hacktricks
  • 👾Welcome!
    • HackTricks
  • 🤩Generic Methodologies & Resources
    • Pentesting Methodology
    • External Recon Methodology
      • Wide Source Code Search
      • Github Dorks & Leaks
    • Pentesting Network
      • DHCPv6
      • EIGRP Attacks
      • GLBP & HSRP Attacks
      • IDS and IPS Evasion
      • Lateral VLAN Segmentation Bypass
      • Network Protocols Explained (ESP)
      • Nmap Summary (ESP)
      • Pentesting IPv6
      • Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
      • Spoofing SSDP and UPnP Devices with EvilSSDP
    • Pentesting Wifi
      • Evil Twin EAP-TLS
    • Phishing Methodology
      • Clone a Website
      • Detecting Phishing
      • Phishing Files & Documents
    • Basic Forensic Methodology
      • Baseline Monitoring
      • Anti-Forensic Techniques
      • Docker Forensics
      • Image Acquisition & Mount
      • Linux Forensics
      • Malware Analysis
      • Memory dump analysis
        • Volatility - CheatSheet
      • Partitions/File Systems/Carving
        • File/Data Carving & Recovery Tools
      • Pcap Inspection
        • DNSCat pcap analysis
        • Suricata & Iptables cheatsheet
        • USB Keystrokes
        • Wifi Pcap Analysis
        • Wireshark tricks
      • Specific Software/File-Type Tricks
        • Decompile compiled python binaries (exe, elf) - Retreive from .pyc
        • Browser Artifacts
        • Deofuscation vbs (cscript.exe)
        • Local Cloud Storage
        • Office file analysis
        • PDF File analysis
        • PNG tricks
        • Video and Audio file analysis
        • ZIPs tricks
      • Windows Artifacts
        • Interesting Windows Registry Keys
    • Brute Force - CheatSheet
    • Python Sandbox Escape & Pyscript
      • Bypass Python sandboxes
        • LOAD_NAME / LOAD_CONST opcode OOB Read
      • Class Pollution (Python's Prototype Pollution)
      • Python Internal Read Gadgets
      • Pyscript
      • venv
      • Web Requests
      • Bruteforce hash (few chars)
      • Basic Python
    • Exfiltration
    • Tunneling and Port Forwarding
    • Threat Modeling
    • Search Exploits
    • Shells (Linux, Windows, MSFVenom)
      • MSFVenom - CheatSheet
      • Shells - Windows
      • Shells - Linux
      • Full TTYs
  • 🐧Linux Hardening
    • Checklist - Linux Privilege Escalation
    • Linux Privilege Escalation
      • Arbitrary File Write to Root
      • Cisco - vmanage
      • Containerd (ctr) Privilege Escalation
      • D-Bus Enumeration & Command Injection Privilege Escalation
      • Docker Security
        • Abusing Docker Socket for Privilege Escalation
        • AppArmor
        • AuthZ& AuthN - Docker Access Authorization Plugin
        • CGroups
        • Docker --privileged
        • Docker Breakout / Privilege Escalation
          • release_agent exploit - Relative Paths to PIDs
          • Docker release_agent cgroups escape
          • Sensitive Mounts
        • Namespaces
          • CGroup Namespace
          • IPC Namespace
          • PID Namespace
          • Mount Namespace
          • Network Namespace
          • Time Namespace
          • User Namespace
          • UTS Namespace
        • Seccomp
        • Weaponizing Distroless
      • Escaping from Jails
      • euid, ruid, suid
      • Interesting Groups - Linux Privesc
        • lxd/lxc Group - Privilege escalation
      • Logstash
      • ld.so privesc exploit example
      • Linux Active Directory
      • Linux Capabilities
      • NFS no_root_squash/no_all_squash misconfiguration PE
      • Node inspector/CEF debug abuse
      • Payloads to execute
      • RunC Privilege Escalation
      • SELinux
      • Socket Command Injection
      • Splunk LPE and Persistence
      • SSH Forward Agent exploitation
      • Wildcards Spare tricks
    • Useful Linux Commands
    • Bypass Linux Restrictions
      • Bypass FS protections: read-only / no-exec / Distroless
        • DDexec / EverythingExec
    • Linux Environment Variables
    • Linux Post-Exploitation
      • PAM - Pluggable Authentication Modules
    • FreeIPA Pentesting
  • 🍏MacOS Hardening
    • macOS Security & Privilege Escalation
      • macOS Apps - Inspecting, debugging and Fuzzing
        • Introduction to x64
        • Introduction to ARM64v8
      • macOS AppleFS
      • macOS Bypassing Firewalls
      • macOS Defensive Apps
      • macOS GCD - Grand Central Dispatch
      • macOS Kernel & System Extensions
        • macOS IOKit
        • macOS Kernel Extensions
        • macOS Kernel Vulnerabilities
        • macOS System Extensions
      • macOS Network Services & Protocols
      • macOS File Extension & URL scheme app handlers
      • macOS Files, Folders, Binaries & Memory
        • macOS Bundles
        • macOS Installers Abuse
        • macOS Memory Dumping
        • macOS Sensitive Locations & Interesting Daemons
        • macOS Universal binaries & Mach-O Format
      • macOS Objective-C
      • macOS Privilege Escalation
      • macOS Process Abuse
        • macOS Dirty NIB
        • macOS Chromium Injection
        • macOS Electron Applications Injection
        • macOS Function Hooking
        • macOS IPC - Inter Process Communication
          • macOS MIG - Mach Interface Generator
          • macOS XPC
            • macOS XPC Authorization
            • macOS XPC Connecting Process Check
              • macOS PID Reuse
              • macOS xpc_connection_get_audit_token Attack
          • macOS Thread Injection via Task port
        • macOS Java Applications Injection
        • macOS Library Injection
          • macOS Dyld Hijacking & DYLD_INSERT_LIBRARIES
          • macOS Dyld Process
        • macOS Perl Applications Injection
        • macOS Python Applications Injection
        • macOS Ruby Applications Injection
        • macOS .Net Applications Injection
      • macOS Security Protections
        • macOS Gatekeeper / Quarantine / XProtect
        • macOS Launch/Environment Constraints & Trust Cache
        • macOS Sandbox
          • macOS Default Sandbox Debug
          • macOS Sandbox Debug & Bypass
            • macOS Office Sandbox Bypasses
        • macOS SIP
        • macOS TCC
          • macOS Apple Events
          • macOS TCC Bypasses
            • macOS Apple Scripts
          • macOS TCC Payloads
        • macOS Dangerous Entitlements & TCC perms
        • macOS FS Tricks
          • macOS xattr-acls extra stuff
      • macOS Users
    • macOS Red Teaming
      • macOS MDM
        • Enrolling Devices in Other Organisations
        • macOS Serial Number
      • macOS Keychain
    • macOS Useful Commands
    • macOS Auto Start
  • 🪟Windows Hardening
    • Checklist - Local Windows Privilege Escalation
    • Windows Local Privilege Escalation
      • Abusing Tokens
      • Access Tokens
      • ACLs - DACLs/SACLs/ACEs
      • AppendData/AddSubdirectory permission over service registry
      • Create MSI with WIX
      • COM Hijacking
      • Dll Hijacking
        • Writable Sys Path +Dll Hijacking Privesc
      • DPAPI - Extracting Passwords
      • From High Integrity to SYSTEM with Name Pipes
      • Integrity Levels
      • JuicyPotato
      • Leaked Handle Exploitation
      • MSI Wrapper
      • Named Pipe Client Impersonation
      • Privilege Escalation with Autoruns
      • RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotato
      • SeDebug + SeImpersonate copy token
      • SeImpersonate from High To System
      • Windows C Payloads
    • Active Directory Methodology
      • Abusing Active Directory ACLs/ACEs
        • Shadow Credentials
      • AD Certificates
        • AD CS Account Persistence
        • AD CS Domain Escalation
        • AD CS Domain Persistence
        • AD CS Certificate Theft
      • AD information in printers
      • AD DNS Records
      • ASREPRoast
      • BloodHound & Other AD Enum Tools
      • Constrained Delegation
      • Custom SSP
      • DCShadow
      • DCSync
      • Diamond Ticket
      • DSRM Credentials
      • External Forest Domain - OneWay (Inbound) or bidirectional
      • External Forest Domain - One-Way (Outbound)
      • Golden Ticket
      • Kerberoast
      • Kerberos Authentication
      • Kerberos Double Hop Problem
      • LAPS
      • MSSQL AD Abuse
      • Over Pass the Hash/Pass the Key
      • Pass the Ticket
      • Password Spraying / Brute Force
      • PrintNightmare
      • Force NTLM Privileged Authentication
      • Privileged Groups
      • RDP Sessions Abuse
      • Resource-based Constrained Delegation
      • Security Descriptors
      • SID-History Injection
      • Silver Ticket
      • Skeleton Key
      • Unconstrained Delegation
    • Windows Security Controls
      • UAC - User Account Control
    • NTLM
      • Places to steal NTLM creds
    • Lateral Movement
      • AtExec / SchtasksExec
      • DCOM Exec
      • PsExec/Winexec/ScExec
      • SmbExec/ScExec
      • WinRM
      • WmicExec
    • Pivoting to the Cloud
    • Stealing Windows Credentials
      • Windows Credentials Protections
      • Mimikatz
      • WTS Impersonator
    • Basic Win CMD for Pentesters
    • Basic PowerShell for Pentesters
      • PowerView/SharpView
    • Antivirus (AV) Bypass
  • 📱Mobile Pentesting
    • Android APK Checklist
    • Android Applications Pentesting
      • Android Applications Basics
      • Android Task Hijacking
      • ADB Commands
      • APK decompilers
      • AVD - Android Virtual Device
      • Bypass Biometric Authentication (Android)
      • content:// protocol
      • Drozer Tutorial
        • Exploiting Content Providers
      • Exploiting a debuggeable application
      • Frida Tutorial
        • Frida Tutorial 1
        • Frida Tutorial 2
        • Frida Tutorial 3
        • Objection Tutorial
      • Google CTF 2018 - Shall We Play a Game?
      • Install Burp Certificate
      • Intent Injection
      • Make APK Accept CA Certificate
      • Manual DeObfuscation
      • React Native Application
      • Reversing Native Libraries
      • Smali - Decompiling/[Modifying]/Compiling
      • Spoofing your location in Play Store
      • Tapjacking
      • Webview Attacks
    • iOS Pentesting Checklist
    • iOS Pentesting
      • iOS App Extensions
      • iOS Basics
      • iOS Basic Testing Operations
      • iOS Burp Suite Configuration
      • iOS Custom URI Handlers / Deeplinks / Custom Schemes
      • iOS Extracting Entitlements From Compiled Application
      • iOS Frida Configuration
      • iOS Hooking With Objection
      • iOS Protocol Handlers
      • iOS Serialisation and Encoding
      • iOS Testing Environment
      • iOS UIActivity Sharing
      • iOS Universal Links
      • iOS UIPasteboard
      • iOS WebViews
    • Cordova Apps
    • Xamarin Apps
  • 👽Network Services Pentesting
    • Pentesting JDWP - Java Debug Wire Protocol
    • Pentesting Printers
    • Pentesting SAP
    • Pentesting VoIP
      • Basic VoIP Protocols
        • SIP (Session Initiation Protocol)
    • Pentesting Remote GdbServer
    • 7/tcp/udp - Pentesting Echo
    • 21 - Pentesting FTP
      • FTP Bounce attack - Scan
      • FTP Bounce - Download 2ºFTP file
    • 22 - Pentesting SSH/SFTP
    • 23 - Pentesting Telnet
    • 25,465,587 - Pentesting SMTP/s
      • SMTP Smuggling
      • SMTP - Commands
    • 43 - Pentesting WHOIS
    • 49 - Pentesting TACACS+
    • 53 - Pentesting DNS
    • 69/UDP TFTP/Bittorrent-tracker
    • 79 - Pentesting Finger
    • 80,443 - Pentesting Web Methodology
      • 403 & 401 Bypasses
      • AEM - Adobe Experience Cloud
      • Angular
      • Apache
      • Artifactory Hacking guide
      • Bolt CMS
      • Buckets
        • Firebase Database
      • CGI
      • DotNetNuke (DNN)
      • Drupal
      • Electron Desktop Apps
        • Electron contextIsolation RCE via preload code
        • Electron contextIsolation RCE via Electron internal code
        • Electron contextIsolation RCE via IPC
      • Flask
      • NodeJS Express
      • Git
      • Golang
      • GWT - Google Web Toolkit
      • Grafana
      • GraphQL
      • H2 - Java SQL database
      • IIS - Internet Information Services
      • ImageMagick Security
      • JBOSS
      • JIRA
      • Joomla
      • JSP
      • Laravel
      • Moodle
      • Nginx
      • PHP Tricks
        • PHP - Useful Functions & disable_functions/open_basedir bypass
          • disable_functions bypass - php-fpm/FastCGI
          • disable_functions bypass - dl function
          • disable_functions bypass - PHP 7.0-7.4 (*nix only)
          • disable_functions bypass - Imagick <= 3.3.0 PHP >= 5.4 Exploit
          • disable_functions - PHP 5.x Shellshock Exploit
          • disable_functions - PHP 5.2.4 ionCube extension Exploit
          • disable_functions bypass - PHP <= 5.2.9 on windows
          • disable_functions bypass - PHP 5.2.4 and 5.2.5 PHP cURL
          • disable_functions bypass - PHP safe_mode bypass via proc_open() and custom environment Exploit
          • disable_functions bypass - PHP Perl Extension Safe_mode Bypass Exploit
          • disable_functions bypass - PHP 5.2.3 - Win32std ext Protections Bypass
          • disable_functions bypass - PHP 5.2 - FOpen Exploit
          • disable_functions bypass - via mem
          • disable_functions bypass - mod_cgi
          • disable_functions bypass - PHP 4 >= 4.2.0, PHP 5 pcntl_exec
        • PHP - RCE abusing object creation: new $_GET["a"]($_GET["b"])
        • PHP SSRF
      • Python
      • Rocket Chat
      • Special HTTP headers
      • Source code Review / SAST Tools
      • Spring Actuators
      • Symfony
      • Tomcat
        • Basic Tomcat Info
      • Uncovering CloudFlare
      • VMWare (ESX, VCenter...)
      • WAF Bypass
      • Web API Pentesting
      • WebDav
      • Werkzeug / Flask Debug
      • Wordpress
    • 88tcp/udp - Pentesting Kerberos
      • Harvesting tickets from Windows
      • Harvesting tickets from Linux
    • 110,995 - Pentesting POP
    • 111/TCP/UDP - Pentesting Portmapper
    • 113 - Pentesting Ident
    • 123/udp - Pentesting NTP
    • 135, 593 - Pentesting MSRPC
    • 137,138,139 - Pentesting NetBios
    • 139,445 - Pentesting SMB
      • rpcclient enumeration
    • 143,993 - Pentesting IMAP
    • 161,162,10161,10162/udp - Pentesting SNMP
      • Cisco SNMP
      • SNMP RCE
    • 194,6667,6660-7000 - Pentesting IRC
    • 264 - Pentesting Check Point FireWall-1
    • 389, 636, 3268, 3269 - Pentesting LDAP
    • 500/udp - Pentesting IPsec/IKE VPN
    • 502 - Pentesting Modbus
    • 512 - Pentesting Rexec
    • 513 - Pentesting Rlogin
    • 514 - Pentesting Rsh
    • 515 - Pentesting Line Printer Daemon (LPD)
    • 548 - Pentesting Apple Filing Protocol (AFP)
    • 554,8554 - Pentesting RTSP
    • 623/UDP/TCP - IPMI
    • 631 - Internet Printing Protocol(IPP)
    • 700 - Pentesting EPP
    • 873 - Pentesting Rsync
    • 1026 - Pentesting Rusersd
    • 1080 - Pentesting Socks
    • 1098/1099/1050 - Pentesting Java RMI - RMI-IIOP
    • 1414 - Pentesting IBM MQ
    • 1433 - Pentesting MSSQL - Microsoft SQL Server
      • Types of MSSQL Users
    • 1521,1522-1529 - Pentesting Oracle TNS Listener
    • 1723 - Pentesting PPTP
    • 1883 - Pentesting MQTT (Mosquitto)
    • 2049 - Pentesting NFS Service
    • 2301,2381 - Pentesting Compaq/HP Insight Manager
    • 2375, 2376 Pentesting Docker
    • 3128 - Pentesting Squid
    • 3260 - Pentesting ISCSI
    • 3299 - Pentesting SAPRouter
    • 3306 - Pentesting Mysql
    • 3389 - Pentesting RDP
    • 3632 - Pentesting distcc
    • 3690 - Pentesting Subversion (svn server)
    • 3702/UDP - Pentesting WS-Discovery
    • 4369 - Pentesting Erlang Port Mapper Daemon (epmd)
    • 4786 - Cisco Smart Install
    • 4840 - OPC Unified Architecture
    • 5000 - Pentesting Docker Registry
    • 5353/UDP Multicast DNS (mDNS) and DNS-SD
    • 5432,5433 - Pentesting Postgresql
    • 5439 - Pentesting Redshift
    • 5555 - Android Debug Bridge
    • 5601 - Pentesting Kibana
    • 5671,5672 - Pentesting AMQP
    • 5800,5801,5900,5901 - Pentesting VNC
    • 5984,6984 - Pentesting CouchDB
    • 5985,5986 - Pentesting WinRM
    • 5985,5986 - Pentesting OMI
    • 6000 - Pentesting X11
    • 6379 - Pentesting Redis
    • 8009 - Pentesting Apache JServ Protocol (AJP)
    • 8086 - Pentesting InfluxDB
    • 8089 - Pentesting Splunkd
    • 8333,18333,38333,18444 - Pentesting Bitcoin
    • 9000 - Pentesting FastCGI
    • 9001 - Pentesting HSQLDB
    • 9042/9160 - Pentesting Cassandra
    • 9100 - Pentesting Raw Printing (JetDirect, AppSocket, PDL-datastream)
    • 9200 - Pentesting Elasticsearch
    • 10000 - Pentesting Network Data Management Protocol (ndmp)
    • 11211 - Pentesting Memcache
      • Memcache Commands
    • 15672 - Pentesting RabbitMQ Management
    • 24007,24008,24009,49152 - Pentesting GlusterFS
    • 27017,27018 - Pentesting MongoDB
    • 44134 - Pentesting Tiller (Helm)
    • 44818/UDP/TCP - Pentesting EthernetIP
    • 47808/udp - Pentesting BACNet
    • 50030,50060,50070,50075,50090 - Pentesting Hadoop
  • 🕸️Pentesting Web
    • Web Vulnerabilities Methodology
    • Reflecting Techniques - PoCs and Polygloths CheatSheet
      • Web Vulns List
    • 2FA/OTP Bypass
    • Account Takeover
    • Browser Extension Pentesting Methodology
      • BrowExt - ClickJacking
      • BrowExt - permissions & host_permissions
      • BrowExt - XSS Example
    • Bypass Payment Process
    • Captcha Bypass
    • Cache Poisoning and Cache Deception
      • Cache Poisoning to DoS
    • Clickjacking
    • Client Side Template Injection (CSTI)
    • Client Side Path Traversal
    • Command Injection
    • Content Security Policy (CSP) Bypass
      • CSP bypass: self + 'unsafe-inline' with Iframes
    • Cookies Hacking
      • Cookie Tossing
      • Cookie Jar Overflow
      • Cookie Bomb
    • CORS - Misconfigurations & Bypass
    • CRLF (%0D%0A) Injection
    • CSRF (Cross Site Request Forgery)
    • Dangling Markup - HTML scriptless injection
      • SS-Leaks
    • Dependency Confusion
    • Deserialization
      • NodeJS - __proto__ & prototype Pollution
        • Client Side Prototype Pollution
        • Express Prototype Pollution Gadgets
        • Prototype Pollution to RCE
      • Java JSF ViewState (.faces) Deserialization
      • Java DNS Deserialization, GadgetProbe and Java Deserialization Scanner
      • Basic Java Deserialization (ObjectInputStream, readObject)
      • PHP - Deserialization + Autoload Classes
      • CommonsCollection1 Payload - Java Transformers to Rutime exec() and Thread Sleep
      • Basic .Net deserialization (ObjectDataProvider gadget, ExpandedWrapper, and Json.Net)
      • Exploiting __VIEWSTATE knowing the secrets
      • Exploiting __VIEWSTATE without knowing the secrets
      • Python Yaml Deserialization
      • JNDI - Java Naming and Directory Interface & Log4Shell
    • Domain/Subdomain takeover
    • Email Injections
    • File Inclusion/Path traversal
      • phar:// deserialization
      • LFI2RCE via PHP Filters
      • LFI2RCE via Nginx temp files
      • LFI2RCE via PHP_SESSION_UPLOAD_PROGRESS
      • LFI2RCE via Segmentation Fault
      • LFI2RCE via phpinfo()
      • LFI2RCE Via temp file uploads
      • LFI2RCE via Eternal waiting
      • LFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure
    • File Upload
      • PDF Upload - XXE and CORS bypass
    • Formula/CSV/Doc/LaTeX/GhostScript Injection
    • gRPC-Web Pentest
    • HTTP Connection Contamination
    • HTTP Connection Request Smuggling
    • HTTP Request Smuggling / HTTP Desync Attack
      • Browser HTTP Request Smuggling
      • Request Smuggling in HTTP/2 Downgrades
    • HTTP Response Smuggling / Desync
    • Upgrade Header Smuggling
    • hop-by-hop headers
    • IDOR
    • Integer Overflow
    • JWT Vulnerabilities (Json Web Tokens)
    • LDAP Injection
    • Login Bypass
      • Login bypass List
    • NoSQL injection
    • OAuth to Account takeover
    • Open Redirect
    • Parameter Pollution
    • Phone Number Injections
    • PostMessage Vulnerabilities
      • Blocking main page to steal postmessage
      • Bypassing SOP with Iframes - 1
      • Bypassing SOP with Iframes - 2
      • Steal postmessage modifying iframe location
    • Proxy / WAF Protections Bypass
    • Race Condition
    • Rate Limit Bypass
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Attacks
      • SAML Basics
    • Server Side Inclusion/Edge Side Inclusion Injection
    • SQL Injection
      • MS Access SQL Injection
      • MSSQL Injection
      • MySQL injection
        • MySQL File priv to SSRF/RCE
      • Oracle injection
      • Cypher Injection (neo4j)
      • PostgreSQL injection
        • dblink/lo_import data exfiltration
        • PL/pgSQL Password Bruteforce
        • Network - Privesc, Port Scanner and NTLM chanllenge response disclosure
        • Big Binary Files Upload (PostgreSQL)
        • RCE with PostgreSQL Languages
        • RCE with PostgreSQL Extensions
      • SQLMap - Cheetsheat
        • Second Order Injection - SQLMap
    • SSRF (Server Side Request Forgery)
      • URL Format Bypass
      • SSRF Vulnerable Platforms
      • Cloud SSRF
    • SSTI (Server Side Template Injection)
      • EL - Expression Language
      • Jinja2 SSTI
    • Reverse Tab Nabbing
    • Unicode Injection
      • Unicode Normalization
    • WebSocket Attacks
    • Web Tool - WFuzz
    • XPATH injection
    • XSLT Server Side Injection (Extensible Stylesheet Language Transformations)
    • XXE - XEE - XML External Entity
    • XSS (Cross Site Scripting)
      • Abusing Service Workers
      • Chrome Cache to XSS
      • Debugging Client Side JS
      • Dom Clobbering
      • DOM Invader
      • DOM XSS
      • Iframes in XSS, CSP and SOP
      • JS Hoisting
      • Misc JS Tricks & Relevant Info
      • PDF Injection
      • Server Side XSS (Dynamic PDF)
      • Shadow DOM
      • SOME - Same Origin Method Execution
      • Sniff Leak
      • Steal Info JS
      • XSS in Markdown
    • XSSI (Cross-Site Script Inclusion)
    • XS-Search/XS-Leaks
      • Connection Pool Examples
      • Connection Pool by Destination Example
      • Cookie Bomb + Onerror XS Leak
      • URL Max Length - Client Side
      • performance.now example
      • performance.now + Force heavy task
      • Event Loop Blocking + Lazy images
      • JavaScript Execution XS Leak
      • CSS Injection
        • CSS Injection Code
  • ⛈️Cloud Security
    • Pentesting Kubernetes
    • Pentesting Cloud (AWS, GCP, Az...)
    • Pentesting CI/CD (Github, Jenkins, Terraform...)
  • 😎Hardware/Physical Access
    • Physical Attacks
    • Escaping from KIOSKs
    • Firmware Analysis
      • Bootloader testing
      • Firmware Integrity
  • 🎯Binary Exploitation
    • Basic Binary Exploitation Methodology
      • ELF Basic Information
      • Exploiting Tools
        • PwnTools
    • Stack Overflow
      • Pointer Redirecting
      • Ret2win
        • Ret2win - arm64
      • Stack Shellcode
        • Stack Shellcode - arm64
      • Stack Pivoting - EBP2Ret - EBP chaining
      • Uninitialized Variables
    • ROP - Return Oriented Programing
      • BROP - Blind Return Oriented Programming
      • Ret2csu
      • Ret2dlresolve
      • Ret2esp / Ret2reg
      • Ret2lib
        • Leaking libc address with ROP
          • Leaking libc - template
        • One Gadget
        • Ret2lib + Printf leak - arm64
      • Ret2syscall
        • Ret2syscall - ARM64
      • Ret2vDSO
      • SROP - Sigreturn-Oriented Programming
        • SROP - ARM64
    • Array Indexing
    • Integer Overflow
    • Format Strings
      • Format Strings - Arbitrary Read Example
      • Format Strings Template
    • Heap
      • Use After Free
      • Heap Overflow
    • Common Binary Exploitation Protections & Bypasses
      • ASLR
        • Ret2plt
        • Ret2ret & Reo2pop
      • CET & Shadow Stack
      • Libc Protections
      • Memory Tagging Extension (MTE)
      • No-exec / NX
      • PIE
        • BF Addresses in the Stack
      • Relro
      • Stack Canaries
        • BF Forked & Threaded Stack Canaries
        • Print Stack Canary
    • Write What Where 2 Exec
      • WWW2Exec - atexit()
      • WWW2Exec - .dtors & .fini_array
      • WWW2Exec - GOT/PLT
      • WWW2Exec - __malloc_hook
    • Common Exploiting Problems
    • Windows Exploiting (Basic Guide - OSCP lvl)
    • Linux Exploiting (Basic) (SPA)
  • 🔩Reversing
    • Reversing Tools & Basic Methods
      • Angr
        • Angr - Examples
      • Z3 - Satisfiability Modulo Theories (SMT)
      • Cheat Engine
      • Blobrunner
    • Common API used in Malware
    • Word Macros
  • 🔮Crypto & Stego
    • Cryptographic/Compression Algorithms
      • Unpacking binaries
    • Certificates
    • Cipher Block Chaining CBC-MAC
    • Crypto CTFs Tricks
    • Electronic Code Book (ECB)
    • Hash Length Extension Attack
    • Padding Oracle
    • RC4 - Encrypt&Decrypt
    • Stego Tricks
    • Esoteric languages
    • Blockchain & Crypto Currencies
  • 🦂C2
    • Salseo
    • ICMPsh
    • Cobalt Strike
  • ✍️TODO
    • Other Big References
    • Rust Basics
    • More Tools
    • MISC
    • Pentesting DNS
    • Hardware Hacking
      • I2C
      • UART
      • Radio
      • JTAG
      • SPI
    • Radio Hacking
      • Pentesting RFID
      • Infrared
      • Sub-GHz RF
      • iButton
      • Flipper Zero
        • FZ - NFC
        • FZ - Sub-GHz
        • FZ - Infrared
        • FZ - iButton
        • FZ - 125kHz RFID
      • Proxmark 3
      • FISSURE - The RF Framework
      • Low-Power Wide Area Network
      • Pentesting BLE - Bluetooth Low Energy
    • Industrial Control Systems Hacking
    • Burp Suite
    • Other Web Tricks
    • Interesting HTTP
    • Emails Vulnerabilities
    • Android Forensics
    • TR-069
    • 6881/udp - Pentesting BitTorrent
    • Online Platforms with API
    • Stealing Sensitive Information Disclosure from a Web
    • Post Exploitation
    • Cookies Policy
由 GitBook 提供支持
在本页
  • 资产发现
  • 收购
  • ASNs
  • 寻找漏洞
  • 域名
  • 反向DNS
  • 反向 Whois(循环)
  • 跟踪器
  • Favicon
  • 版权 / 唯一字符串
  • CRT 时间
  • 更新服务器上的所有域证书。这意味着即使用于此操作的 CA 在有效期内未设置生成时间,也可以在证书透明度日志中找到属于同一公司的域。\
  • 电子邮件 DMARC 信息
  • 被动接管
  • 其他方法
  • 寻找漏洞
  • 子域
  • DNS
  • OSINT
  • DNS 暴力破解
  • 第二轮DNS暴力破解
  • 子域发现工作流程
  • 虚拟主机
  • CORS暴力破解
  • 存储桶暴力破解
  • 监控
  • 寻找漏洞
  • IPs
  • 寻找漏洞
  • Web服务器搜索
  • 截图
  • 公共云资产
  • 寻找漏洞
  • 电子邮件
  • 寻找漏洞
  • 凭证泄漏
  • 寻找漏洞
  • 机密信息泄漏
  • Github泄漏
  • 粘贴泄漏
  • Google Dorks
  • 寻找漏洞
  • 公共代码漏洞
  • 网络渗透测试方法论
  • 总结
  • 全面侦察自动化工具
  • 参考资料
  1. Generic Methodologies & Resources

External Recon Methodology

上一页Pentesting Methodology下一页Wide Source Code Search

最后更新于1年前

从零开始学习AWS黑客技术,成为专家 !

支持HackTricks的其他方式:

  • 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看!

  • 获取

  • 探索,我们的独家

  • 加入 💬 或 或在Twitter上关注我们 🐦 。

  • 通过向和 github仓库提交PR来分享您的黑客技巧。

如果您对黑客职业感兴趣并想要攻破不可攻破的目标 - 我们正在招聘!(需要流利的波兰语书面和口头表达能力)。

资产发现

所以你被告知某家公司的所有内容都在范围内,你想弄清楚这家公司实际拥有什么。

这个阶段的目标是获取所有主公司拥有的公司,然后获取这些公司的资产。为此,我们将:

  1. 查找主公司的收购情况,这将为我们提供范围内的公司。

  2. 查找每家公司的ASN(如果有),这将为我们提供每家公司拥有的IP范围。

  3. 使用反向whois查找来搜索与第一家公司相关的其他条目(组织名称、域名...)(这可以递归进行)。

  4. 使用其他技术,如shodan的org和ssl过滤器来搜索其他资产(ssl技巧可以递归进行)。

收购

好的,在这一点上,您应该知道所有在范围内的公司。让我们弄清楚如何找到它们的资产。

ASNs

自治系统号(ASN)是由互联网编号分配机构(IANA)分配给自治系统(AS)的唯一编号。 一个AS由IP地址块组成,这些IP地址块具有明确定义的访问外部网络的策略,并由单个组织管理,但可能由多个运营商组成。

#You can try "automate" this with amass, but it's not very recommended
amass intel -org tesla
amass intel -asn 8911,50313,394161
bbot -t tesla.com -f subdomain-enum
...
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.244.131.0/24      | 5            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS16509  | 54.148.0.0/15       | 4            | AMAZON-02      | Amazon.com, Inc.           | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS394161 | 8.45.124.0/24       | 3            | TESLA          | Tesla Motors, Inc.         | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.32.0.0/12         | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+
[INFO] bbot.modules.asn: | AS3356   | 8.0.0.0/9           | 1            | LEVEL3         | Level 3 Parent, LLC        | US        |
[INFO] bbot.modules.asn: +----------+---------------------+--------------+----------------+----------------------------+-----------+

寻找漏洞

域名

我们知道范围内的所有公司及其资产,现在是时候找出范围内的域名了。

请注意,在以下提出的技术中,您还可以找到子域,这些信息不应被低估。

首先,您应该查找每家公司的主域名。例如,对于 特斯拉公司,主域名将是 tesla.com。

反向DNS

当您找到所有域的IP范围时,您可以尝试对这些IP执行反向DNS查找,以找到范围内的更多域。尝试使用受害者的某些DNS服务器或一些知名DNS服务器(1.1.1.1,8.8.8.8)。

dnsrecon -r <DNS Range> -n <IP_DNS>   #DNS reverse of all of the addresses
dnsrecon -d facebook.com -r 157.240.221.35/24 #Using facebooks dns
dnsrecon -r 157.240.221.35/24 -n 1.1.1.1 #Using cloudflares dns
dnsrecon -r 157.240.221.35/24 -n 8.8.8.8 #Using google dns

反向 Whois(循环)

在 whois 中,您可以找到许多有趣的 信息,如 组织名称、地址、电子邮件、电话号码... 但更有趣的是,如果您通过这些字段之一执行 反向 whois 查找,您可以找到与该公司相关的 更多资产。 您可以使用在线工具,如:

请注意,您可以使用此技术在每次发现新域时发现更多域名。

跟踪器

如果在 2 个不同页面中找到 相同跟踪器的相同 ID,则可以假设 两个页面 都由 同一团队管理。 例如,如果您在几个页面上看到相同的 Google Analytics ID 或相同的 Adsense ID。

有一些页面和工具可以让您通过这些跟踪器和更多内容进行搜索:

Favicon

cat my_targets.txt | xargs -I %% bash -c 'echo "http://%%/favicon.ico"' > targets.txt
python3 favihash.py -f https://target/favicon.ico -t targets.txt -s

简而言之,favihash 将允许我们发现具有与我们目标相同的 favicon 图标哈希的域。

shodan search org:"Target" http.favicon.hash:116323821 --fields ip_str,port --separator " " | awk '{print $1":"$2}'

这是如何计算网站的favicon哈希值:

import mmh3
import requests
import codecs

def fav_hash(url):
response = requests.get(url)
favicon = codecs.encode(response.content,"base64")
fhash = mmh3.hash(favicon)
print(f"{url} : {fhash}")
return fhash

版权 / 唯一字符串

在网页中搜索可能在同一组织的不同网站之间共享的字符串。版权字符串可能是一个很好的例子。然后在Google、其他浏览器甚至Shodan中搜索该字符串:shodan search http.html:"Copyright string"

CRT 时间

通常会有一个类似于cron job的任务

# /etc/crontab
37 13 */10 * * certbot renew --post-hook "systemctl reload nginx"

更新服务器上的所有域证书。这意味着即使用于此操作的 CA 在有效期内未设置生成时间,也可以在证书透明度日志中找到属于同一公司的域。\

电子邮件 DMARC 信息

被动接管

人们通常会将子域分配给属于云提供商的 IP 地址,然后在某个时候失去该 IP 地址但忘记删除 DNS 记录。因此,只需在云中(如 Digital Ocean)生成一个虚拟机,您实际上将接管一些子域。

其他方法

请注意,您可以使用此技术每次发现新域时发现更多域名。

Shodan

由于您已经知道拥有 IP 空间的组织的名称,您可以在 shodan 中使用以下数据进行搜索:org:"Tesla, Inc." 检查找到的主机,查看 TLS 证书中的新意外域。

Assetfinder

寻找漏洞

子域

我们知道范围内的所有公司,每家公司的所有资产以及与公司相关的所有域。

现在是时候找到每个找到的域的所有可能子域了。

请注意,一些查找域的工具和技术也可以帮助查找子域!

DNS

让我们尝试从DNS记录中获取子域。我们还应尝试进行区域传送(如果存在漏洞,应该报告)。

dnsrecon -a -d tesla.com

OSINT

获取大量子域的最快方法是在外部来源中搜索。最常用的工具如下(为了获得更好的结果,请配置API密钥):

# subdomains
bbot -t tesla.com -f subdomain-enum

# subdomains (passive only)
bbot -t tesla.com -f subdomain-enum -rf passive

# subdomains + port scan + web screenshots
bbot -t tesla.com -f subdomain-enum -m naabu gowitness -n my_scan -o .
amass enum [-active] [-ip] -d tesla.com
amass enum -d tesla.com | grep tesla.com # To just list subdomains
# Subfinder, use -silent to only have subdomains in the output
./subfinder-linux-amd64 -d tesla.com [-silent]
# findomain, use -silent to only have subdomains in the output
./findomain-linux -t tesla.com [--quiet]
python3 oneforall.py --target tesla.com [--dns False] [--req False] [--brute False] run
assetfinder --subs-only <domain>
# It requires that you create a sudomy.api file with API keys
sudomy -d tesla.com
vita -d tesla.com
theHarvester -d tesla.com -b "anubis, baidu, bing, binaryedge, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin_links, n45ht, omnisint, otx, pentesttools, projectdiscovery, qwant, rapiddns, rocketreach, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo, zoomeye"

有其他有趣的工具/API,即使不是直接专门用于查找子域的,也可以用来查找子域,比如:

# Get list of subdomains in output from the API
## This is the API the crobat tool will use
curl https://sonar.omnisint.io/subdomains/tesla.com | jq -r ".[]"
curl https://jldc.me/anubis/subdomains/tesla.com | jq -r ".[]"
# Get Domains from rapiddns free API
rapiddns(){
curl -s "https://rapiddns.io/subdomain/$1?full=1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
rapiddns tesla.com
# Get Domains from crt free API
crt(){
curl -s "https://crt.sh/?q=%25.$1" \
| grep -oE "[\.a-zA-Z0-9-]+\.$1" \
| sort -u
}
crt tesla.com
# Get subdomains from GAUs found URLs
gau --subs tesla.com | cut -d "/" -f 3 | sort -u
# Get only subdomains from SubDomainizer
python3 SubDomainizer.py -u https://tesla.com | grep tesla.com

# Get only subdomains from subscraper, this already perform recursion over the found results
python subscraper.py -u tesla.com | grep tesla.com | cut -d " " -f
# Get info about the domain
shodan domain <domain>
# Get other pages with links to subdomains
shodan search "http.html:help.domain.com"
export CENSYS_API_ID=...
export CENSYS_API_SECRET=...
python3 censys-subdomain-finder.py tesla.com
python3 DomainTrail.py -d example.com

DNS 暴力破解

让我们尝试使用可能的子域名来暴力破解 DNS 服务器以查找新的子域。

对于此操作,您将需要一些常见的子域名单词列表,例如:

DNS 暴力破解最推荐的工具有:

sed 's/$/.domain.com/' subdomains.txt > bf-subdomains.txt
./massdns -r resolvers.txt -w /tmp/results.txt bf-subdomains.txt
grep -E "tesla.com. [0-9]+ IN A .+" /tmp/results.txt
gobuster dns -d mysite.com -t 50 -w subdomains.txt
shuffledns -d example.com -list example-subdomains.txt -r resolvers.txt
puredns bruteforce all.txt domain.com
aiodnsbrute -r resolvers -w wordlist.txt -vv -t 1024 domain.com

第二轮DNS暴力破解

在利用公开资源和暴力破解找到子域之后,您可以生成子域的变体,以尝试找到更多信息。有几种工具可用于此目的:

cat subdomains.txt | dnsgen -
goaltdns -l subdomains.txt -w /tmp/words-permutations.txt -o /tmp/final-words-s3.txt
gotator -sub subdomains.txt -silent [-perm /tmp/words-permutations.txt]
altdns -i subdomains.txt -w /tmp/words-permutations.txt -o /tmp/asd3
cat subdomains.txt | dmut -d /tmp/words-permutations.txt -w 100 \
--dns-errorLimit 10 --use-pb --verbose -s /tmp/resolvers-trusted.txt

智能排列生成

python3 main.py adobe.com adobe adobe.rules
make_brute_list.sh adobe.rules adobe.brute
puredns resolve adobe.brute --write adobe.valid
echo www | subzuf facebook.com

子域发现工作流程

查看我写的关于如何使用Trickest工作流程自动化从一个域中发现子域的博客文章,这样我就不需要在我的计算机上手动启动一堆工具了:

虚拟主机

如果你找到一个包含一个或多个网页属于子域的IP地址,你可以尝试通过在OSINT来源中查找IP中的域名或者通过在该IP中暴力破解VHost域名来找到该IP中的其他子域。

OSINT

暴力破解

如果你怀疑某个子域可能隐藏在一个Web服务器中,你可以尝试暴力破解它:

ffuf -c -w /path/to/wordlist -u http://victim.com -H "Host: FUZZ.victim.com"

gobuster vhost -u https://mysite.com -t 50 -w subdomains.txt

wfuzz -c -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-20000.txt --hc 400,404,403 -H "Host: FUZZ.example.com" -u http://example.com -t 100

#From https://github.com/allyshka/vhostbrute
vhostbrute.py --url="example.com" --remoteip="10.1.1.15" --base="www.example.com" --vhosts="vhosts_full.list"

#https://github.com/codingo/VHostScan
VHostScan -t example.com

使用这种技术,您甚至可以访问内部/隐藏的端点。

CORS暴力破解

有时您会发现只有在_Origin标头中设置有效域/子域时,页面才会返回Access-Control-Allow-Origin_标头。在这些情况下,您可以滥用这种行为来发现新的子域。

ffuf -w subdomains-top1million-5000.txt -u http://10.10.10.208 -H 'Origin: http://FUZZ.crossfit.htb' -mr "Access-Control-Allow-Origin" -ignore-body

存储桶暴力破解

监控

寻找漏洞

IPs

在初始步骤中,您可能已经找到了一些IP范围、域和子域。 现在是时候收集所有这些范围内的IP和**域/子域(DNS查询)**了。

寻找漏洞

端口扫描所有不属于CDN的IP(因为您很可能在那里找不到任何有趣的东西)。在发现的运行服务中,您可能能够找到漏洞。

Web服务器搜索

我们已经找到了所有公司及其资产,知道了范围内的IP范围、域和子域。现在是搜索Web服务器的时候了。

在之前的步骤中,您可能已经执行了一些对发现的IP和域的侦察,因此您可能已经找到了所有可能的Web服务器。但是,如果没有,我们现在将看到一些快速搜索Web服务器的技巧。

请注意,这将针对Web应用程序发现,因此您应该执行漏洞和端口扫描(如果范围允许)。

cat /tmp/domains.txt | httprobe #Test all domains inside the file for port 80 and 443
cat /tmp/domains.txt | httprobe -p http:8080 -p https:8443 #Check port 80, 443 and 8080 and 8443

截图

现在你已经发现了在范围内的所有Web服务器(包括公司的IP地址以及所有域名和子域名),你可能不知道从哪里开始。所以,让我们简单点,先开始截取它们的屏幕截图。只需查看主页,你就可以找到更奇怪的端点,这些端点更有可能存在漏洞。

公共云资产

为了找到属于公司的潜在云资产,你应该从能够识别该公司的关键字列表开始。例如,对于加密公司,你可以使用诸如:"crypto"、"wallet"、"dao"、"<domain_name>"、<"subdomain_names">等词语。

你还需要常用的存储桶中使用的常见词语的词表:

请记住,在寻找云资产时,你应该不仅仅寻找AWS中的存储桶。

寻找漏洞

如果发现公开的存储桶或暴露的云功能等内容,你应该访问它们,尝试查看它们提供了什么,并尝试滥用它们。

电子邮件

有了范围内的域名和子域名,你基本上已经有了开始搜索电子邮件的所有必要信息。以下是对我来说寻找公司电子邮件最有效的API和工具:

寻找漏洞

稍后,电子邮件将有助于暴力破解Web登录和认证服务(如SSH)。此外,它们也是钓鱼所必需的。此外,这些API还将为你提供更多关于电子邮件背后的人的信息,这对于钓鱼活动很有用。

凭证泄漏

有了域名、子域名和电子邮件,你可以开始寻找过去泄露的属于这些电子邮件的凭证:

寻找漏洞

如果找到有效的泄漏凭证,这将是一个非常容易的胜利。

机密信息泄漏

凭证泄漏涉及公司遭受泄漏并出售敏感信息的黑客攻击。然而,公司可能受到其他泄漏的影响,这些信息不在这些数据库中:

Github泄漏

Leakos也可用于对其提供的URL传递的所有文本运行gitleaks,因为有时网页也包含机密信息。

Github Dorks

还要检查这个页面,以查找你攻击的组织中可能还可以搜索的github dorks:

粘贴泄漏

Google Dorks

请注意,期望使用常规Google浏览器运行整个数据库的工具将永远无法结束,因为Google会很快阻止你。

寻找漏洞

如果找到有效的泄漏凭证或API令牌,这将是一个非常容易的胜利。

公共代码漏洞

如果发现公司有开源代码,你可以对其进行分析,寻找其中的漏洞。

根据语言的不同,你可以使用不同的工具:

还有一些允许你扫描公共存储库的免费服务,例如:

总结

恭喜!到目前为止,你已经执行了所有基本的枚举。是的,这是基本的,因为还可以进行更多的枚举(稍后会看到更多技巧)。

所以你已经:

  1. 找到了范围内的所有公司

  2. 找到了所有公司拥有的资产(如果在范围内,则执行一些漏洞扫描)

  3. 找到了所有公司拥有的域名

  4. 找到了域名的所有子域(有子域接管吗?)

  5. 找到了范围内所有IP地址(来自和不来自CDN)

  6. 找到了所有Web服务器并对它们进行了截图(有什么奇怪的值得深入研究的吗?)

  7. 找到了公司拥有的所有潜在公共云资产

  8. 电子邮件、凭据泄漏和秘密泄漏,这些可能让你轻松获得巨大收益。

  9. 对你找到的所有网站进行渗透测试

全面侦察自动化工具

有几种工具可以针对给定范围执行所提议的部分操作。

参考资料

如果你对黑客职业感兴趣并想要黑入不可黑入的 - 我们正在招聘!(需要熟练的波兰语书面和口语能力)。

首先,我们需要知道主公司拥有哪些其他公司。 一个选项是访问,搜索主公司,并点击“收购”。在那里,您将看到主公司收购的其他公司。 另一个选项是访问主公司的维基百科页面并搜索收购。

找出公司是否分配了任何ASN以查找其IP范围是很有趣的。对范围内的所有主机执行漏洞测试并查找这些IP内的域名是很有趣的。 您可以在中通过公司名称、IP或域名进行搜索。 根据公司所在地区,这些链接可能有助于收集更多数据: (非洲), (北美), (亚洲), (拉丁美洲), (欧洲)。无论如何,第一个链接中可能已经包含所有有用信息**(IP范围和Whois)。

此外,的子域枚举会自动在扫描结束时汇总和总结ASNs。

您还可以使用(它有免费API)查找组织的IP范围。 您可以使用查找域的IP和ASN。

此时,我们已经知道范围内的所有资产,如果允许,您可以对所有主机启动一些漏洞扫描器(Nessus,OpenVAS)。 此外,您可以启动一些 或使用服务如 shodan 来查找开放端口**,根据您找到的内容,您应该查看本书以了解如何对运行的多种可能服务进行渗透测试。 另外,值得一提的是,您还可以准备一些默认用户名和密码列表,并尝试使用对服务进行暴力破解**。

- 免费

- 免费

- 免费

- 免费 网页,不免费 API。

- 不免费

- 不免费(仅 100 次免费 搜索)

- 不免费

您可以使用 来自动化此任务(需要 whoxy API 密钥)。 您还可以使用 执行一些自动反向 whois 发现:amass intel -d tesla.com -whois

您知道我们可以通过查找相同的 favicon 图标哈希来找到与我们的目标相关的域和子域吗?这正是 制作的 工具所做的。以下是如何使用它:

favihash - 发现具有相同favicon图标哈希的域

此外,您还可以使用 favicon 哈希搜索技术,如中所述。这意味着,如果您知道 web 技术中易受攻击版本的 favicon 的哈希,您可以在 shodan 中搜索,找到更多易受攻击的地方:

查看这个。

您可以使用网站,例如,或者使用工具,例如来查找共享相同 dmarc 信息的域和子域。

解释了这个情况,并提出了一个在 DigitalOcean 中生成虚拟机,获取新机器的IPv4,然后在 Virustotal 中搜索指向它的子域记录的脚本。

您可以访问主网页的TLS 证书,获取组织名称,然后在shodan已知的所有网页的TLS 证书中搜索该名称,使用过滤器:ssl:"Tesla Motors",或者使用类似的工具。

是一个查找与主域相关的域和它们的子域的工具,非常惊人。

查找一些。也许某些公司正在使用某个域,但他们失去了所有权。只需注册它(如果足够便宜),然后通知该公司。

如果您发现任何具有不同 IP 的域,则应执行基本漏洞扫描(使用 Nessus 或 OpenVAS)和一些,使用nmap/masscan/shodan。根据正在运行的服务,您可以在本书中找到一些“攻击”它们的技巧。 请注意,有时域托管在客户无法控制的 IP 内,因此不在范围内,请小心。

漏洞赏金提示:注册 Intigriti,这是一家由黑客创建的高级漏洞赏金平台!立即加入我们,访问,开始赚取高达**$100,000**的赏金!

: 使用API 来获取子域

免费API

: 从AlienVault的Open Threat Exchange,Wayback Machine和Common Crawl中获取给定域的已知URL。

& : 它们会在网络上进行爬取,寻找JS文件并从中提取子域。

提供免费 API 用于搜索子域和 IP 历史记录

该项目免费提供与赏金计划相关的所有子域。您还可以使用 访问这些数据,甚至访问该项目使用的范围

您可以在这里找到许多这些工具的比较:

还需要良好 DNS 解析器的 IP 地址。为了生成可信 DNS 解析器列表,您可以从 下载解析器并使用 进行筛选。或者您可以使用:

:这是第一个执行有效 DNS 暴力破解的工具。它非常快,但容易产生误报。

: 我认为这个工具只使用了一个解析器

是一个围绕 massdns 编写的 go 语言封装工具,允许您使用主动暴力破解枚举有效子域名,同时解析具有通配符处理和简单输入输出支持的子域名。

: 它也使用 massdns。

使用 asyncio 异步地暴力破解域名。

: 给定域和子域生成排列组合。

: 给定域名和子域名生成排列组合。

您可以在获取 goaltdns 排列组合词表。

: 给定域和子域生成排列。如果没有指定排列文件,gotator 将使用自己的文件。

: 除了生成子域名排列外,它还可以尝试解析它们(但最好使用前面评论过的工具)。

您可以在获取altdns排列词表。

: 另一个执行子域的排列、变异和修改的工具。该工具将对结果进行暴力破解(不支持dns通配符)。

您可以在获取dmut排列词表。

: 基于一个域名,它根据指定的模式生成新的潜在子域名,以尝试发现更多子域名。

: 有关更多信息,请阅读这个,但基本上它会从发现的子域名中获取主要部分,并将它们混合以找到更多子域名。

: subzuf 是一个子域名暴力破解工具,配备了一个非常简单但有效的DNS响应引导算法。它利用提供的一组输入数据,如定制的单词列表或历史DNS/TLS记录,准确地合成更多对应的域名,并根据在DNS扫描过程中收集的信息进一步扩展它们。

你可以使用 或其他API来查找一些IP中的VHosts。

在寻找子域的同时,要留意是否指向任何类型的存储桶,如果是的话,。 此外,在这个阶段,您将知道范围内的所有域,尝试。

您可以通过监控证书透明度日志来监控域的新子域的创建,可以做到这一点。

检查可能的。 如果子域指向某个S3存储桶,。

如果您发现任何与资产发现中已发现的IP不同的子域,您应进行基本漏洞扫描(使用Nessus或OpenVAS)和一些使用nmap/masscan/shodan。根据运行的服务,您可以在本书中找到一些“攻击”它们的技巧。 请注意,有时子域托管在客户不控制的IP内,因此不在范围内,请小心。

使用以下免费API服务,您还可以找到域和子域使用过的先前IP。这些IP可能仍然归客户所有(并且可能允许您找到)。

您还可以使用工具检查指向特定IP地址的域。

查找。

使用。 另一个友好的工具用于查找Web服务器是, 和。您只需传递一个域列表,它将尝试连接到端口80(http)和443(https)。此外,您可以指示尝试其他端口:

要执行建议的想法,你可以使用、、、、或。

此外,你可以使用来查看所有截图,告诉你可能包含漏洞的内容,以及哪些不包含。

然后,使用这些词语生成排列组合(查看获取更多信息)。

使用生成的词表,你可以使用工具,如、、或。

- 使用API

的API(免费版本)

的API(免费版本)

的API(免费版本)

凭证和API可能会泄漏在公司或那些github公司的开发人员的公共存储库中。 你可以使用工具来下载一个组织及其开发人员的所有公共存储库,并自动运行。

有时攻击者或工作人员会在粘贴网站上发布公司内容。这可能包含或不包含敏感信息,但搜索这些信息非常有趣。 你可以使用工具同时在80多个粘贴网站中搜索。

虽然老旧,但黄金谷歌dorks始终有助于找到不应存在的暴露信息。唯一的问题是,包含数千个可能的查询,你无法手动运行。因此,你可以选择你最喜欢的10个查询,或者你可以使用工具,如来运行它们。

大多数漏洞都存在于Web应用程序中,因此我想谈一下Web应用程序测试方法论,你可以在。

我还想特别提到,因为尽管你不应该期望它们找到非常敏感的漏洞,但它们对于在工作流程中实施一些初始的Web信息非常有用。

- 有点陈旧,未更新

所有的免费课程,如

从零开始学习AWS黑客技术,成为专家 !

支持HackTricks的其他方式:

如果你想看到你的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看!

获取

发现,我们的独家系列

加入 💬 或 或在Twitter 🐦 上关注我们。

通过向和 github仓库提交PR来分享你的黑客技巧。

🤩
https://www.crunchbase.com/
https://bgp.he.net/
AFRINIC
Arin
APNIC
LACNIC
RIPE NCC
BBOT
http://asnlookup.com/
http://ipv4info.com/
https://viewdns.info/reversewhois/
https://domaineye.com/reverse-whois
https://www.reversewhois.io/
https://www.whoxy.com/
http://reversewhois.domaintools.com/
https://drs.whoisxmlapi.com/reverse-whois-search
https://www.domainiq.com/
DomLink
amass
Udon
BuiltWith
Sitesleuth
Publicwww
SpyOnWeb
@m4ll0k2
favihash.py
此博文
文章以获取更多信息
https://dmarc.live/info/google.com
https://github.com/Tedixx/dmarc-subdomains
这篇文章
sslsearch
Assetfinder
BBOT
Amass
subfinder
findomain
OneForAll
assetfinder
Sudomy
vita
theHarvester
Crobat
https://sonar.omnisint.io
JLDC免费API
RapidDNS
https://crt.sh/
gau
SubDomainizer
subscraper
Shodan
Censys子域名查找工具
DomainTrail.py
securitytrails.com
chaos.projectdiscovery.io
chaospy
https://github.com/projectdiscovery/chaos-public-program-list
https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off
https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056
https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt
https://localdomain.pw/subdomain-bruteforce-list/all.txt.zip
https://github.com/pentester-io/commonspeak
https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS
https://public-dns.info/nameservers-all.txt
dnsvalidator
https://raw.githubusercontent.com/trickest/resolvers/main/resolvers-trusted.txt
massdns
gobuster
shuffledns
puredns
aiodnsbrute
dnsgen
goaltdns
这里
gotator
altdns
这里
dmut
这里
alterx
regulator
post
subzuf
HostHunter
检查权限
暴力破解可能的存储桶名称并检查权限
sublert
CloudFlare绕过
https://securitytrails.com/
hakip2host
关于如何扫描主机的指南
EyeWitness
HttpScreenshot
Aquatone
Shutter
Gowitness
webscreenshot
eyeballer
https://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt
https://raw.githubusercontent.com/infosec-au/altdns/master/words.txt
https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt
cloud_enum
CloudScraper
cloudlist
S3Scanner
theHarvester
https://hunter.io/
https://app.snov.io/
https://minelead.io/
https://leak-lookup.com
https://www.dehashed.com/
Leakos
gitleaks
Github Dorks & Leaks
Pastos
google-hacking-database
Gorks
Source code Review / SAST Tools
Snyk
网络渗透测试方法论
这里找到这些信息
https://github.com/yogeshojha/rengine
https://github.com/j3ssie/Osmedeus
https://github.com/six2dez/reconftw
https://github.com/hackerspider1/EchoPwn
@Jhaddix
The Bug Hunter's Methodology v4.0 - Recon Edition
htARTE(HackTricks AWS Red Team Expert)
订阅计划
官方PEASS & HackTricks周边产品
PEASS家族
NFTs
Discord群
电报群
@hacktricks_live
HackTricks
HackTricks Cloud
第二轮DNS暴力破解
htARTE(HackTricks AWS红队专家)
订阅计划
官方PEASS & HackTricks周边产品
PEASS家族
NFTs
Discord群
电报群
@hacktricks_live
HackTricks
HackTricks Cloud
https://github.com/x90skysn3k/brutespray
https://go.intigriti.com/hacktricks
检查权限
httprobe
fprobe
httpx
域接管
子域接管
Web自动化扫描器开源工具
端口扫描
端口扫描
端口扫描
masscan可以找到与web服务器相关的开放端口的快速方法**
Careers | stmcyber.com | penetration testingstmcyber.com
Careers | stmcyber.com | penetration testingstmcyber.com
Register - IntigritiRegister - Intigriti
Logo
Logo
Logo
Full Subdomain Brute Force Discovery Using Automated Trickest Workflow - Part 2 | TrickestTrickest
Full Subdomain Discovery Using Automated Trickest Workflow - Part 1 | TrickestTrickest
Logo
Logo