🏴‍☠️
Cheat Sheet
  • Pentesting Infraestructura
    • Information Gathering
  • Recopilación de información
  • Escaneo
  • Enumeración
  • Evaluación de vulnerabilidad
  • Explotación
    • Explotación de Entornos Windows
    • Explotación de Entornos Linux
    • Conexión remota
  • Post Explotación
    • Escalación de Privilegios en entornos Windows
    • Persistencia en entornos Windows
    • Escalación de Privilegios en entornos Linux
    • Pivoting
  • Misceláneos
  • Pentesting Web
    • Information Gathering
      • Passive Information Gathering
      • Active Information Gathering
    • Vulnerabilidades
      • Cross-Site Scripting (XSS)
        • Reflected XSS
        • Stored XSS
      • SQL Injection (SQLi)
        • Cheat Sheet SQLi
        • Atacando la vulnerabilidad SQLi
        • SQLMap
Powered by GitBook
On this page
  • WHOIS
  • Registros DNS
  • Enumeración pasiva de subdominios
  • VirusTotal
  • Certificados
  • Google Dorks
  • Automatización de enumeración pasiva de subdominios
  • Identificación pasiva de infraestructura
  • Netcraft
  • Wayback Machine
  1. Pentesting Web
  2. Information Gathering

Passive Information Gathering

PreviousInformation GatheringNextActive Information Gathering

Last updated 2 years ago

WHOIS

es un protocolo que utiliza el puerto 43 TCP para realizar consultas a una base de datos que contiene información de dominios, IP o sistemas autónomos.

Podemos consumir este servicio mediante múltiples sitios web, como :

En caso de querer usar whois en sistemas Windows, este se debe descargar desde .

Para ejecutar consultas desde sistemas Linux, podemos usar los siguientes comandos:

export TARGET="target.com"
whois $TARGET

En Windows, el comando sería como el siguiente:

whois.exe target.co

Registros DNS

# Records del tipo A para un dominio
export TARGET="target.com"
nslookup $TARGET
dig $TARGET @1.1.1.1
# Records del tipo A para un subdominio
nslookup -query=A $TARGET
dig a $TARGET @1.1.1.1
nslookup -query=PTR 1.1.1.1
dig -x 1.1.1.1 @1.1.1.1
export TARGET="target.com"
nslookup -query=ANY $TARGET
dig any $TARGET @8.8.8.8
export TARGET="target.com"
nslookup -query=TXT $TARGET
dig txt $TARGET @1.1.1.1
export TARGET="target.com"
nslookup -query=MX $TARGET
dig mx $TARGET @1.1.1.1

Enumeración pasiva de subdominios

Obtener información de los subdominios a través de servicios de terceros.

VirusTotal

Podemos obtener información relacionada con un dominio cuando lo analizamos. En la pestaña RELATIONS podemos obtener registros DNS:

Certificados

Es posible obtener subdominios mediante los certificados SSL/TLS. Esto se puede mediante el Certificate Transparency (CT).

Esto lo podemos consumir desde la CLI mediante un cURL:

export TARGET="facebook.com"
curl -s "https://crt.sh/?q=${TARGET}&output=json" | jq -r '.[] | "\(.name_value)\n\(.common_name)"' | sort -u > "${TARGET}_crt.sh.txt"
  • curl -s realiza un cURL especificando que muestre lo menos posible en el output

  • https://crt.sh/?q=${TARGET}&output=json se indica que buscaremos el dominio definido en la variable TARGET en un formato json

  • jq -r '.[]' "\(.name_value)\n\(.common_name)"' procesar la salida en formato json e imprime el valor name value y common name

  • sort -u ordenar la salida de forma alfabética y remueve los duplicados

En caso de usar HTTPS, la comunicación se debe realizar mediante OpenSSL:

export TARGET="facebook.com"
export PORT="443"
openssl s_client -ign_eof 2>/dev/null <<<$'HEAD / HTTP/1.0\r\n\r' -connect "${TARGET}:${PORT}" | openssl x509 -noout -text -in - | grep 'DNS' | sed -e 's|DNS:|\n|g' -e 's|^\*.*||g' | tr -d ',' | sort -u

Google Dorks

site:google.com -inurl:www
site:google.com -site:www.google.com
  • Para no incluir un subdominio, podemos usar el operador -

Automatización de enumeración pasiva de subdominios

Esta herramienta recolecta:

  • Emails

  • Nombres

  • Subdominios

  • Direcciones IP

  • URL

Utiliza múltiples origenes para recolectar la información:

  • [Threatmine]: minería de datos para threat intelligence

  • Trello: busca en Trello boards (utiliza google)

  • vhost: buscar virtual hosts

Lo primero es crear un archivo source.txt para agrupar todos estos orígenes:

baidu
bufferoverun
crtsh
hackertarget
otx
projecdiscovery
rapiddns
sublist3r
threatcrowd
trello
urlscan
vhost
virustotal
zoomeye

Ejecutamos theHarvester usando el siguiente comando:

export TARGET="facebook.com"
cat sources.txt | while read source; do theHarvester -d "${TARGET}" -b $source -f "${source}_${TARGET}";done

Para extraer todos los subdominios, se utiliza el siguiente comando:

cat *.json | jq -r '.hosts[]' 2>/dev/null | cut -d':' -f 1 | sort -u > "${TARGET}_theHarvester.txt"

Identificación pasiva de infraestructura

Netcraft

Wayback Machine

go install github.com/tomnomnom/waybackurls@latest

Para poder usarla, podemos usar los siguientes comandos:

waybackurls -dates https://facebook.com > waybackurls.txt
cat domains.txt | waybackurls > urls

Para mayor información, revisar el siguiente .

Esto se puede automatizar utilizando múltiples herramientas, como .

: buscador Baidu

Bufferoverun: usa datos desde el

: búsqueda de certificados

: escáner de vulnerabilidades online y network intelligence para ayudar a organizaciones

Otx:

: herramienta de consulta de DNS, que facilita la consulta de subdominios o sitios que utilizan la misma IP

: herramienta rápida de enumeración de subdominios

: herramienta open source de threat intelligence

: un sandbox para la web que es un escáner de URL y sitios web

: buscador de dominio

: shodan versión chino

Con podemos obtener información del servidor sin tener que interactuar con él directamente:

posee la opción , con la cual, podemos encontrar versiones anteriores de un sitio web:

Podemos usar Wayback Machine mediante la herramienta . Para poder instalar esta herramienta, podemos usar el siguiente comando:

enlace
URL
URL
theHarvester
Baidu
Rapid7's Project Sonar
Crtsh
Hackertarget
AlientVault Open Threat Exchange
Rapiddns
Sublist3r
Threatcrowd
Urlscan
VirusTotal
Zoomeye
Netcraft
Internet Archive
Wayback Machine
waybackurls
WHOIS
whois.domaintools.com
Sysinternals WHOIS
WHOIS web site
VirusTotal
Censys
Crtsh
Netcraft
Archive - Wayback Machine