example.com väliin, sitten ” tätä verkkotunnusta ei ole olemassa ” -vastauksen katsotaan allekirjoitetun oikein ja tulleen sinulta.

Paikka, josta tämä tulee ongelmalliseksi, on se, että sinulla on joukko näitä negatiivisia vastauksia, joissa todetaan nimenomaisesti, että ” X: n ja Y: n välillä ei ole vastauksia, voit helposti kartoittaa tarkalleen mitkä verkkotunnukset olemassa koko vyöhykkeelle. Tiedät, että ” X ” on olemassa, ja tiedät, että ” Y ” on olemassa, ja tiedät, ettei niiden välillä ole mitään muuta. Tee vain hieman enemmän satunnaisesti ja pystyt nopeasti laatimaan luettelon kaikista tietueista joita on olemassa.

Tietuetta, joka määrittelee ”, kunnes pop.example.com ei ole mitään ”, kutsutaan NSEC (Seuraava turvallinen tietue).

Tätä varten on suunniteltu kiertotapa: NSEC3. Se hajauttaa nimiä, joten mail muuttuu b83a88... ja pop muuttuu b21afc.... Kuvittele, että nämä ovat kaksi ainoaa aliverkkotunnusta, jolloin allekirjoitettu vastaus sanoo ” b21afc... ja ”. Jälleen se toimii aakkosjärjestyksessä ja voit hankkia ne kaikki, mutta tällä kertaa sinun täytyy murtaa jokainen hash, ennen kuin opit aliverkkotunnukset.

Kokemukseni mukaan useimmilla NSEC3-laajennus on käytössä.

Työkalut vyöhykekävelylle

NSEC3Walker tekee sekä luettelon että halkeilun. En voi taata murtamisen tehokkuutta, mutta se on ehdottomasti vain CPU-pohjainen. Koska NSEC3 käyttää SHA1: tä (ainakin alun perin), on todennäköisesti parempia murtamisohjelmia.

dnsrecon näyttää myös pystyvän siihen: dnsrecon -z -d example.com. En tiedä, onko olemassa virallista verkkosivustoa, jossa on tietoja, mutta Debian Stretchissä, Busterissa ja Bullseye I apt install dnsrecon.

3. Käänteiset hakut aliverkossa

Arvaamalla muutama, löydät usein vastauksia vastaavalta alueelta. Jos tiedät, että www. on olemassa ja mail. on olemassa, ja molemmat päättävät 192.168.3.x, saattaa olla enemmän. Yritä tehdä käänteinen haku kaikille osoitteille 192.168.3.0-255 (/24), ja löydät todennäköisesti lisää aliverkkotunnuksia. Voit myös kokeilla WHOIS-kyselyä IP-osoitteesta löytääksesi alueen rajat (jos niillä on oma lohko).

Käänteisen haun työkalut

dnsrecon voi tehdä tämän:

dnsrecon -t rvl -r 192.168.1.0/24 

Missä -t rvl tarkoittaa ” -tyyppinen käänteinen haku ” ja -r läpäisee IP-alueen CIDR-merkinnässä. En tiedä jos on virallinen verkkosivusto, jossa on tietoja, mutta Debian Stretchissä, Busterissa ja Bullseye: ssä voin apt install dnsrecon.

4. DNS-palvelun tietueet

Voidaan asettaa SRV (palvelu) -tietueet palvelun löytämistä varten, esimerkiksi _sip._tcp.example.com voisi osoittaa sipserver.example.com porttiin 5060. Koska palvelunimet (” sip ” esimerkissä) ovat tyypillisesti IANA: n rekisteröimiä standardeja, voimme iteroida niiden kautta.

Työkalut srv-tietueiden kyselyyn

dnsrecon voi tehdä tämän:

dnsrecon -t srv -d example.com 

Se vie osajoukon olemassa olevista palvelunimistä, jonka tuntematon on valinnut menetelmä, kuten sen man-sivulla on mainittu (man dnsrecon).

5. Muut menetelmät

Mainitsit jo joitain niistä.En aio mennä yksityiskohtiin, koska ne ovat melko itsestään selviä ja riippuvat joko kohteessa käynnissä olevasta sovelluksesta (kuten FTP), riippuvat kolmannesta osapuolesta tai heistä ei todellakaan ole paljon sanottavaa .

• Hakutulokset saattavat paljastaa aliverkkotunnuksia. Jälleen dnsrecon voi tehdä tämän -t goo -vaihtoehdolla (käyttää nimenomaan Googlea).

• Muiden TLD-nimien tarkistaminen samalle nimelle saattaa paljastaa joitain muita variantteja tai IP-osoitteita. Esimerkiksi. jos example.com on olemassa, voi olla olemassa myös example.org. dnsrecon voi tehdä tämän myös valitsemalla dnsrecon -t tld -d example.com.

• Verkkosivuston indeksointi tai viitteiden etsiminen muualla saattaa antaa vihjeitä. (Apua haetaan: mitä työkalua käytetään?)

• TLS-varmenteiden tarkasteleminen tuottaa usein tuloksia. Muista tarkistaa HTTPS: n, SMTP: n (S), FTP: n (S) jne. Portit ja käyttää STARTTLS: ää.

• On olemassa kolmannen osapuolen työkaluja, jotka voivat luetella aliverkkotunnuksia verkkotunnus. Heidän menetelmänsä ovat vähemmän selkeät, mutta Internetin ja historiallisten tietueiden indeksointi (ehkä verkkotunnuksen siirto oli kerran mahdollista?) Ovat usein osa sitä. (Haluttu apua: onko suosituksia? Muistan vain nähneeni sen olevan olemassa.)

6. Arvaus.

Viimeinen vaihtoehto on vain arvaus, joko sanakirjan (suosittelisin sitä) tai raakan voiman avulla. Jokerimerkit vaikeuttavat tätä, vaikka monet työkalut yrittävät havaita ja ratkaista tämän.

Arvaamisen / karkean pakottamisen työkalut

Tätä varten rakennettiin kovaa: https://github.com/mschwager/fierce
Se on asennettu oletuksena Kali Linuxiin.

Kuten / u / rook mainittu toisessa vastauksessa tässä säikeessä , he kirjoittivat Subbruten tähän tarkoitukseen: https://github.com/TheRook/subbrute

dnsrecon voi tehdä tämän valitsemalla dnsrecon -t brt -d example.com. Käytä -f – ” Suodata Brute Force -toimialueen hakutietueista, jotka ratkaistaan jokerimääritetyllä IP-osoitteella tallennettaessa tietueita ” sen man-sivu). Voit lähettää -D sanakirjatiedostolle.

Liite: dict ionarit

Etsin edelleen hyviä sanakirjoja (arvaamiseen / raakaan pakottamiseen), mutta tässä on joitain, joista olen tietoinen. Auta minua täydentämään tämä luettelo! Suurempi, sitä parempi, kunhan ne lajitellaan todennäköisyyden mukaan.

• Fierce -tietovarasto sisältää joitain sanakirjoja: https://github.com/mschwager/fierce / tree / master / lists
• ” Bitquark ”suoritti -analyysin yleisimmin käytetyistä aliverkkotunnuksista joka johti näihin luetteloihin: https://github.com/bitquark/dnspop/tree/master/results . Blogiviestit näyttävät siltä, että sillä on kuitenkin outoja tuloksia, joten en ole varma näiden luetteloiden laadusta.
• dnsrecon tulee luettelo, nimeltään yksinkertaisesti namelist.txt. dpkg -L dnsrecon paljastaa, mihin se on asennettu. Se on lajiteltu aakkosjärjestyksessä.
• Subbrutella on lyhyt ja pitkä luettelo: https://github.com/TheRook/subbrute

Jason Haddix kirjoitti suosikkialiverkkotunnukseni / isäntänimeni etsintätyökalu, joka riippuu Recon-ng: n hyvin uudesta versiosta – saatavilla täältä –

Yritän kokeilla sitä koputuksella , mutta varo: On vaarana joutua mustalle listalle.

Valitettavasti ei ole kiertotietä bruteforcing, jos vyöhykkeen siirto ei toimi.

Kommentit

• Tämä työkalu on heikkolaatuinen; SubBrute on paljon parempi.

pinon ylivuotoon , Paul Melici ehdotti käyttämällä WolframAlpha .(Kuvakaappaukset itse)

1. Kirjoita toimialue hakukenttään ja suorita haku. (Esim. stackexchange.com )

   

2. Yläosassa olevassa 3. osiossa (nimeltään ”Verkkotilastot kaikelle pinonvaihdolle”). fi ”) napsauta Aliverkkotunnukset

   

3. Napsauta Aliverkkotunnukset-osiossa Lisää

   

Näet luettelon aliverkkotunnuksista siellä. Vaikka epäilen, että se ei näytä KAIKKI aliverkkotunnuksia.

Kommentit

• tämä mainitaan ensimmäisessä kommentissa

Katso http://ha.ckers.org/fierce/ . Se voi viedä sanakirjatiedoston sekä raakaa voimaa. Se sisältyy myös Kaliin.

Alun perin käytän usein passiivista dns-tietokantaa aliverkkotunnusten löytämiseen sivustolle. Tämän menetelmän haittana on, että löydät vain tietokannassa luetellut sivustot. Mutta etuna on, että löydät sivustoja, joita ei ole lueteltu missään sanaluettelossa.

Joitakin tietokantoja viitteeksi:

https://www.virustotal.com/en/domain/stackexchange.com/information/

http://www.nonexiste.net/?q=stackexchange.com

Helppo. Kirjoita sivuston osoite wolframalpha. Ja napsauta ”aliverkkotunnukset” -painiketta.

Esimerkki; https://www.wolframalpha.com/input/?i=www.imdb.com

Tarkastele sivuston aliverkkotunnuksia napsauttamalla ”Aliverkkotunnukset”.

Lisäksi wolfram alfalla on api, jos haluat tavoittaa sen ja käyttää sitä. Toivottavasti se auttaa …

Kommentit

• Kadonnut – jos voit laajentaa tätä, selittämällä, mitä Wolfram tekee, tämä vastaus voi saada myönteisiä ääniä.
• ” -aliverkkotunnukset ” -linkki näyttää olevan vain joissakin -verkkotunnuksissa?