• XSS.stack #1 – первый литературный журнал от юзеров форума

помогите узнать реал ip сайта!

Отслеживать
pakhom сказал(а):
фаззингом найди поддомены, проверь стоит ли фаер на них, если нет то открываешь dnsdumpster и радуешься жизни.

1) поиск поддоменов, используя ffuf
Bash: 
ffuf -w wordlist.txt:FUZZ -u https://FUZZ.target.com/
можно использовать флаги -fc 400,401,404 (фильтрует коды) или -fs <xxx> (указываешь размер, который возвращают мертвые поддомены. в выводе их не будет)

2) проверяешь стоит ли WAF на поддомене
Bash: 
wafw00f https://dev.test.com/
Oh wow that is awesome, thank you for this share. I am similar situation as the OP, and didnt want to hijack or start a new thread, rather just read and see what everyone is contributing to help me also.
 
c0d3x сказал(а):
Берем сначала укропа, потом кошачью жопу, 25 картошек, 17 мандовошек, ведро воды и хyй туды, охапку дров и плов готов. А теперь к делу.
  • Чекаем историю IP этого домена, можно даже на разных сайтах, коих в гугле как говна за баней по запросу "domain ip history". В данном случае я чекнул на https://viewdns.info/iphistory/.
Посмотреть вложение 53235
  • Тут видим, что домен висел на IP адресах которые принадлежат OVH, CONTABO, SEDO, GOOGLE. NameCheap - не учитываем и чекать не будем, так как вероятность того что он продолжает хостится там с 2016 года и по сей день - крайне мала. Далее нам нужно получить список всех подсетей этих провайдеров/хостеров, поэтому идем например сюда и вбиваем там адреса из истории, в ответ получаем список подсетей провайдера.
Посмотреть вложение 53237
  • Копируем и сохраняем в текстовый файл. Копируем только IPv4. Нужно получить список подсетей каждого провайдера/хостера на которых светился домен. Все подсети сохранить в один текстовик.
  • Запускаем MASSCAN. Сканируем эти подсети на 80 и 443 порты.
Код: 
masscan -iL /etc/ips.txt -p443,80 --rate=2000 --open-only -oH /etc/result.txt
  • На выходе получаем чистый список IP этих провайдеров, на которых открыт 80/443 порт. В данном случае у меня насканилось 1 485 398 IP.
  • Теперь нужно попытаться вручную определить имя и версию вэб-сервера таргета, ну или хотя-бы имя. Самые простые варианты - посмотреть хидеры, вызвать ошибку на сайте, попробовать чекнуть страницу 404, применить дудос. В нашем случае оказался LiteSpeed Web Server. Определить получилось вызвав 404 ошибку - https://target.com/sukablyat.html. Так же могут пригодится интересные хидеры, которые отдает реальный сервер через CloudFlare. Это все необязательно, но может упростить сам поиск. Далее объясню как и зачем это вообще нужно.
  • Далее потребуется утилита httpx, с помощью которой мы будем обращаться к каждому IP через HTTP и HTTPS с хост-хидером нашего домена.
Код: 
httpx -l '/etc/result.txt' -web-server -location -match-string SPOOFER -title -nf -nc -H 'Host: target.com' -t 250 -rl 750 -o '/etc/temp.txt'
  • -l '/etc/result.txt' - Список насканенных IP.
  • -web-server - Определять имя вэб-сервера (Apache, Nginx, LiteSpeed и другие)
  • -location - Показывать куда редиректит, если редиректит.
  • -match-string SPOOFER - Отображать в результатах только те IP, на страницах которых найдено определенное слово, в нашем случае это слово SPOOFER.
  • -title - Показывать заголовок/тайтл страницы.
  • -nf - Отображать в результатах оба протокола HTTP/HTTPS
  • -nc - Не использовать разноцветный вывод в консоли
  • -H 'Host: target.com' - Хидер Host. Здесь указываем имя нашего домена/сабдомена, IP которого мы пытаемся найти.
  • -t 250 - Количество потоков. Здесь все зависит от вашего сервера, на котором вы работаете. Подбирайте самостоятельно.
  • -rl 750 - Максимальное количество запросов в секунду, которое может делать утилита. Рекомендуется использовать цифру в 3 раза больше, чем в потоках.
  • -o '/etc/temp.txt' - Куда сохраняем результат.
Код: 
    __    __  __       _  __
   / /_  / /_/ /_____ | |/ /
  / __ \/ __/ __/ __ \|   /
 / / / / /_/ /_/ /_/ /   |
/_/ /_/\__/\__/ .___/_/|_|
             /_/              v1.2.7

https://144.217.15.70 [] [Evolution Store | Home] [nginx/1.18.0 (Ubuntu)]
http://147.135.210.135 [] [Index of /] [Apache/2.4.54 (Debian)]
https://164.68.107.38 [] [Index of /] [Apache]
https://167.114.170.186 [] [Build Your Own Service Plan] [Apache]
http://167.86.70.149 [] [Amibot-Cheats] [nginx/1.14.2]
https://167.86.70.149 [] [Amibot-Cheats] [nginx/1.14.2]
http://173.212.201.141 [] [Kiwi Technology Limited] [Apache/2.4.41 (FreeBSD) OpenSSL/1.1.1d-freebsd PHP/7.4.0RC3]
https://173.212.201.141 [] [Kiwi Technology Limited] [Apache/2.4.41 (FreeBSD) OpenSSL/1.1.1d-freebsd PHP/7.4.0RC3]
https://198.244.249.33 [] [SMS SPOOFER] [LiteSpeed]
https://198.27.78.195 [] [Web Hosting Email Hosting Australian Domain Registration] [Apache/2.4.54 (CentOS)]
https://35.213.165.197 [] [SMS SPOOFER] [nginx/1.22.1]
https://51.79.255.170 [] [Map] [nginx]
https://51.81.138.126 [] [PPD EZ LiPo RC products, Custom billet products for Toyota Tundra, custom CNC products design, modeling, and programming consultant.] [Apache/2.4.38 (Debian)]
https://54.38.210.117 [] [Web Hosting, Email Hosting and UK Domain Registration] [Apache/2.4.54 (CentOS)]
https://54.38.210.119 [] [Email Hosting NZ Domain Registration] [Apache/2.4.54 (CentOS)]
http://92.222.232.208 [] [Undetected No Recoil Macros 🥇 Top Macros/Scripts Since 2016 🥇 Legit-Helpers.com] [Apache/2.4.54 (Debian)]
https://94.23.218.135 [] [SMS SPOOFER] [Apache/2.2.16 (Debian)]
  • Получаем вот такой вывод, в котором отображены все IP при обращении к которым с нашим хост-хидером httpx детектит на странице слово SPOOFER. В данном случае у нас нашлось три IP адреса, при обращении к которым с хост-хидером target.com открывается наш сайт, это видно по тайтлу страницы - SMS SPOOFER.
Код: 
https://198.244.249.33 [] [SMS SPOOFER] [LiteSpeed]
https://35.213.165.197 [] [SMS SPOOFER] [nginx/1.22.1]
https://94.23.218.135 [] [SMS SPOOFER] [Apache/2.2.16 (Debian)]
  • Теперь понятно зачем надо было попробовать определить вэб-сервер и по возможности его версию, напрямую через CloudFlare? Если не понятно, то часто бывает так что один и тот же сайт размещен на разных серверах, с разными конфигами и вэб-серверами, делается это по самым разным причинам, углубляться в объяснении которых я здесь не буду. В итоге в результатах вы можете получить и 10 одинаковых сайтов, которые висят у разных хостеров, на серверах с разными конфигурациями, и что-бы понять какой из них проксируется через CloudFlare - есть два варианта.
  1. Сравнивать по имени/версии вэб-сервера, по каким-то необычным хидерам/кукам.
  2. Дудос! Бьешь каждый IP с хост-хидером таргета, и смотришь - упал он или нет. Либо льешь TCP/UDP на 443/80 порт, и так же чекаешь, лег сайт или нет.
Посмотреть вложение 53241
Посмотреть вложение 53242


В таком случае можно попробовать сканить подсети всех крупных и популярных хостеров, или в крайнем случае весь мир, и чекать вышеописанным методом. В самой утилите httpx еще много разных фич, читайте, изучайте официальный мануал на гитхабе.
Holly bannas this is next level explination. hats off to you for this detail it will help so much for me.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Balance сказал(а):
I don't have 15 react to view the hidden content but

This is what I use to find backend IP:
criminalip.io
shodan.io
zoomeye.org
dnsdumpster.com
search.censys.io

If everything fails to find it,
then I'll do the favicon hash method

Good luck!
i was will say the same also with nmap scan is good some sites are some times not updated and maybe new service appeared and other off
 
Сегодня был интересный кейс, нигде не встречал такого совета, поэтому делюсь:

Удалось найти реальный айпи через поиск по body в сайте, например видим в ответе html index-456abcdf.js его и вбиваем в shodan и censys, мой таргет оказался в обоих системах.
 
c0d3x , уважаемый Дон, подскажите пожалуйста как httpx приучить чтобы он по HTTPS протоколу сразу шёл на IP, а не пытался http://ip:443 лезть?

Все настройки перерыл и все кейзы использования пересмотрел. Вот сама проблема (лезет по IP на 443 порт как на http) :
Код: 
$ httpx2 -u '188.114.99.224,188.114.98.224' -v -p '443' -H 'Host: vhost.i.want.to.find.domain.com' -fr -ip -sc -nc -title -web-server -td

    __    __  __       _  __
   / /_  / /_/ /_____ | |/ /
  / __ \/ __/ __/ __ \|   /
 / / / / /_/ /_/ /_/ /   |
/_/ /_/\__/\__/ .___/_/|_|
             /_/

                projectdiscovery.io

[INF] Current httpx version v1.6.9 (latest)
[WRN] UI Dashboard is disabled, Use -dashboard option to enable
[DBG] Failed 'http://188.114.98.224:443': GET http://188.114.98.224:443 giving up after 1 attempts: Get "http://188.114.98.224:443": read tcp 192.168.1.241:51152->188.114.98.224:443: read: connection reset by peer
[DBG] Failed 'http://188.114.99.224:443': GET http://188.114.99.224:443 giving up after 1 attempts: Get "http://188.114.99.224:443": read tcp 192.168.1.241:47684->188.114.99.224:443: read: connection reset by peer

У меня httpx2 потому что httpx занят питоновским httpx.
И это пока просто отладка на CF, чтобы потом на Amazon детектить этот хост.

А потом конечно же буду искать на всех IP Amazon выдрав подсетки именно EC2 и отдельных регинов с помощью jq вот так:
Код: 
wget https://ip-ranges.amazonaws.com/ip-ranges.json
cat ./ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | select(.region | startswith("us-east-")) | .ip_prefix' > ./amazon-ec2-us-east-all.txt
 
c0d3x сказал(а):
Берем сначала укропа, потом кошачью жопу, 25 картошек, 17 мандовошек, ведро воды и хyй туды, охапку дров и плов готов. А теперь к делу.
  • Чекаем историю IP этого домена, можно даже на разных сайтах, коих в гугле как говна за баней по запросу "domain ip history". В данном случае я чекнул на https://viewdns.info/iphistory/.
Посмотреть вложение 53235
  • Тут видим, что домен висел на IP адресах которые принадлежат OVH, CONTABO, SEDO, GOOGLE. NameCheap - не учитываем и чекать не будем, так как вероятность того что он продолжает хостится там с 2016 года и по сей день - крайне мала. Далее нам нужно получить список всех подсетей этих провайдеров/хостеров, поэтому идем например сюда и вбиваем там адреса из истории, в ответ получаем список подсетей провайдера.
Посмотреть вложение 53237
  • Копируем и сохраняем в текстовый файл. Копируем только IPv4. Нужно получить список подсетей каждого провайдера/хостера на которых светился домен. Все подсети сохранить в один текстовик.
  • Запускаем MASSCAN. Сканируем эти подсети на 80 и 443 порты.
Код: 
masscan -iL /etc/ips.txt -p443,80 --rate=2000 --open-only -oH /etc/result.txt
  • На выходе получаем чистый список IP этих провайдеров, на которых открыт 80/443 порт. В данном случае у меня насканилось 1 485 398 IP.
  • Теперь нужно попытаться вручную определить имя и версию вэб-сервера таргета, ну или хотя-бы имя. Самые простые варианты - посмотреть хидеры, вызвать ошибку на сайте, попробовать чекнуть страницу 404, применить дудос. В нашем случае оказался LiteSpeed Web Server. Определить получилось вызвав 404 ошибку - https://target.com/sukablyat.html. Так же могут пригодится интересные хидеры, которые отдает реальный сервер через CloudFlare. Это все необязательно, но может упростить сам поиск. Далее объясню как и зачем это вообще нужно.
  • Далее потребуется утилита httpx, с помощью которой мы будем обращаться к каждому IP через HTTP и HTTPS с хост-хидером нашего домена.
Код: 
httpx -l '/etc/result.txt' -stats -si 60 -web-server -location -match-string SPOOFER -title -nf -nc -H 'Host: target.com' -t 250 -rl 750 -o '/etc/temp.txt'
  • -l '/etc/result.txt' - Список насканенных IP.
  • -stats - показывать статистику сканирования.
  • -si 60 - как часто выводить статистику, в данном случае каждые 60 секунд.
  • -web-server - Определять имя вэб-сервера (Apache, Nginx, LiteSpeed и другие)
  • -location - Показывать куда редиректит, если редиректит.
  • -match-string SPOOFER - Отображать в результатах только те IP, на страницах которых найдено определенное слово, в нашем случае это слово SPOOFER.
  • -title - Показывать заголовок/тайтл страницы.
  • -nf - Отображать в результатах оба протокола HTTP/HTTPS
  • -nc - Не использовать разноцветный вывод в консоли
  • -H 'Host: target.com' - Хидер Host. Здесь указываем имя нашего домена/сабдомена, IP которого мы пытаемся найти.
  • -t 250 - Количество потоков. Здесь все зависит от вашего сервера, на котором вы работаете. Подбирайте самостоятельно.
  • -rl 750 - Максимальное количество запросов в секунду, которое может делать утилита. Рекомендуется использовать цифру в 3 раза больше, чем в потоках.
  • -o '/etc/temp.txt' - Куда сохраняем результат.
Код: 
    __    __  __       _  __
   / /_  / /_/ /_____ | |/ /
  / __ \/ __/ __/ __ \|   /
 / / / / /_/ /_/ /_/ /   |
/_/ /_/\__/\__/ .___/_/|_|
             /_/              v1.2.7

https://144.217.15.70 [] [Evolution Store | Home] [nginx/1.18.0 (Ubuntu)]
http://147.135.210.135 [] [Index of /] [Apache/2.4.54 (Debian)]
https://164.68.107.38 [] [Index of /] [Apache]
https://167.114.170.186 [] [Build Your Own Service Plan] [Apache]
http://167.86.70.149 [] [Amibot-Cheats] [nginx/1.14.2]
https://167.86.70.149 [] [Amibot-Cheats] [nginx/1.14.2]
http://173.212.201.141 [] [Kiwi Technology Limited] [Apache/2.4.41 (FreeBSD) OpenSSL/1.1.1d-freebsd PHP/7.4.0RC3]
https://173.212.201.141 [] [Kiwi Technology Limited] [Apache/2.4.41 (FreeBSD) OpenSSL/1.1.1d-freebsd PHP/7.4.0RC3]
https://198.244.249.33 [] [SMS SPOOFER] [LiteSpeed]
https://198.27.78.195 [] [Web Hosting Email Hosting Australian Domain Registration] [Apache/2.4.54 (CentOS)]
https://35.213.165.197 [] [SMS SPOOFER] [nginx/1.22.1]
https://51.79.255.170 [] [Map] [nginx]
https://51.81.138.126 [] [PPD EZ LiPo RC products, Custom billet products for Toyota Tundra, custom CNC products design, modeling, and programming consultant.] [Apache/2.4.38 (Debian)]
https://54.38.210.117 [] [Web Hosting, Email Hosting and UK Domain Registration] [Apache/2.4.54 (CentOS)]
https://54.38.210.119 [] [Email Hosting NZ Domain Registration] [Apache/2.4.54 (CentOS)]
http://92.222.232.208 [] [Undetected No Recoil Macros 🥇 Top Macros/Scripts Since 2016 🥇 Legit-Helpers.com] [Apache/2.4.54 (Debian)]
https://94.23.218.135 [] [SMS SPOOFER] [Apache/2.2.16 (Debian)]
  • Получаем вот такой вывод, в котором отображены все IP при обращении к которым с нашим хост-хидером httpx детектит на странице слово SPOOFER. В данном случае у нас нашлось три IP адреса, при обращении к которым с хост-хидером target.com открывается наш сайт, это видно по тайтлу страницы - SMS SPOOFER.
Код: 
https://198.244.249.33 [] [SMS SPOOFER] [LiteSpeed]
https://35.213.165.197 [] [SMS SPOOFER] [nginx/1.22.1]
https://94.23.218.135 [] [SMS SPOOFER] [Apache/2.2.16 (Debian)]
  • Теперь понятно зачем надо было попробовать определить вэб-сервер и по возможности его версию, напрямую через CloudFlare? Если не понятно, то часто бывает так что один и тот же сайт размещен на разных серверах, с разными конфигами и вэб-серверами, делается это по самым разным причинам, углубляться в объяснении которых я здесь не буду. В итоге в результатах вы можете получить и 10 одинаковых сайтов, которые висят у разных хостеров, на серверах с разными конфигурациями, и что-бы понять какой из них проксируется через CloudFlare - есть два варианта.
  1. Сравнивать по имени/версии вэб-сервера, по каким-то необычным хидерам/кукам.
  2. Дудос! Бьешь каждый IP с хост-хидером таргета, и смотришь - упал он или нет. Либо льешь TCP/UDP на 443/80 порт, и так же чекаешь, лег сайт или нет.
Посмотреть вложение 53241
Посмотреть вложение 53242


В таком случае можно попробовать сканить подсети всех крупных и популярных хостеров, или в крайнем случае весь мир, и чекать вышеописанным методом. В самой утилите httpx еще много разных фич, читайте, изучайте официальный мануал на гитхабе.

  • P.S. Если по какой-либо причине нет возможности юзать masscan, то можно обойтись без него. В таком случае в самой httpx можно просто указать номер AS хостера и утилита будет сканить все IP адреса в этой AS. Минус данного метода в том, что сканирование в таком случае занимает в 3-5 раз больше времени чем с использованием masscan. Пример команды:
    Код: 
    echo AS12345 | httpx -stats -si 60 -web-server -location -match-string SPOOFER -title -nf -nc -H 'Host: target.com' -t 250 -rl 750 -o '/etc/temp.txt'

  • P.P.S. Если вы решили юзать скан через саму httpx с указанием номера AS, то есть нюанс: список подсетей из AS утилита граббит с сайта разработчиков, поэтому вам нужно зарегистрироваться на их сайте cloud.projectdiscovery.io и получить бесплатный API ключ, после чего вбить его (авторизоваться) в самой утилите httpx через ключ -auth. Авторизация проходится единоразово, каждый раз это не нужно делать, поскольку API ключ сохраняется в настройках утилиты. Если же вы не хотите иметь дело с их API, то есть вариант проще, получаете список всех подсетей нужного вам хостера/провайдера, сохраняете их например в targets.txt и юзаете HTTPX таким образом:
    Код: 
    cat '/home/targtes.txt' | httpx -stats -si 60 -web-server -location -match-string SPOOFER -title -nf -nc -H 'Host: target.com' -t 250 -rl 750 -o '/etc/temp.txt'

  • P.P.P.S. Множество серверов настроены таким образом, что при обращении к ним с host-хидером вашего домена они будут редиректить на этот самый домен, тем самым создавая ложно-положительный результат и в логах вы будете видеть много IP адресов при обращении к которым будет детектится сайт который вы ищите. Выглядит это примерно так:
Посмотреть вложение 85671
  • То есть, нас попросту редиректит на адрес домена который мы ищем, и который спрятан за CloudFlare, поэтому в логах мы видим кучу детектов вэб-серверов с именем cloudflare. Что-бы избавиться от этого дерьма, просто добавляем к нашей команде -fe cloudflare, в результате чего в логах мы будем видеть все строки кроме тех в которых есть cloudflare. Это зачастую значительно облегчает поиск и помогало лично мне неоднократно, поскольку теперь в логах мы увидим только те IP адреса, при обращении к которым мы получаем 200 код (а не редирект) и детект искомого слова на странице. Помимо всего вышесказанного рекомендую для детекта не юзать слова из тайтла страницы, лучше попробуйте использовать контактные данные с главной страницы сайта, например почту или любое другое специфичное слово которое крайне редко встречается на других сайтах.
  • P.P.P.P.S. Разумеется можно искать слово не только на главной но и на любой другой странице сайта. Просто добавьте страницу через ключ -path, например: -path pizdec.php или -path pages/sukablyat.php или -path home/pages/.
  • В этом деле главное понять у какого хостера может хостится сайт который мы ищем, для того что-бы максимально сузить "зону поиска" и не сканить весь мир. Поэтому помимо истории IP домена нужно смотреть поддомены (если они есть), различные записи домена, NS-сервера и так далее и тому подобное.
Это лучший способ что я видел
 
kosh_e4ka сказал(а):
Это лучший способ что я видел
Да, способ рабочий. И очень часто "прокалываются" на каком-то поддоменчике "неважном" и "засвечивают" сетку своего реального хостинг провайдера (AMASS это чётко прям находит, рекомендую)
Но бывает что сервак изначально был попрятан за CloudFlare или чем-то аналогичным и тогда это превращается в муторный скан "всех хостинг провайдеров Интернета" :)

p.s. я вон всё нашёл у Afridax за CloudFlare, кроме блин самого интресного и важного https://exchange.afridax.com их поддомена....
вот думал спросить c0d3x помочь, но чёт как-то мне тааак стыыыдна прям... 🫣
он вон какую клёвую инструкцию дал развёрнутую выше (и проверено - рабочую! остальные то я нашёл за CF их поддомены на Xneelo.com (их AS ходят под Hertzner ZA , ну наскольно я из AMASS понял) Замбийском они хостятся, а он небольшой совсем) , а я рукожопый воспользоваться не смог в полной мере, где-то не соображаю видимо... Хотя может как раз сам эксчейндж с API как раз защищают и прячут получше всего остального (что логично)... Я уже и Замбийское отделение Hetzner всё обсканил (тоже небольшое), остаётся походу вообще весь(!) Hetzner (!!) сканить (!!!) долго и утомительно....
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх