Кто чем ищет поддомены?

[hahbah]

Если надо спарсить, могу с securitytrails.com своим софтом прогнать за копейку, на приём .txt с основными доменами.

 

[xargs]

а вот насчёт скрытых параметров у API - на практике такое реже (исчезающе мало) встречается.

наоборот, как раз таки в API перечислять параметры это первое дело, очень часто там IDOR. Только к чему ты это написал, тема не про это.

мы же про фаззинг параметров HTTP запросах рассуждаем, я правильно понял?

Тема называется "Кто чем ищет поддомены?". Незнаю о чем ты рассуждаешь. Я всего лишь написал что помимо пасивной разведки должна быть и активная, цель которой перечислить "скрытые" поддомены в VHOST которые повторюсь не могут находиться в публичных NS'ах.

онял о чём ты - misconfig web сервера

это не мисконфиг, это нормальное поведение.

 

[zdestuta]

наоборот, как раз таки в API перечислять параметры это первое дело, очень часто там IDOR. Только к чему ты это написал, тема не про это.

стоп-стоп, это разные вещи "IDOR в параметре" и "скрытый параметр найти", не взаимоисключающие впрочем.
и если IDOR штука распространённая, то вот про нахождение скрытых параметров и тема раскрыта мало и попытки найти такие параметры малорезультативны (фаззинг - это результативность ниже среднего, сильно зависит от правильного подбора названий самих скрытых параметров для собственно фаззинга).

давай уточним, прям очень приблизительно на примерах, а то мне кажется ты пишешь о двух разных вещах как об одной:
1. у апи есть параметр типа server.com/show_user/?user_id=3 , и вот если туда пихаешь 4, 5 и на что-то возвращаются данные юзера - это IDOR
2. у апи есть параметр типа server.com/login/name=user&pass=secret (условно, ясен пень через POST обычно просто через GET писать удобнее) , но ты вдруг намайниваешь что можно внезапно server.com/login/name=user&pass=secret&is_admin=true и недокументированный скрытый параметр is_admin=true вдруг внезапно (из-за так называемого mass assignment) делает юзера админом - это ты называл "найти скрытый параметр" ?
ты в одной из тем писал про "нахождение скрытых параметров" - ты 1. или 2. всё-таки имел в виду? (я чисто уточнить)
проще: ты про сами параметры или их значения ?

 

[zdestuta]

это не мисконфиг, это нормальное поведение.

нет нифига не согласен. "дефолтное поведение" это не есть "нормальное поведение" - понимаешь разницу в терминах? это прям конкретный мисконфиг ("недоконфиг" я бы сказал, типа "забили не стали делать") если интранет-поддомен в DMZ который только для внутреннего пользования и вдруг доступен с внешнего веб сервера.
это вообще основание уволить DevOps'а (и я увольнял за такое людей)

 

[m00r]

GitHub - nullfuzz-pentest/shodan-dorks: Shodan Dorks

Shodan Dorks. Contribute to nullfuzz-pentest/shodan-dorks development by creating an account on GitHub.

github.com

может пригодится
хз куда запостить
вроде тред без кардеров

 

[Александр _0112]

RSECloud, а именно, через консольку с помощью утилиты rsescan и поддомены ищет (ключ -d) и ipшники (ключ -cn). На гитхабе подробнее можешь почитать

 

[peoplesort]

Удивлен что никто не написал про метод бруда через сторонние DNS резольверы. Я этой методикой достигал перебора в 100 тысяч поддоменов за 10 секунд. Длеается это через комбинацию Puredns + dnsvalidator

Начинай с этого гайда: https://sidxparab.gitbook.io/subdomain-enumeration-guide/active-enumeration/dns-bruteforcing

 

[zdestuta]

Удивлен что никто не написал про метод бруда через сторонние DNS резольверы. Я этой методикой достигал перебора в 100 тысяч поддоменов за 10 секунд. Длеается это через комбинацию Puredns + dnsvalidator

Начинай с этого гайда: https://sidxparab.gitbook.io/subdomain-enumeration-guide/active-enumeration/dns-bruteforcing

спасибо! годная штука!

 

[Shady777]

По быстрому понятно дело https://crt.sh поискать по выданным сертификатам или даже просто поисковиком доркнуть "site:*.domain.tld" типа того.

По поисковикам ищет sublist3r это хорошо, плюс у его модуля subbrute есть словарь, но словарь смешной всего-то на ~129k поддоменов см. /usr/lib/python3/dist-packages/subbrute/names.txt
И к сожалению в sublist3r нет опции другой словать подсунуть :-(

Есть годный словарь 9M поддоменов от assetnote: https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt
Но если его прогонять ffuf, то он во-первых будет "тыкаться" искать HTTP или HTTPS, а поддомен может вообще не иметь Web сервера же и много раз на такое натыкался хотя там по факту были "вкусные" сервисы.

Чем лучше массово и очень быстро прочекать поддомены что они просто в IP резолвятся (ну или не резолвятся) ? И какой DNS сервер не начнёт блочить/троттлить столько запросов?

Свой скрипт писать не предлагайте, это крайний вариант, мне лениво да и наверняка тулза есть для этого готовая.

Попробуй foca, неплохо справляется с брутом через днс, вариантов очень много, есть еще встроенный https://suip.biz/ достаточно широкий выбор возможностей, все зависит от твоих хотелок, от что тебе на самом деле нужно, банальный осинт с указанием открытых портов так же проверка доменных имен и директорий по словарю, или что ты ищешь?)

 

[qwerty1337]

DNSDumpster - Find & lookup dns records for recon & research

Free domain research tool to discover hosts related to a domain. Find visible hosts from the attackers perspective for Red and Blue Teams.

dnsdumpster.com

 

[Asagor]

Базовый список:
Amass
BBOT
subfinder
sublister
и т.д
Но это в основном базовые инструменты

Также можно искать по доркам и поисковым система по типо Shodan,Fofa,Censys.По поводу дорков есть гитхаб и отдельный раздел или на exploit-db почекать можно будет

 

[ebat_kolopat]

Its passive scan... For active scan use GoBuster. Its easy for me, i'am not true hacker

 

[ymb]

Люди часто тратят недостатачно времени на это. Я считаю что так нельзя. На хороший recon впринцыпе много очень времени тратить надо, тем более на поиск поддоменов. Чем больше поддоменов, тем больше шанс найти что то интересное. Нужно использовать все возможные техники для этого дела. Искать через JS файлы, favicon, поисковые системы (по типу fofa, zoomeye, shodan и т д), использовать gitlab, github. Доставать ссылки через инструменты по типу GAU и от туда доставать поддомены. Гугл доркинг и всякое подобное... Чтобы росписать все способы это огромная статья выйдет. Ну и конечно же взять пиздец огромный словарь и фаззить через FFUF ним. И да, многие кстати при фаззинге поддоменов ставят что успех это только статус код 200. Но надо учитывать коды по типу 301 тоже.

 

[zdestuta]

И да, многие кстати при фаззинге поддоменов ставят что успех это только статус код 200. Но надо учитывать коды по типу 301 тоже.

Это только HTTP(S) фаззинг, а домен может быть без вебсервера (например SIP дырявый - звони куда хош) или вебсервер на нестандартном порту.
Поэтому поддомены надо не только веб-фаззить ffuf'ом, но и резолвить + сканить, причём сканить все порты.
Я так у одной криптобиржи апач томкэтов "пачку" находил на портах >10000 (интересно вот они думали что кому-то будет лень сканить все порты? )

 

[ymb]

Это только HTTP(S) фаззинг, а домен может быть без вебсервера (например SIP дырявый - звони куда хош) или вебсервер на нестандартном порту.
Поэтому поддомены надо не только веб-фаззить ffuf'ом, но и резолвить + сканить, причём сканить все порты.
Я так у одной криптобиржи апач томкэтов "пачку" находил на портах >10000 (интересно вот они думали что кому-то будет лень сканить все порты? )

интересненько

 

[ymb]

Это только HTTP(S) фаззинг, а домен может быть без вебсервера (например SIP дырявый - звони куда хош) или вебсервер на нестандартном порту.
Поэтому поддомены надо не только веб-фаззить ffuf'ом, но и резолвить + сканить, причём сканить все порты.
Я так у одной криптобиржи апач томкэтов "пачку" находил на портах >10000 (интересно вот они думали что кому-то будет лень сканить все порты? )

расскажешь может еще об этом ? просто даже как то не догадывался никогда так делать))). Мыслил стандартно. Думаю всем участникам интересно будет

 

[DimmuBurgor]

I think the obvious, and the most simple solution would be just paying for a s5 that is rotating on request, and check banners

 

[narow71]

https://github.com/guelfoweb/knock прикольный тул но не всегда показывает все поддомены. попробуй еще virus total (https://www.virustotal.com/gui/domain/<Domain>/relations) и https://securitytrails.com/

 

[zdestuta]

расскажешь может еще об этом ? просто даже как то не догадывался никогда так делать))). Мыслил стандартно. Думаю всем участникам интересно будет

там ничего особенного. я скурпулёзно просто обхожу периметр таргета. поэтому все найденные ffuf + crt.sh поддомены я ещё просканировал nmap'ом все порты. ну и нашёл на нестандартных портах томкэты. к сожалению они оказались неуязвимы (ну всмысле без известных CVE).

 

[zdestuta]

У меня сейчас другая странность обнаружилась - и amass v4.2.0 и bbot тоже свежий - не ищут поддомены почему-то нормально :-(

Например банально:
amass enum -d bc.game

Выдаёт только No assets were discovered и The enumeration has finished следом.

А раньше искалось нормально, не пойму что поломалось.