하위 도 메 인 이름 매 거 진, 탐지 도구 AQUATONE 사용 안내

본문 에서 말 한 것 은
하위 도 메 인 이름 매 거 진, 탐지 도구 AQUATONE 사용 안내,
어떤 사물 의 공격 면 이 방어 와 공격 의 관건 이라는 것 을 안다.예 를 들 어 우리 가 도 메 인 이름 을 이야기 할 때 그 공격 면 을 발견 하 는 매우 흔 한 방법 은 그 자 역 을 발견 하 는 것 이다.한편, 하위 도 메 인 이름 을 통 해 잠재 적 인 목표 사 이 트 를 발견 하 는 수량 을 증가 시 키 고 IP 범 위 를 더욱 탐색 할 수 있다.
알다 시 피 우 리 는 흔히 볼 수 있 는 하위 도 메 인 이름 매 거 진 도구 가 많 습 니 다. 예 를 들 어 Fierce, SubBrute, Gobuster 등 이 있 습 니 다. 그러나 오늘 제 가 말 하고 자 하 는 AQUATONE 은 전형 적 인 폭력 계수 뿐만 아니 라 각종 오픈 소스 와 인터넷 서 비 스 를 이용 하여 발 견 된 하위 도 메 인 수 를 크게 증가 시 켰 습 니 다.하위 도 메 인 을 발견 하면 AQUATONE 를 사용 하여 호스트 의 공공 HTTP 포트 를 탐지 하고 응답 헤드 를 수집 할 수 있 을 뿐만 아니 라 HTML 과 화면 캡 처 를 통 해 좋 은 보고서 로 컴 파일 하여 분석 하기 편리 합 니 다.
도 구 를 최대한 유연 하 게 하기 위해 서 는 세 개의 독립 된 명령 으로 나 뉘 어 있 습 니 다. 따라서 스 캔 이나 화면 캡 처 없 이 하위 도 메 인 발견 만 하려 면 쉽게 이 루어 질 수 있 습 니 다.아 쿠 아 톤 평가 의 세 단 계 를 살 펴 보 자.
1 단계: 발견
AQUATONE 의 사용 상황 을 보 여주 기 위해 서, 우 리 는 이 도 메 인 corp. yahoo. com 에 대해 평 가 를 진행 할 것 입 니 다.제 가 이 도 메 인 이름 을 선택 한 이 유 는 Yahoo 의 Bug Bounty 프로그램 이 모든 *. yahoo. com 범 위 를 포함 하고 있 기 때문에 AQUATONE 같은 도 구 를 실행 하 는 것 이 좋 을 것 같 습 니 다.
aquatone - discover 도구 시작:
우선 aquatone - discover 는 대상 필드 의 권위 있 는 이름 서버 를 확인 해 야 합 니 다.이 이름 서버 를 사용 하 는 이 유 는 정보 가 최신 이 고 우리 의 발견 을 극 대화 할 수 있 기 때문이다.
대상 필드 가 마스크 필드 로 설정 되 어 있 는 지 여 부 를 빠르게 테스트 할 수 있 습 니 다. 이 필드 들 은 대량의 오보 가 발생 할 수 있 기 때 문 입 니 다.도 메 인 이 마스크 라면 가능 한 마스크 응답 을 식별 하고 걸 러 냅 니 다.다행히도 corp. yahoo. com 은 어댑터 로 설정 되 지 않 았 습 니 다.
이름 서버 와 어댑터 가 검 측 된 후에 모든 하위 필드 수집 기 모듈 에 대상 필드 의 잠재 적 인 하위 필드 를 계속 물 었 습 니 다.aquatone - discover 에는 다음 수집 기 모듈 이 설치 되 어 있 습 니 다.

    
DNSDB.org
Google     
HackerTarget
Netcraft
Shodan（  API  ）
ThreatCrowd
VirusTotal（  API  ）

수집 기 모듈 은 총 12.282 개의 잠재 적 인 자 역 을 되 돌려 주 었 고 aquaone 은 이 를 분석 하고 분 해 를 시도 했다.
시간 이 지나 자 aquatone - discover 는 명단 을 열 거 했 고 모두 1.958 개의 살 아 있 는 하위 도 메 인 이름 을 발견 했다.또한 IP 를 분석 하고 더 탐지 할 수 있 는 잠재 적 인 IP 서브 네트워크 범 위 를 열거 했다.
또한, 발 견 된 호스트 를 대상 도 메 인 에 자동 으로 만 든 aquatone 평가 디 렉 터 리 의 파일 에 기록 합 니 다.hosts. txt 는 쉼표 로 구 분 된 도 메 인 이름과 IP 를 포함 합 니 다.
이 파일 은 일반적인 명령 행 도 구 를 통 해 슬라이스 와 분할 을 하고 사용 할 수 있 는 다른 도구 에 불 러 올 수 있 습 니 다.hosts. json 은 JSON 형식 과 같은 정 보 를 포함 하고 다른 AQUATONE 도구 에 의 해 사용 되 지만 사용자 정의 스 크 립 트 정 보 를 사용 하려 면 전혀 문제 가 없습니다.
2 단계: 스 캔
corp. yahoo. com 의 하위 도 메 인 이름 을 발견 할 수 있 는 것 은 사실 이미 매우 유용 하 다.사실 우 리 는 여기에서 멈 추고 다른 도 구 를 사용 하거나 수 동 으로 탐색 할 수 있 습 니 다. 그러나 우 리 는 aquatone - scan 이 우리 에 게 어떤 호스트 가 웹 페이지 내용 을 제공 할 수 있 는 지 찾 도록 노력 할 수 있 습 니 다.
aquatone - scan 은 다른 호스트 에서 열 린 HTTP 포트 를 찾 았 습 니 다.기본 적 인 상황 에서 다음 TCP 포트 를 스 캔 합 니 다. 80, 443, 880, 8080 과 8443 은 모두 매우 일반적인 웹 서비스 포트 입 니 다.이 – ports 옵션 을 사용 하여 포트 목록 으로 변경 하거나 내 장 된 목록 의 별명 을 지정 할 수 있 습 니 다.

small：80,443
medium：80,443,880,8080,8443（     ）
large：80,81,443,591,2082,2087,2095,2096,3000,8,000,800,1808,8080,8083,8443,8834,8888
huge：80,81,300,443,591,593,832,981,1010,1311,2082,2087,2095,2096,2480,3000,31228,3333,44243,4567,4711,4712,4993,5000,5104 ，5108,5800,65343,7000,7396,77474,80008,1008,
8008,8014,8042,8069,8080,8081,8088,8090,8091,8118,8133,8172,8222,8243,88080,8281,8333 ，8443,8500,8834,8880,8888,8893,9000,903,49060,98080,9909,991,992,9443,99800,99981,
12443,16080,18091,18092,20720,28017

비교적 큰 포트 목록 을 사용 하면 더 많은 웹 서 비 스 를 발견 할 수 있 지만, aquatone - scan 이 완성 하 는 데 소요 되 는 시간 도 증가 할 것 입 니 다.
aquatone - scan 은 평가 디 렉 터 리 에 두 개의 새 파일 corp. yahoo. com: open 을 만 들 었 습 니 다.ports. txt 는 쉼표 로 구 분 된 호스트 목록 과 열 린 포트 입 니 다.
url. txt 는 열 린 포트 에 웹 페이지 를 요청 할 수 있 는 URL 목록 을 포함 합 니 다:
이 파일 들 은 다음 단계 의 평가 에 사용 할 수 있 지만 Eye Witness 나 절편, grep, cut, awk 등 다른 도구 에 도 편리 하 게 불 러 올 수 있 습 니 다.
3 단계: 집계
우 리 는 이제 *. corp. yahoo. com 의 하위 도 메 인 이름과 열 린 포트 를 알 게 되 었 습 니 다. 이 제 는 aquatone - gather 로 HTTP 응답 과 캡 처 를 수집 하고 좋 은 보고서 로 컴 파일 해 야 합 니 다.
aquatone - gather 는 이전 AQUATONE 도구 에서 만 든 파일 에서 데 이 터 를 불 러 오고 URL 을 요청 하여 HTTP 응답 과 화면 캡 처 를 수집 합 니 다.막후 에 서 는 Nightmare 를 사용 하여 모든 중요 한 요청 과 화면 캡 처 를 해결 합 니 다.
불 행 히 도 Nightmare 는 다른 브 라 우 저 자동화 도구 와 마찬가지 로 처리 방식 이 단편 적 이 고 일부 페이지 처리 에 실패 할 수 있다 는 점 을 화면 캡 처 에서 볼 수 있다.물론 실패 율 은 받 아들 일 수 있다 고 생각 하지만 우 리 는 여전히 이 일 에 주의해 야 한다.
잠시 후, 그것 은 모든 웹 페이지 를 처리 했다.
다음은 인쇄 성공 과 실패 한 페이지 처리 의 짧 은 요약 과 생 성 된 보고서 페이지 의 목록 을 생 성 합 니 다. 그러나 이것 은 aquatone - gather 가 유일 하 게 생 성 한 파일 이 아 닙 니 다.평가 폴 더 로 탐색 하면 세 개의 새로운 폴 더 를 볼 수 있 습 니 다: headers, html, report 와 screenpshots.
이 headers 폴 더 에는 모든 페이지 에서 접근 하 는 응답 제목 의 텍스트 파일 이 포함 되 어 있 습 니 다.
안전 한 측면 에서 볼 때 이 파일 들 은 grep 와 다른 도구 들 이 서버 기술 정보 와 다른 재 미 있 는 일 들 을 신속하게 찾 는 데 매우 유용 하 다.
이 html 폴 더 는 모든 페이지 에 접근 하 는 HTML 주 체 를 포함 합 니 다:
이 파일 들 은 여러 곳 에 사용 할 수 있다 는 점 은 잠시 후에 다시 이야기 하 자.
말 그대로 스크린 샷 폴 더 에는 모든 페이지 가 방문 한 PNG 화면 캡 처 가 포함 되 어 있 습 니 다.
사실 폴 더 에서 이 캡 처 를 직접 볼 수 있 지만 생 성 된 HTML 보고서 페이지 를 열 어 분석 하 는 것 이 더 유용 할 수 있 습 니 다.
보고 서 는 수 집 된 정 보 를 빠르게 검색 하여 재 미 있 는 페이지 를 얻 을 수 있 도록 응답 제목 으로 화면 캡 처 를 배열 합 니 다.AQUATONE 는 녹색 배경 과 제목 을 추가 할 수 있 는 제목 을 강조 하여 빨간색 배경 에 안전 문 제 를 일 으 킬 수 있 습 니 다.
CLI 기술
생 성 된 보고 서 는 AQUATONE 의 최종 제품 이지 만 평가 폴 더 에 생 성 된 모든 원본 파일 에 도 유용 한 내용 이 많이 포함 되 어 있 습 니 다. 따라서 저 는 제 글 에서 말 한 내용 을 배우 고 다음 과 같은 일 로 응용 범 위 를 확대 하 는 것 을 권장 합 니 다.
서버 기술 통계 정보 가 져 오기

root@kali:~/aquatone/corp.yahoo.com/headers# cat * | grep 'Server:' | sort | uniq -c | sort -nr
     13 Server: ATS
      6 Server: Bomgar
      1 Server: AkamaiGHostroot@kali:~/aquatone/corp.yahoo.com/headers#

더 많은 하위 영역 찾기

root@kali:~/aquatone/corp.yahoo.com/html# cat * | egrep -o '[a-z0-9-_.]+.corp.yahoo.com' | sort -ubomgar.corp.yahoo.com
bouncer.by.corp.yahoo.com
fast.corp.yahoo.com
it.corp.yahoo.com
request.corp.yahoo.com
services.corp.yahoo.comroot@kali:~/aquatone/corp.yahoo.com/html#

HTML 주석 찾기

root@kali:~/aquatone/corp.yahoo.com/html# cat * | egrep -o ''






...

암호 필드 가 있 는 페이지 찾기

root@kali:~/aquatone/corp.yahoo.com/html# grep 'type="password"' *bouncer_gh_corp_yahoo_com__72_30_2_113__80.html: 

fast_corp_yahoo_com__98_136_205_216__443.html: root@kali:~/aquatone/corp.yahoo.com/html#
포트 443 의 호스트 가 져 오기

root@kali:~/aquatone/corp.yahoo.com# cat open_ports.txt | grep ',443' | cut -d "," -f 1117.104.189.54
124.108.98.253
124.108.98.254
203.83.249.10
203.83.249.4
...
216.145.48.153
72.30.2.113
98.136.163.125
98.136.205.152
98.136.205.216root@kali:~/aquatone/corp.yahoo.com#

Heartbleed 가 있 는 HTTPS 호스트 검사

root@kali:~/aquatone/corp.yahoo.com# grep https urls.txt | cut -d '/' -f 3 > /tmp/targets.lstroot@kali:~/aquatone/corp.yahoo.com# sslscan --targets=/tmp/targets.lst --no-ciphersuites --no-fallback --no-renegotiation --no-compression --no-check-certificateVersion: 1.11.9-static
OpenSSL 1.0.2l-dev  xx XXX xxxx
Testing SSL server bomgar.corp.yahoo.com on port 443 using SNI name
  Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed
Testing SSL server bouncer.gh.corp.yahoo.com on port 443 using SNI name
...
Testing SSL server 2-2-gci.sv6.corp.yahoo.com on port 443 using SNI name
  Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleedroot@kali:~/aquatone/corp.yahoo.com#

마지막 으로 아 쿠 아 톤 을 이용 하 는 항공 편 에 가입 하 게 되 어 기 쁩 니 다. 당신 은 가 볍 고 즐 거 운 여행 을 보 낼 것 입 니 다.
발표 일: 2017 년 6 월 21 일
본문 저자: Change
본 고 는 운 서 지역사회 합작 파트너 의 울 부 짖 음 에서 왔 고 관련 정 보 를 알 면 울 부 짖 음 사 이 트 를 주목 할 수 있다.
링크