前書き#
この文書は、有名なバウンティハンターである @GodfatherOrwa が NahamCon2023 で行ったプレゼンテーションのメモです。
本文#
- *. target.* に関連する情報を検索するには、まずターゲット組織の名前を特定する必要があります。ロックアイコンをクリックして、セキュリティのリンクに移動し、証明書が有効であることを確認します。
2. ターゲットに関連する情報を検索するには、次のようなステートメントを使用します。
ssl:"組織名"
3. ターゲットが特定のTLDである場合、例えば*. target.comの場合、次の検索を使用します:Ssl.cert.subject.CN:"target.com"
4. 大きなターゲットドメインを検索すると、膨大な結果が得られます。"無効なURL"などの不要な結果をフィルタリングするには、次の検索を使用します:Ssl.cert.subject.CN:"target.com" -http.title:"invalid URL"
5. "Facet Analysis"で、ターゲットに関連するすべてのhttpタイトルやその他の情報を確認できます。http.titleフィルタリングを使用して、タイトルに"302 Found"が含まれるページを見つけ、それらのIPのみを表示したい場合は、次の検索を使用します。Ssl.cert.subject.CN:"target.com" http.title:"302 Found"
6. 時にはドメインにアクセスできない場合でも、対応するIPをShodanで見つけることができます。その場合は、Google、Bing、URLScan、Web Archiveなどでそのドメインを検索してください。 7. ターゲットドメインの大量のキャッシュデータがある場合は、特定のディレクトリにアクセスできるか手動で確認してください。アクセスしたページで遭遇したエラータイプを把握し、使用されているWebサーバーを推測することができます。その後、コンテンツの発見(ディレクトリ探索など)を行うことができます。-
また、検索に 302、200、403 などのステータスコードを使用して、それに対応するページを検索することもできます。403 の付いたページには多くの発見があるかもしれません。
-
時には、ドメインではなくページの IP にアクセスすることで WAF を回避することができます。WAF のない IP を入手したら、適切なファジングテストを行うことができます。
-
Windows アプリケーション(ターゲット)がある場合(例:IIS Web Server Page)、より良い結果を得るためにそのドメインで Bing でさらに検索してください。