Bu yazıda amass, sublist3r, assetfinder ve subfinder komut satırı araçlarını kullanarak bir alan adına ait alt alan adlarının nasıl toplanabileceğini anlatacağım. Araçların özelliklerini ve kullanım şekillerini paylaşacağım. Ardından da kapsamlı bir liste elde etmek için bu araçların bulduğu alan adlarını tek bir listede toplayacağım (owasp-subs.txt). Böylece saldırı yüzeyimizi genişletmiş, sızma denemeleri için daha fazla deneme yapabileğimiz alana sahip olabileceğiz.
Burada örnek olması açısından owasp.org alan adını kullanmayı tercih edeceğim. Buradaki araçların bazıları aktif yöntemler kullanarak tarama yapılan alanlar için uygun olmayabilecek girişimlere yol açabilir hedef üzerinde istenmeyen trafiklerin oluşmasına neden olabilir. Denemeleri izin alarak veya kendinize ait alan adları üzerinde yapmanızı tavsiye ederim.
amass
amass domain istihbaratı ve keşfi konularında özelleşmiş bir araç, birçok farklı kaynağı kullanarak sonuçlar elde edebilmekte. Kullandığı kaynakların birçoğu API anahtarına ihtiyaç duymakta. Daha önce amass aracının özellikleri ve kullanımı hakkında bir yazı paylaşmıştım, API anahtarları ve daha fazla bilgi için onu okuyabilirsiniz. Hatta okumanızı şiddetle tavsiye ederim. Bu yazının konusu sadece alt alanların (sub domains) elde etmek olduğu için şimdi burada amass enum komutunun en jenerik kullanımına yer vererek devam etmek istiyorum. Siz dilerseniz yazıyı okuyarak amass intel ile kapsamı daha da genişletebilirsiniz.
|
1 |
amass enum -active -brute -min-for-recursive 2 -d owasp.org -config amass-apis.ini |
Yukarıdaki komut hedef üzerinde aktif bir tarama gerçekleştirir.Bana ait API anahtarlarını kullanarak gerçekleştirdiğim taramayı -config berlitmeden de gerçekleştirebilirsiniz. Bulunan domainleri amass db ile alarak domain listesini biriktireceğimiz owasp-subs.txt dosyasına kaydedelim.
|
1 |
amass db -d owasp.org -names > owasp-subs.txt |
sublist3r
Sublist3r daha çok arama motorlarını kullanarak alt alan adı araştırması yapan bir araç. Sistemde yüklü değilse aşağıdaki komut ile kolayca yükleyebilirsiniz.
|
1 |
git clone https://github.com/aboul3la/Sublist3r.git |
Aşağıdaki komut ile sublist3r ı kullanarak taramamızı gerçekleştiriyoruz ve sonucları sublister-owasp.txt dosyasına oradan da owasp-subs.txt dosyasına kaydediyoruz.
|
1 2 |
python3 sublist3r.py -d owasp.com -b -t 5 -o sublister-owasp.txt cat sublister-owasp.txt >> owasp-subs.txt |
assetfinder
Son zamanlarda go dilinde yazılmış başarılı projeler ile karşılaşıyorum. assetfinder go dillinde yazılmış başarılı bir araç ve çok kısa bir sürede alt alanları ve ilişkili domain’leri bulabiliyor. Aracı yüklemek için kali üzerinde aşağıdaki komutu kullanabilirsiniz.
|
1 |
sudo apt install assetfinder |
owasp.org domain’inine ait alt alanları bulmak ve owast-subs.txt dosyasına kaydetmek için aşağıdaki komutu çalıştırın:
|
1 |
assetfinder -subs-only owasp.org >> owasp-subs.txt |
subfinder
subfinder‘da go dilinde yazılmış bir araç. Aşağıdaki komut ile alt alanları owasp-subs.txt dosyasına depolayabilirsiniz. Bu araç artık geçerli olmayan ve geçmişte kullanılan alt alanları bulmakta çok başarılı.
|
1 |
subfinder -silent -d owasp.org >> owasp-subs.txt |
dig
DNS sunucular zone kayıtlarını aralarında replike etmek için zone transfer işlemi gerçekleştirirler. Bu genellikle büyük ve kurumsal firmların kullandığı birden fazla DNS server çalıştıran ortamlarda mevcuttur. Kurumun DNS sunucuları aynı cevapları döndürebilmek için birbirlerini zone transfer yöntemiyle replike ederler.
The actual data transfer process begins by the client sending a query (opcode 0) with the special query type AXFR (value 252) over the TCP connection to the server. Although DNS technically supports AXFR over User Datagram Protocol (UDP), it is considered not acceptable due to the risk of lost, or spoofed packets.[2][1] The server responds with a series of response messages, comprising all of the resource records for every domain name in the “zone”.
https://en.wikipedia.org/wiki/DNS_zone_transfer
Aşağıdaki komut ile AXFR sorgusu çalıştırarak domain’e ait tüm kayıtlar (Zone) çekilebilir. Bu komut muhtemelen işe yaramayacaktır, çünkü DNS sunucular ancak yetkili DNS sunucuların AXFR sorgularına cevap vermek için yapılandırırlar.
|
1 |
dig @ns.example.com example=.com AXFR |
Google Dork
Google arama motorunun site operatörü kullanılarak istenilen domain üzerinde arama gerçekleştirilebilir. Bu tür özel amaçlı sorgular Google Dork olarak adlandırılır. Gelen sonuç listesinde domain’e ait arama motoru tarafından indekslenen sayfalar yer alır. Bu sayfalardan subdomain’leri de içerir. Arama yapmak için aşağıdaki ifadeyi aratabilirsiniz.
|
1 |
site:example.com |
Rapid7 DNS veri seti
Rapid7 DNS veri seti, İnternette bulunan tüm etki alanlarını keşfetmeyi amaçlayan bir veritabanı tutmaya çalışır. Çok iyi bir iş çıkarsalar da liste kesinlikle tamamlanmış değil. Veri kümelerini nasıl derledikleri hakkında daha fazla bilgiyi burada bulabilirsiniz. En son anlık görüntüyü indirdikten sonra, alt alanları bulmak için üzerinde jq çalıştırabiliriz:
|
1 2 |
zcat snapshop.json.gz | jq -r 'if (.name | test("\\.example\\.com$")) then .name else empty end' |
DNSdumpster isimli serviste bu dev veritabanlarını kullanmaktadır.
Sertifikaların Subject Alternative Name uzantısı
Subject Alternative Name (SAN), domain’nin farklı adlarını tek bir sertifikada sağlamak için x.509 sertifikalarındaki bir uzantıdır. Şirketler genellikle paradan tasarruf etmek için birden fazla alt alan için bir sertifika oluşturur.
İki farklı kaynak kullanarak SAN’larda alt etki alanları aramak için sertifikalara bakabiliriz:
Censys.io
Censys.io, scans.io tarafından yayınlanan bir veri alt kümesine yönelik bir arayüzdür. İşin iyi yanı, sertifikalarda anahtar kelimeleri aramaya izin vermesi ve böylece potansiyel olarak yeni alt alanları ortaya çıkarmasıdır:
https://censys.io/certificates?q=.example.com
Scans.io
Ek bilgi olarak scans.io üzerinde bulunan IPv4 veritabanı günvelik araştırmacılarının işine yarayabilir. Censys, sürekli olarak 2.500 portu tarayarak, otomatik protokol algılama gerçekleştirerek, bilinen yazılım ve cihazları etiketleyerek genel IPv4 ana bilgisayarlarının günlük anlık görüntülerini yayınlar. Veri kümesi, 250 milyon IPv4 ana bilgisayarında yaklaşık 850 milyon hizmet içerir; günlük anlık görüntüler 2 TB büyüklüğündedir.
crt.sh
Crt.sh, COMODO tarafından sağlanan sertifika arama için çevrimiçi bir hizmettir. Censys’den farklı bir veri kümesi kullanır, ancak ilke aynıdır: sertifikalardaki alt alanları bulur.
https://crt.sh/?q=%25.example.com
Not: Bazı etki alanlarının NXDOMAIN ile yanıt vermesine rağmen, bunların dahili ağda hala var olabileceğini belirtmekte fayda var. Yöneticiler bazen kendi intranet sunucularındaki genel sunucuların sertifikalarını yeniden kullanırlar.
“Alt alan (sub domains) keşfi yapalım” için bir yorum