En realidad, conozco personalmente a Patrik y definitivamente le haré un ping con respecto a su solicitud.
He publicado numerosos informes técnicos sobre adquisiciones de subdominios que incluyen la identificación de hosts vulnerables mediante comandos y bibliotecas comunes que pueden ser de su interés. El mejor punto de partida es probablemente " Una guía para la adquisición de subdominios ".
Configuración y flujo de trabajo
Si desea una configuración realmente básica, le aconsejaría utilizar una combinación de una herramienta de enumeración de subdominios para recuperar una lista de subdominios para su destino, meg
para enviar solicitudes y almacenar las respuestas en una carpeta local, y luego buscar las huellas digitales enumeradas en " ¿Puedo tomar XYZ? " (la mayoría de las herramientas relacionadas con la toma de control de subdominios dependen de este proyecto para identificar hosts vulnerables) en la carpeta donde Meg almacenó las respuestas.
Un flujo de trabajo básico que utiliza las herramientas enumeradas anteriormente se verá más o menos como sigue.
1) Enumere subdominios utilizando una herramienta como subfinder (el proceso que utilizan estas herramientas se describe detalladamente en la escritura de HackerOne -up enlazado arriba);
$ subfinder -d example.com -o output-tmp.txt
2) Asegúrese de que todos los hosts tengan el prefijo http://
para que puedan ejecutarse a través de meg
. También puede usar httprobe
, que es un proceso más lento pero que puede producir mejores resultados;
$ sed 's#^#http://#g' output-tmp.txt > output.txt
3) Ejecute meg
para obtener las páginas de índice de todos los subdominios enumerados;
$ meg -L -c 200 / output.txt responses
4) Recorra las respuestas de las huellas digitales asociadas con subdominios vulnerables.
$ grep -Hnri "There isn't a Github Pages site here." responses
Práctica
En mi opinión, la forma más sencilla de aprender sobre las adquisiciones de subdominios es apuntar un subdominio tuyo a las páginas de GitHub y seguir los pasos anteriores para reclamarlo. Esto debería darle una idea de todo el flujo de trabajo y posiblemente darle una mejor idea de las implicaciones de seguridad.
Lectura adicional
" Secuestro de DNS usando proveedores en la nube - No se requiere verificación "por Frans Rosén cubre muchos de los pasos descritos en la sección anterior. También explica en detalle cómo identifica los subdominios vulnerables y enumera algunos trucos para hacer que su flujo de trabajo sea más eficiente.