Инструменты разведчика. Подбираем полезные утилиты для разведки при охоте за багами

Поиск поддоменов

Каж­дый под­домен — это потен­циаль­ная цель, так что их поиск — один из пер­вых шагов при раз­ведке. В боль­ших ком­пани­ях, вро­де IBM или Microsoft, исполь­зуют­ся десят­ки тысяч под­доменов, и все их нуж­но под­держи­вать в акту­аль­ном сос­тоянии, сво­евре­мен­но ста­вить обновле­ния соф­та и фик­сить баги. Как показы­вает прак­тика, о некото­рых под­доменах прос­то забыва­ют или ста­вят заг­лушки, хотя весь кон­тент при этом оста­ется дос­тупен. Кри­тичес­кие уяз­вимос­ти, вро­де RCE, SSTI, SSRF или XXE, чаще все­го обна­ружи­вают на под­доменах. Чем боль­ше ты их най­дешь, тем шире будет повер­хность ата­ки. Сущес­тву­ет очень мно­го инс­тру­мен­тов для их поис­ка, поэто­му я рас­смот­рю толь­ко те, которые прош­ли про­вер­ку в боевых усло­виях и показа­ли себя эффектив­ными на раз­ных прог­раммах bug bounty.

Chaos

Сайт про­екта

Нач­нем с вари­анта для ленивых. Ути­лита Chaos собира­ет информа­цию обо всех пуб­личных прог­раммах, находя­щих­ся на извес­тных баг­баун­ти‑плат­формах, вро­де Bugcrowd, HackerOne, Intigrity.

На момент написа­ния статьи на сай­те есть 513 прог­рамм. Информа­ция пос­тоян­но обновля­ется, так что ты всег­да будешь видеть акту­аль­ную.

По­иск и сор­тиров­ка по прог­раммам реали­зова­ны очень удоб­но. Нап­ример, мож­но пос­мотреть толь­ко те прог­раммы, которые пред­лага­ют воз­награж­дение за най­ден­ные уяз­вимос­ти или име­ют мно­го под­доменов, или отсле­дить новые прог­раммы, что­бы успеть зай­ти пер­вым и снять вишен­ку с тор­та. В отли­чие от боль­шинс­тва сай­тов, свя­зан­ных с раз­ведкой, он бес­плат­ный.

recon.dev

Сайт про­екта

Еще один сайт, который поможет соб­рать мно­го полез­ной информа­ции о под­доменах. В отли­чие от Chaos, бес­плат­но recon.dev показы­вает толь­ко пер­вые 20 резуль­татов поис­ка. За осталь­ные при­дет­ся зап­латить, одна­ко цена за получен­ный набор дан­ных неболь­шая.

subfinder

Ска­чать с GitHub

Subfinder счи­тает­ся потом­ком sublist3r — ути­лита тоже собира­ет информа­цию о под­доменах, исполь­зуя мно­жес­тво пас­сивных онлай­новых источни­ков, таких как Baidu, Bing, Censys. Для некото­рых источни­ков пот­ребу­ется внес­ти клю­чи от API в файл кон­фигура­ции ($HOME/.config/subfinder/config.yaml).

Subfinder име­ет удоб­ную модуль­ную архи­тек­туру и написан на Go, так что очень быс­тро работа­ет.

Словари

Пе­ред тем как начинать раз­ведку, сто­ит запас­тись пач­кой доб­ротных сло­варей. От выбора хороше­го сло­варя зависит мно­гое: чем боль­ше будет соб­рано скры­тых парамет­ров, под­доменов, дирек­торий и фай­лов, тем выше шанс обна­ружить какую‑нибудь брешь в безопас­ности.

В интерне­те мож­но най­ти огромное количес­тво сло­варей, но не все они эффектив­ны. Занима­ясь некото­рое вре­мя баг­баун­ти и поп­робовав при этом раз­ные сло­вари, я для себя выделил нес­коль­ко очень инте­рес­ных вари­антов, которые не раз меня выруча­ли и помога­ли обна­ружить мес­та, до которых еще не доходи­ли дру­гие охот­ники за багами.

fuzz.txt

Ска­чать с GitHub

Я всег­да начинаю с fuzz.txt, который содер­жит спи­сок потен­циаль­но опас­ных фай­лов и дирек­торий. Сло­варь прак­тичес­ки каж­дый месяц допол­няет­ся новыми сло­вами. Про­ходит­ся быс­тро, а за счет это­го мож­но ско­рее начать ковырять наход­ки и парал­лель­но пос­тавить переби­рать дру­гие, более объ­емные спис­ки. Сло­варь содер­жит 4842 сло­ва, но, по опы­ту, имен­но он отлично под­ходит для пер­воначаль­ного иссле­дова­ния веб‑при­ложе­ния.