Данные о владельце хоста
Исторический WHOIS (один из сайтов — WHOIS API | WHOIS Lookup API | Domain WHOIS API) — это один из самых популярных OSINT-инструментов для проверки контактных связей с хостом или иногда других данных об IP.
Баннеры
Баннеры — это не картинки, а текстовые ответы серверов. Баннеров бывает много, но с помощью них можно много чего достать, используя такие инструменты, как (самые известные) FOFA, Shodan, Censys. В баннерах хранятся множество данных, ведь админы могут настраивать их по шаблону, записывать туда название компании, департамент или даже имя. Это даёт найти скрытые под домены (admin.target.com, dev.target.com), другие проекты цели, если он использует те же шаблонные варианты, обнаружить фишинговые сайты или сайты-двойники.
Сертификаты
Сертификаты — с помощью сертификатов можно найти все домены сервиса, организацию, иногда реальное имя, дату выдачи. Если у нескольких доменов один сертификат значит у них один владелец
Поиск — проверяет сертификаты российских сайтов.
http://crt.sh — 14 миллиардов записей, проверяет сертификаты по всем доступным логам, иногда виснет (если сайт не работает, можно попросить Gemini зайти на него и проверить данные по домену).
DNS-записи
Если ты уже нашёл поддомены, с помощью команды dig можешь проверить записи DNS. IP совпадает — обычная серая часть инфраструктуры, IP не совпадает — может быть отдельный сервер админки или основной сервер трафика. Под это описание попадают DNS A и AAAA.
DNS MX — это почтовые DNS. Они показывают, кто принимает почту. С помощью этих записей можно узнать почтовый хостинг цели, иногда владельца хоста, иногда по почте, если она не через облачный сервис, можно найти основной IP. Проверка DNS: (cmd) dig google.com MX
MX Lookup Tool - Check your DNS MX Records online - MxToolbox — проверка DNS MX.
NS (Name Server) — это DNS-серверы, которые обслуживают домен. Если у нескольких доменов один и тот же NS, вероятно, они все принадлежат нашей цели.
dig google.com NS
Пример: google.com → ns1.google.com ns1.google.com, ns2.google.com
TXT — это текстовые поля домена. Эти данные самые важные: иногда из-за неправильной конфигурации DNS в TXT-полях домена вылезают токены, ключи, забытые домены, старые домены, подтверждение инфраструктуры доменов, определение облачных сервисов цели. В Github можно найти слитые токены Slack.
dig домен TXT
CAA — показывает историю и логику SSL. Эти записи показывают, каким именно центрам домен разрешает выпускать для себя SSL-сертификаты.
SRV — поиск скрытых портов и сервисов. Записи указывают на конкретные сервера служб, например SIP-телефонию, XMPP-чаты.
PTR — обратный поиск (Reverse DNS). Связывает IP-адрес с доменом. Если есть только IP-адрес сервиса, то PTR-записи покажут, какое официальное доменное имя за ним закреплено.
Инструмент: https://dnschecker.org — лучший инструмент для эксплуатации DNS.
https://dnschecker.org/ - инструмент для проверки DNS.
ViewDNS.info - Your trusted source for domain and IP intelligence! - агрегатор для проверки dns и айпи .
Обходы Cloudflare / Reverse Proxy
Многие сервисы, тем более скам-проекты, прячут свой основной IP. Censys и SecurityTrails могут показать настоящий IP цели.
Исторические DNS
Исторический DNS — это прошлые варианты сайта до фикса/патча чего-либо. Если вы нашли исторический DNS, то с некоторым шансом сможете найти на их первичном варианте сайта зацепки, например: почту, имена, никнеймы, псевдонимы, описания и разное другое. Используйте такие инструменты, как:
Wayback Machine
Google Cached Pages of Any Website - CachedView
Crimeflare
Поиск полной сети хостов и серверов.
Поиск полной сети даёт обнаружение связей между проектами, нахождение большего количества сертификатов, баннеров, DNS-записей и проверку полной сети на зацепки в инфраструктуре, что даёт нам больше улик.
Amass (OWASP) — абсолютный лидер. Собирает данные из сотен источников, проводит DNS-перебор и строит связи.
Subfinder — самый быстрый инструмент для пассивного сбора. Находит хосты по открытым базам данных и сертификатам.
https://asnlookup.com — проверяет IP-диапазоны.
Представим что нам надо найти всю инфраструктуру сети нашей цели, но админ - не дурак. Он закрыл порты, спрятал все данные из DNS(связывает доменны с их реальными IP и хранит данные), сменил стандартные заголовки, защитил IP с помощью Cloudflare.
Обход есть! у фавикона(фотография или же значок сайта) есть свой уникальный айди, его можно легко достать с помощью инструмента shodan(сканирует весь интернет пытаясь найти всю инфраструктуру) найти все сайты которые скрыты от обычного юзера который использует тот же айди фавикона, с помощью этого вы сможете находить даже скрытые админки, старые или заброшенные сайты, реальный IP - адрес за защитой Cloudflare, фишинг сайты злоумышленников.
Как же это эксплуатировать?
С помощью веб сервиса Get the favicon hash of a website for Shodan hunting вы сможете вытащить из сайта его фавикон хэш.
После переходим в Shodan и вбиваем в поиск http.favicon.hash:708578229
С помощью этого способа есть шанс найти всё вышеперечисленное.
JARM(уникальный технический подчерк сервера), с помощью этого хэша можно найти уязвимые корпаротивные сервисы(VPN, шлюзы), связанные узлы, конкретные версии вредоносного ПО, скрытые фишинговые сайты.
Найти этот хэш довольно легко. ONLINE JARM scanner for TLS fingerprinting - инструмент которые по айпи или URL достаёт хэш - JARM.
Дальше мы будем использовать Shodan, но вы можете использовать любой понравившийся вам инструмент, просто поисковая система всегда разная.
В Shodan вбиваем ssl.jarm:"JARM - hash"
Давайте представим самый худший вариант, цель мошенник который хочет полностью анонамизироваться, скрыл фавикон, на разных сайтах уникальные или даже скрытые JARM - хэши.
Почти всегда человек оставляет 22 порт включенным для удобства, это можно легко использовать. Есть SSH ключи(цифровой пароль из двух связанных файлов, для быстрой аутентификации). Пара ключей состоит из публичного ключа, он шифрует данные и приватного ключа, он расшифрует данные на серверах.
Заходим в тот же любимый Shodan и начинаем сканирование по чистому IP, глазками ищем 22 порт. Если нашли то в Shodan все ключи хранятся в блоке SSH Host Key, копируем этот хэш и дальше сканируем его через тот же Shodanssh.fingerprint:"хэш ключа"
С помощью этого вы можете найти серверы без лиц, подтверждение что сервер принадлежит цели, нахождение серверов на домашних или левых хостингах, вся инфраструктура хакеров или фишеров если они прописывают один и тот же ключ к каждому серверу.
больше OSINT аналитике в моём телеграмм канале @Quant_Osint. надеюсь я помог хотя бы кому то
Исторический WHOIS (один из сайтов — WHOIS API | WHOIS Lookup API | Domain WHOIS API) — это один из самых популярных OSINT-инструментов для проверки контактных связей с хостом или иногда других данных об IP.
Баннеры
Баннеры — это не картинки, а текстовые ответы серверов. Баннеров бывает много, но с помощью них можно много чего достать, используя такие инструменты, как (самые известные) FOFA, Shodan, Censys. В баннерах хранятся множество данных, ведь админы могут настраивать их по шаблону, записывать туда название компании, департамент или даже имя. Это даёт найти скрытые под домены (admin.target.com, dev.target.com), другие проекты цели, если он использует те же шаблонные варианты, обнаружить фишинговые сайты или сайты-двойники.
Сертификаты
Сертификаты — с помощью сертификатов можно найти все домены сервиса, организацию, иногда реальное имя, дату выдачи. Если у нескольких доменов один сертификат значит у них один владелец
Поиск — проверяет сертификаты российских сайтов.
http://crt.sh — 14 миллиардов записей, проверяет сертификаты по всем доступным логам, иногда виснет (если сайт не работает, можно попросить Gemini зайти на него и проверить данные по домену).
DNS-записи
Если ты уже нашёл поддомены, с помощью команды dig можешь проверить записи DNS. IP совпадает — обычная серая часть инфраструктуры, IP не совпадает — может быть отдельный сервер админки или основной сервер трафика. Под это описание попадают DNS A и AAAA.
DNS MX — это почтовые DNS. Они показывают, кто принимает почту. С помощью этих записей можно узнать почтовый хостинг цели, иногда владельца хоста, иногда по почте, если она не через облачный сервис, можно найти основной IP. Проверка DNS: (cmd) dig google.com MX
MX Lookup Tool - Check your DNS MX Records online - MxToolbox — проверка DNS MX.
NS (Name Server) — это DNS-серверы, которые обслуживают домен. Если у нескольких доменов один и тот же NS, вероятно, они все принадлежат нашей цели.
dig google.com NS
Пример: google.com → ns1.google.com ns1.google.com, ns2.google.com
TXT — это текстовые поля домена. Эти данные самые важные: иногда из-за неправильной конфигурации DNS в TXT-полях домена вылезают токены, ключи, забытые домены, старые домены, подтверждение инфраструктуры доменов, определение облачных сервисов цели. В Github можно найти слитые токены Slack.
dig домен TXT
CAA — показывает историю и логику SSL. Эти записи показывают, каким именно центрам домен разрешает выпускать для себя SSL-сертификаты.
SRV — поиск скрытых портов и сервисов. Записи указывают на конкретные сервера служб, например SIP-телефонию, XMPP-чаты.
PTR — обратный поиск (Reverse DNS). Связывает IP-адрес с доменом. Если есть только IP-адрес сервиса, то PTR-записи покажут, какое официальное доменное имя за ним закреплено.
Инструмент: https://dnschecker.org — лучший инструмент для эксплуатации DNS.
https://dnschecker.org/ - инструмент для проверки DNS.
ViewDNS.info - Your trusted source for domain and IP intelligence! - агрегатор для проверки dns и айпи .
Обходы Cloudflare / Reverse Proxy
Многие сервисы, тем более скам-проекты, прячут свой основной IP. Censys и SecurityTrails могут показать настоящий IP цели.
Исторические DNS
Исторический DNS — это прошлые варианты сайта до фикса/патча чего-либо. Если вы нашли исторический DNS, то с некоторым шансом сможете найти на их первичном варианте сайта зацепки, например: почту, имена, никнеймы, псевдонимы, описания и разное другое. Используйте такие инструменты, как:
Wayback Machine
Google Cached Pages of Any Website - CachedView
Crimeflare
Поиск полной сети хостов и серверов.
Поиск полной сети даёт обнаружение связей между проектами, нахождение большего количества сертификатов, баннеров, DNS-записей и проверку полной сети на зацепки в инфраструктуре, что даёт нам больше улик.
Amass (OWASP) — абсолютный лидер. Собирает данные из сотен источников, проводит DNS-перебор и строит связи.
Subfinder — самый быстрый инструмент для пассивного сбора. Находит хосты по открытым базам данных и сертификатам.
https://asnlookup.com — проверяет IP-диапазоны.
Представим что нам надо найти всю инфраструктуру сети нашей цели, но админ - не дурак. Он закрыл порты, спрятал все данные из DNS(связывает доменны с их реальными IP и хранит данные), сменил стандартные заголовки, защитил IP с помощью Cloudflare.
Обход есть! у фавикона(фотография или же значок сайта) есть свой уникальный айди, его можно легко достать с помощью инструмента shodan(сканирует весь интернет пытаясь найти всю инфраструктуру) найти все сайты которые скрыты от обычного юзера который использует тот же айди фавикона, с помощью этого вы сможете находить даже скрытые админки, старые или заброшенные сайты, реальный IP - адрес за защитой Cloudflare, фишинг сайты злоумышленников.
Как же это эксплуатировать?
С помощью веб сервиса Get the favicon hash of a website for Shodan hunting вы сможете вытащить из сайта его фавикон хэш.
После переходим в Shodan и вбиваем в поиск http.favicon.hash:708578229
С помощью этого способа есть шанс найти всё вышеперечисленное.
JARM(уникальный технический подчерк сервера), с помощью этого хэша можно найти уязвимые корпаротивные сервисы(VPN, шлюзы), связанные узлы, конкретные версии вредоносного ПО, скрытые фишинговые сайты.
Найти этот хэш довольно легко. ONLINE JARM scanner for TLS fingerprinting - инструмент которые по айпи или URL достаёт хэш - JARM.
Дальше мы будем использовать Shodan, но вы можете использовать любой понравившийся вам инструмент, просто поисковая система всегда разная.
В Shodan вбиваем ssl.jarm:"JARM - hash"
Давайте представим самый худший вариант, цель мошенник который хочет полностью анонамизироваться, скрыл фавикон, на разных сайтах уникальные или даже скрытые JARM - хэши.
Почти всегда человек оставляет 22 порт включенным для удобства, это можно легко использовать. Есть SSH ключи(цифровой пароль из двух связанных файлов, для быстрой аутентификации). Пара ключей состоит из публичного ключа, он шифрует данные и приватного ключа, он расшифрует данные на серверах.
Заходим в тот же любимый Shodan и начинаем сканирование по чистому IP, глазками ищем 22 порт. Если нашли то в Shodan все ключи хранятся в блоке SSH Host Key, копируем этот хэш и дальше сканируем его через тот же Shodanssh.fingerprint:"хэш ключа"
С помощью этого вы можете найти серверы без лиц, подтверждение что сервер принадлежит цели, нахождение серверов на домашних или левых хостингах, вся инфраструктура хакеров или фишеров если они прописывают один и тот же ключ к каждому серверу.
больше OSINT аналитике в моём телеграмм канале @Quant_Osint. надеюсь я помог хотя бы кому то
