HTBGitHubLinkedInNotion (Writeups)

Domain Information

La información del dominio es un componente fundamental de cualquier prueba de penetración, y no se limita a los subdominios, sino a toda la presencia en internet. Por lo tanto, recopilamos información e intentamos comprender la funcionalidad de la empresa y las tecnologías y estructuras necesarias para ofrecer los servicios con éxito y eficiencia.

Este tipo de información se recopila de forma pasiva, sin análisis directos ni activos. En otras palabras, permanecemos ocultos y navegamos como "clientes" o "visitantes" para evitar conexiones directas con la empresa que podrían exponernos. Las secciones relevantes de OSINT son solo una pequeña parte del grado de detalle de OSINT y describen solo algunas de las muchas maneras de obtener información de esta manera. Puede encontrar más enfoques y estrategias en el módulo OSINT: Reconocimiento Corporativo .

Sin embargo, al recopilar información de forma pasiva, podemos utilizar servicios de terceros para comprender mejor la empresa. Sin embargo, lo primero que debemos hacer es analizar la empresa main website. Después, debemos leer los textos, teniendo en cuenta qué tecnologías y estructuras se requieren para estos servicios.

Por ejemplo, muchas empresas de TI ofrecen servicios de desarrollo de aplicaciones, IoT, alojamiento, ciencia de datos y seguridad informática, según su sector. Si nos encontramos con un servicio con el que no hemos tenido mucha experiencia, es lógico y necesario familiarizarnos con él, descubrir en qué consiste y qué oportunidades ofrece. Estos servicios también nos brindan una buena visión general de cómo puede estructurarse la empresa.

Por ejemplo, esta parte es la combinación de los first principley second principlede la enumeración. Prestamos atención a qué we seey we do not see. Vemos los servicios, pero no su funcionalidad. Sin embargo, los servicios están sujetos a ciertos aspectos técnicos necesarios para su prestación. Por lo tanto, adoptamos la perspectiva del desarrollador y analizamos todo desde su perspectiva. Esta perspectiva nos permite obtener una gran cantidad de información técnica sobre la funcionalidad.

Pesencia en línea:

El primer punto de presencia en internet puede ser el SSL certificatedel sitio web principal de la empresa, que podemos examinar. A menudo, un certificado de este tipo incluye más de un subdominio, lo que significa que se utiliza para varios dominios, y es probable que estos sigan activos.

Otra fuente para encontrar más subdominios es crt.sh. Esta fuente son los registros de Transparencia de Certificados . La Transparencia de Certificados es un proceso que permite la verificación de certificados digitales emitidos para conexiones a Internet cifradas. El estándar ( RFC 6962 ) prevé el registro de todos los certificados digitales emitidos por una autoridad de certificación en registros a prueba de auditoría. Esto permite detectar certificados falsos o maliciosos para un dominio. Los proveedores de certificados SSL como Let's Encrypt comparten esta información con la interfaz web crt.sh , que almacena las nuevas entradas en la base de datos para su posterior acceso.

También podemos generar los resultados en formato JSON.

Transparencia del certificado:

curl -s https://crt.sh/\?q\=<dominio>\&output\=json | jq .

Si es necesario, también podemos filtrarlos por subdominios únicos.

curl -s https://crt.sh/\?q\=<domino>\&output\=json | jq . | grep name | cut -d":" -f2 | grep -v "CN=" | cut -d'"' -f2 | awk '{gsub(/\\n/,"\n");}1;' | sort -u

A continuación, podemos identificar los hosts accesibles directamente desde Internet y que no están alojados por proveedores externos. Esto se debe a que no podemos probar los hosts sin su permiso.

Servidores alojados por la empresa:

for i in $(cat subdomainlist);do host $i | grep "has address" | grep <dominio> | cut -d" " -f1,4;done

Una vez que vemos qué hosts se pueden investigar más a fondo, podemos generar una lista de direcciones IP con un pequeño ajuste al cutcomando y ejecutarlas Shodan.

Shodan permite encontrar dispositivos y sistemas conectados permanentemente a Internet, como Internet of Things( IoT). Busca puertos TCP/IP abiertos en Internet y filtra los sistemas según términos y criterios específicos. Por ejemplo, se buscan puertos HTTP o HTTPS abiertos y otros puertos de servidor para FTP, SSH, SNMP, , o . Como resultado, podemos encontrar dispositivos y sistemas como , , Telnet, y , y diversos componentes de red.RTSPSIPsurveillance camerasserverssmart home systemsindustrial controllerstraffic lightstraffic controllers

Shodan - Lista de IP:

for i in $(cat subdomainlist);do host $i | grep "has address" | grep <dominio> | cut -d" " -f4 >> ip-addresses.txt;done
for i in $(cat ip-addresses.txt);do shodan host $i;done

Ahora podemos mostrar todos los registros DNS disponibles donde podríamos encontrar más hosts.

Registros DNS:

dig any <dominio>

Analicemos lo aprendido aquí y volvamos a nuestros principios. Vemos un registro IP, algunos servidores de correo, algunos servidores DNS, registros TXT y un registro SOA.

  • Aregistros: Reconocemos las direcciones IP que apuntan a un (sub)dominio específico a través del registro A. Aquí solo vemos una que ya conocemos.

  • MXRegistros: Los registros del servidor de correo nos indican qué servidor de correo es responsable de gestionar los correos electrónicos de la empresa. Dado que en nuestro caso Google se encarga de esto, conviene tenerlo en cuenta y omitirlo por ahora.

  • NSRegistros: Este tipo de registro muestra qué servidores de nombres se utilizan para resolver el FQDN a direcciones IP. La mayoría de los proveedores de alojamiento utilizan sus propios servidores de nombres, lo que facilita su identificación.

  • TXTRegistros: Este tipo de registro suele contener claves de verificación para diferentes proveedores externos y otros aspectos de seguridad del DNS, como SPF , DMARC y DKIM , que se encargan de verificar y confirmar el origen de los correos electrónicos enviados. Si analizamos los resultados con más detalle, podemos obtener información valiosa.

Ejemplo:

Una empresa afirma que la empresa utiliza esta solución para el desarrollo de software y la colaboración. Si no conocemos la plataforma, podemos probarla gratuitamente para familiarizarnos con ella.

Google Gmail indica que se utiliza Google para la gestión del correo electrónico. Por lo tanto, también puede sugerir que podríamos acceder a carpetas o archivos abiertos de GDrive mediante un enlace.

LogMeIn es un lugar central que regula y gestiona el acceso remoto a diferentes niveles. Sin embargo, la centralización de estas operaciones es un arma de doble filo. Si se obtiene acceso como administrador a esta plataforma (por ejemplo, mediante la reutilización de contraseñas), también se tiene acceso completo a todos los sistemas e información.

Mailgun ofrece varias API de correo electrónico, relés SMTP y webhooks para gestionar correos electrónicos. Esto nos indica que debemos estar atentos a las interfaces API que podemos probar para detectar diversas vulnerabilidades, como IDOR, SSRF, POST, solicitudes PUT y muchos otros ataques.

Outlook es otro indicador para la gestión documental. Las empresas suelen usar Office 365 con OneDrive y recursos en la nube como Azure Blob y el almacenamiento de archivos. El almacenamiento de archivos de Azure puede ser muy interesante porque funciona con el protocolo SMB.

Lo último que vemos es INWX . Esta empresa parece ser un proveedor de hosting donde se pueden comprar y registrar dominios. El registro TXT con el valor "MS" se suele usar para confirmar el dominio. En la mayoría de los casos, es similar al nombre de usuario o ID utilizado para iniciar sesión en la plataforma de administración.

PreviousInfrastructura Based EnumerationNextCloud Resources

Last updated