Как вы уже догадались из названия, начальный этап перед любым взломом это сбор информации о цели (рекогницировка, как говорят на курсах CEH). Техники описанные ниже, позволят собрать первоначальные данные о цели. Этих данных уже хватит, чтобы понять с чем придется работать (и стоит ли вообще работать... может лучше потроллить школоту в вк, да выпить чаю).
Пассивный сбор информации:
Пассивный сбор информации.
1. Узнаем IP. Тут все относительно просто. Запускаем консольку (Win+R, печатаем cmd, жмем Enter) и пишем всем знакомое:
У этого сервиса есть один минус - работает он только с доменами .ru, .su и .рф. Для буржуйских сайтов существует сервис http://www.domaintools.com/research/whois-history/, но он к сожалению платный. А для триала нужен картон...
3. Проверяем dns-записи. Существует большое количество самых разных видов DNS-записей (A, MX, NS, CNAME, SOA, SRV, PTR, RP, HINFO). Нам нужно узнать поддомены сайта - увеличить количество целей для атаки, и следовательно увеличить шансы взлома.
Чтобы узнать поддомены, можно воспользоваться запросом в гугл вида:
site:*.target.com
Все ссылки в выдаче будут на вести поддомены, не закрытые от индексации.
Но, чтобы получить все dns-записи, мы спросим все что нам надо у DNS-серверов. Есть такая штука, под названием передача зоны DNS (AXRF). Нужно это для того, чтобы DNS сервера поддерживали в актуальном состоянии свои базы (если вам нужны детали - википедия вас ждет с распростертыми объятьями). Т.е. отправили AXRF-запрос, получили все DNS-записи. В нормальном режиме это полезная штука, но когда DNS-сервер отвечает всем подряд без разбора, это уже несекьюрно.
Я не в курсе, что касается windows, но на *nix команда выглядит так:
dig -t AXFR target.com @ns.target.com
Разумеется есть и онлайн-сервисы:
В случае успеха, мы получаем все DNS-записи:
Разумеется, это не всегда получится (не все dns-сервера отдают инфу кому попало), да и не у всех сайтов вообще есть поддомены. Если не получилось узнать с помощью AXRF, стоит воспользоваться брутфорсером поддоменов.
https://code.google.com/p/dns-discovery/
Аналогов не нашел, но при желании можно самому накодить подобный скрипт.
4. Сканируем порты. Получив большой список поддоменов, IP, мы натравливаем сканер портов, например nmap:
Например тут видно, что хостер - webhost1.ru. Для получения тех же результатов можно воспользоваться одним из сервисов:
5.9. Traceroute. Воспользуемся штатной утилитой traceroute (в винде - tracert).
Благодаря трассировке, мы узнаем не только хостера, но и дата-центр (в данном случае это hetzner.de) Ежели лень наша не знает границ, мы опять таки, воспользуемся онлайн-сервисами:
5.10. SMTP. Делаем коннект на 25 порт. Если там висит почтовый сервис, он нам сходу выдаст имя хоста (способ похож на предыдущие 2 - определяем хостинг по имени хоста).
Набираем:
telnet
o firststeps.ru 25
Видим:
Но, как и всегда, мы можем не напрягать свой мозг и использовать сервисы:
5.11. Спрашиваем у владельца. Это скорее уже активный сбор информации, но все же - можно просто спросить у владельца, что за хостинг он использует.
Проделав вышеописанные операции мы с вероятностью в 90% определим хостинг сайта. Исключение составят те случаи, когда IP сайта скрыт сервисами типа cloudfl
Пассивный сбор информации:
- Узнаем IP
- Whois
- DNS
- Сканируем порты
- Хостинг
- Reverse-IP
- SEO-параметры
- Разработчики
- Контакты
- Сотрудники
- Вакансии
- Конкурентная разведка
- Веб-архив
- Поисковые системы
- Блек-листы
Пассивный сбор информации.
1. Узнаем IP. Тут все относительно просто. Запускаем консольку (Win+R, печатаем cmd, жмем Enter) и пишем всем знакомое:
У этого сервиса есть один минус - работает он только с доменами .ru, .su и .рф. Для буржуйских сайтов существует сервис http://www.domaintools.com/research/whois-history/, но он к сожалению платный. А для триала нужен картон...
3. Проверяем dns-записи. Существует большое количество самых разных видов DNS-записей (A, MX, NS, CNAME, SOA, SRV, PTR, RP, HINFO). Нам нужно узнать поддомены сайта - увеличить количество целей для атаки, и следовательно увеличить шансы взлома.
Чтобы узнать поддомены, можно воспользоваться запросом в гугл вида:
site:*.target.com
Все ссылки в выдаче будут на вести поддомены, не закрытые от индексации.
Но, чтобы получить все dns-записи, мы спросим все что нам надо у DNS-серверов. Есть такая штука, под названием передача зоны DNS (AXRF). Нужно это для того, чтобы DNS сервера поддерживали в актуальном состоянии свои базы (если вам нужны детали - википедия вас ждет с распростертыми объятьями). Т.е. отправили AXRF-запрос, получили все DNS-записи. В нормальном режиме это полезная штука, но когда DNS-сервер отвечает всем подряд без разбора, это уже несекьюрно.
Я не в курсе, что касается windows, но на *nix команда выглядит так:
dig -t AXFR target.com @ns.target.com
Разумеется есть и онлайн-сервисы:
- http://sergeybelove.ru/tools/axfr-test/?domain=
- https://tools.digitalpoint.com/zone-transfer?domain=
- http://checkdnspropagation.com/axfr/
- https://www.ultratools.com/tools/zoneFileDump
- http://hackertarget.com/zone-transfer/
В случае успеха, мы получаем все DNS-записи:
Разумеется, это не всегда получится (не все dns-сервера отдают инфу кому попало), да и не у всех сайтов вообще есть поддомены. Если не получилось узнать с помощью AXRF, стоит воспользоваться брутфорсером поддоменов.
https://code.google.com/p/dns-discovery/
Аналогов не нашел, но при желании можно самому накодить подобный скрипт.
4. Сканируем порты. Получив большой список поддоменов, IP, мы натравливаем сканер портов, например nmap:
Например тут видно, что хостер - webhost1.ru. Для получения тех же результатов можно воспользоваться одним из сервисов:
- http://remote.12dt.com/lookup.php
- http://www.dnsqueries.com/en/reverse_lookup.php
- http://mxtoolbox.com/ReverseLookup.aspx
- http://www.dnswatch.info/
- http://www.reverse-dns.org/
- http://rdnslookup.com/
- http://www.lookupserver.com/
5.9. Traceroute. Воспользуемся штатной утилитой traceroute (в винде - tracert).
Благодаря трассировке, мы узнаем не только хостера, но и дата-центр (в данном случае это hetzner.de) Ежели лень наша не знает границ, мы опять таки, воспользуемся онлайн-сервисами:
- http://traceroute.monitis.com/
- http://www.ip-ping.ru/tracert/
- http://russianproxy.ru/traceroute
- http://centralops.net/co/
- http://traceroute.nmonitoring.com/
- http://www.tracert.org/traceroute/
- http://www.subnetonline.com/pages/network-tools/online-traceroute.php
5.10. SMTP. Делаем коннект на 25 порт. Если там висит почтовый сервис, он нам сходу выдаст имя хоста (способ похож на предыдущие 2 - определяем хостинг по имени хоста).
Набираем:
telnet
o firststeps.ru 25
Видим:
Но, как и всегда, мы можем не напрягать свой мозг и использовать сервисы:
5.11. Спрашиваем у владельца. Это скорее уже активный сбор информации, но все же - можно просто спросить у владельца, что за хостинг он использует.
Проделав вышеописанные операции мы с вероятностью в 90% определим хостинг сайта. Исключение составят те случаи, когда IP сайта скрыт сервисами типа cloudfl