gathering.md

collecter

On ne touche pas à la cible!

leakable people

• Connaître les dev, les admins, les webmestres, les directeurs, les cadres, les employés, les prestataires
• Interroger
  • les moteurs de recherche
  • les réseaux sociaux
• Ingénierie sociale (social engineering)
  • Kevin Mitnick
    • L'art de la supercherie
    • Cybertraque

Note:

• ingénierue social
  • hors scope du cours
• kevin mitnik
  • a accédé illégalement aux bases de données des clients de Pacific Bell
  • a pénétré illégalement les systèmes de Fujitsu, Motorola, Nokia, Sun Microsystems et aussi du Pentagone
  • est le premier hacker à figurer dans la liste des dix criminels les plus recherchés par le FBI aux États-Unis finalement arrêté en 1995
    • reconverti en expert sécurité

IP

• REGIONAL INTERNET REGISTRIES

  • AFRINIC Africa, portions of the Indian Ocean
  • APNIC Portions of Asia, portions of Oceania
  • LACNIC Latin America, portions of the Caribbean
  • ARIN Canada, Caribbean and North Atlantic islands, and USA
  • RIPE CC Europe, the Middle East, Central Asia
    • IP de l'UCA

Noms de domaines

• whois des gestionnaires de premier niveau
  • ICANN
    • contrôle des tld (top-level domains)
    • generic top-level domains (gTLD) depuis 2011
  • AFNIC
    • .fr ou .re ainsi que .tf, .yt, .pm et .wf
• whois de registar
  • Gandi.net
• ligne de commande whois

Note:

• donne des points d'entrées
  • personnes
  • infra
    • hébergement de dédié
    • CERT

DNS

• nslookup
• dig

Note:

• on peut voir les requêtes dans wireshark
• converti les NDD en IP
  • plusieurs NND sur une IP (multihosting)
    • passer par une autre appli ou une autre interface
      • point d'entrée
    • pas de possibilité de récupérer tous les enregistrements d'un nom de domaine
      • ce sreait bien ca donne même les enregistrements inconnus des moteurs de recherche
        • internes purs, cachés, etc ...
  • sauf si on passe par le transfert de zone
    • c'est un défaut de configuration du serveur autoritaire (y en a pas des masses sur Internet)
      • le transfert est autorisé sur les serveurs dns secondaire connu
    • de toute facon le transfert dns ne fonctionne pas avec un dns secondaire

DNS leak

augmenter la surface d'attaque

• Fierce Domaine Scanner
  • champs SOA : permier serveur autoritaire
    • adresse mail de celui qui gère les dns
    • tente un transfert de domaine
  • teste les sous domaines en aveugle
  • à partir d'une ip
    • trouve les domaines
  • en perl

DNS leak

• DNSrecon
  • même idée
  • en Python
• IP search using Bing/Azure APIs
  • basé sur les moteurs de recherche
  • limité à l'indexation de bing

Note:

• on interroge les DNS et les moteurs de recherche
  • toujours pas la cible
• le leak du virtual hosting ne me paraît pas contournable

Google-Fu / Google Dork

Google Hacking Database (GHDB)

""	motif exact	site:	dans le ou les noms des domaines spécifiés
-	élimine des résultats	inurl:	dans l'url
~	approxime	intitle:	dans la balise title
*	caractère joker	ext:	extension de fichier

• link: pages mentionant l'url

Google Hacking for Penetration Testers

Note:

• duckduckgo : requete en post / pas d'en tete referer / safe
• cache gogle / way bak machine : info dans le temps et discrète par rapport à la cible
• Google Hacking Data Base GHDB
  • rech par techno
  • exploit DB CVE compliant ? :D
  • intiltle:"index of" "last modified"
• chaque moteur a ses commandes

Veille Offensive

• Forum / News group / Mailing list
• google groups
• stackoverflow
• github
• Google alerts

à automatiser

Veille Offensive

• technos de prédilection
• style de code
• extraits
• secrets?

Shodan

• découverte de l'internet ...
  • en mode combinatoire

    /[0-255]\.[0-255]\.[0-255]\.[0-255]:\d*/

  • en analysant les bannières de service
• prise en main rapide
  • Shodan for penetration testers
  • Les dernières requêtes pour l'inspiration

Shodan

• Interfaces d'admin

  • sans protection
  • comptes par défaut
    • parfois non modifiables (contrat de maintenance)

• Services vulnérables

  • Heartbleed

Hack Like a Pro: How to Find Vulnerable Targets Using Shodan—The World's Most Dangerous Search Engine

Note:

• barrage hydraulique
• cam de surveillance en tout genre
• avec les objetcs connectés
  • le meilleur reste à venir
• la recherche est juridiquement
  • cliquer sur un lien c'est plus flou
    • silencieux envers la cible

laramies/theHarvester

• Domaine en entrée pour en sortie
  • des mails
  • des sous domaines
  • des usernames valides
  • clé GPG
• Utilise Shodan, Google, Bing, Yahoo, twitter, linkedIn, baidu

Maltego

• Opensource
• Version payante
  • limitation à 12 résultats, compte à réactiver
• Hébergé sur des seveurs non maîtrisés
  • le traffic n'est pas sécurisé
  • pas de self hosting

Maltego

• People
• Groups of people (social networks)
• Companies
• Organizations
• Web sites
• Internet infrastructure such as:
  • Domains
  • DNS names
  • IP addresses
• Documents and files

Maltego

A ce stade on ne s'est toujours pas connecté à la cible

• Si on veut préserver son anonymat
  • Tor
  • vpn
  • proxy
  • cachedview
  • wayback machine
  • google translate

Se protéger

• Essayer des outils de collectes régulièrement sur son périmètre
  • interroger les moteurs de recherche
• Sensibiliser ses utilisateurs
• Faire une analyse de risque
  • mise en place d'une graduation de la confidentialité de l'information
    • publique
    • secret

Se protéger

• Configuration correcte d'apache
  • Directory listing
  • Home page per user
• Configuration correcte des DNS
• Caché n'est pas protégé
  • renommer le dossier wp-admin
    • ne suffit probablement pas