👩🏽‍🎓 💢 💧 ベラルーシのインターネットをスキャンしなかった方法 🀄️ 🌂 🤜

まえがき

この記事は、特定の国のインターネットのスキャンについて以前に公開された記事とあまり類似していません。なぜなら、私はインターネットの特定のセグメントを開いてポートをスキャンし、最も人気のある脆弱性の存在を大量にスキャンするという目標を追求していないからです。

私はむしろ少し異なる関心を持っていました-さまざまな方法を使用してBYドメインゾーン内のすべての関連サイトを特定し、Shodan、VirusTotalなどのサービスを通じて、IPおよびオープンポートを介した受動的偵察を実行し、付属資料でその他の有用な情報を収集するために、使用されている技術のスタックを決定しますサイトおよびユーザーに関するセキュリティレベルに関するいくつかの一般的な統計の形成に関する情報。

入門書とツールキット

最初の計画は簡単でした。現在の登録ドメインのリストについては地元のレジストラに問い合わせてから、すべての可用性を確認し、機能しているサイトの探索を開始してください。実際には、すべてがはるかに複雑であることが判明しました-BYゾーン（約13万ドメイン）に実際に登録されているドメイン名の公式統計ページを除き、この種の情報は自然であり、誰も提供したくありませんでした。そのような情報がない場合は、自分で収集する必要があります。

実際、ツールの点では、すべてが非常にシンプルです。オープンソースに目を向け、いつでも何かを追加し、最小限の松葉杖を仕上げることができます。最も一般的なもののうち、次のツールが使用されました。

Whatweb
カール
掘る
wafw00f
サードパーティAPI（ VirusTotal 、 Google SafeBrwosing 、 Shodan 、 Vulners ）

アクティビティの開始：出発点

はじめに、先ほど言ったように、理想的にはドメイン名が適切でしたが、どこで入手できますか？より単純なものから始める必要があります。この場合はIPアドレスが適していますが、逆引き検索ではすべてのドメインをキャッチすることは常に可能というわけではなく、ホスト名を収集するときに常に正しいドメインとは限りません。この段階で、私は再びこの種の情報を収集するための可能なシナリオについて考え始めました-私たちの予算がVPSレンタルの5ドルだったという事実が考慮され、残りは無料でなければなりません。

潜在的な情報源：

IPアドレス（ ip2locationサイト）
メールアドレスの2番目の部分によるドメイン検索（ただし、どこで入手できるのか、以下で少し調べてみましょう）
一部のレジストラ/ホスティングプロバイダーは、このような情報をサブドメインの形で提供する場合があります
サブドメインとその後のリバース（Sublist3rとAquatoneがここで役立ちます）
ブルートフォースと手動入力（長く、退屈ですが、可能ですが、このオプションは使用しませんでした）

少し先に進み、このアプローチでそれぞれ約5万の一意のドメインとサイトを収集できたと言います（すべてを処理することはできませんでした）。彼が積極的に情報を収集し続けていれば、1か月未満の作業で確実に私のコンベヤーがデータベース全体、またはそのほとんどをマスターできたでしょう。

ビジネスに取り掛かろう

以前の記事では、IPアドレスに関する情報はIP2LOCATIONサイトから取得されましたが、明らかな理由により、これらの記事に出くわすことはありませんでした（すべてのアクションがずっと早く行われたため）。確かに、私の場合、アプローチは異なっていました-私はデータベースを自分でローカルに取得せず、CSVから情報を抽出しないことを決めましたが、継続的にサイトで直接変更を監視し、後続のすべてのスクリプトが目標を取る主なベースとして-テーブルを作成しましたさまざまな形式のIPアドレス：CIDR、「from」および「to」リスト、国のマーク（念のため）、AS番号、ASの説明。

この形式は最適ではありませんが、デモと1回限りのプロモーションでは非常に満足していました。ASNのような追加情報を絶えず求めないように、自宅で追加で記録することにしました。この情報を取得するために、私はIpToASNサービスに目を向けました。IpToASNサービスには便利なAPI（制限付き）があり、実際には自分に統合するだけです。

IP解析コード

function ipList() { $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "https://lite.ip2location.com/belarus-ip-address-ranges"); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_USERAGENT,'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13'); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false); $ipList = curl_exec($ch); curl_close ($ch); preg_match_all("/(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\<\/td\>\s+\<td\>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/", $ipList, $matches); return $matches[0]; } function iprange2cidr($ipStart, $ipEnd){ if (is_string($ipStart) || is_string($ipEnd)){ $start = ip2long($ipStart); $end = ip2long($ipEnd); } else{ $start = $ipStart; $end = $ipEnd; } $result = array(); while($end >= $start){ $maxSize = 32; while ($maxSize > 0){ $mask = hexdec(iMask($maxSize - 1)); $maskBase = $start & $mask; if($maskBase != $start) break; $maxSize--; } $x = log($end - $start + 1)/log(2); $maxDiff = floor(32 - floor($x)); if($maxSize < $maxDiff){ $maxSize = $maxDiff; } $ip = long2ip($start); array_push($result, "$ip/$maxSize"); $start += pow(2, (32-$maxSize)); } return $result; } $getIpList = ipList(); foreach($getIpList as $item) { $cidr = iprange2cidr($ip[0], $ip[1]); }

IPを見つけた後、データベース全体を逆ルックアップサービスで制限なしで実行する必要があります。これはお金を除いて不可能です。

これに最適で使いやすいサービスのうち、次の2つに言及します。

VirusTotal-1つのAPIキーからの呼び出し頻度の制限
Hackertarget.com（API）-1つのIPからのヒット数の制限

制限をバイパスして、次のオプションが取得されました。

最初のケースでは、シナリオの1つは15秒のタイムアウトに耐えることであり、合計で1分間に4回の呼び出しがあり、速度に大きく影響する可能性があり、このような場合は2〜3個のキーを使用すると便利です。ユーザーエージェントをプロキシして変更します。
2番目のケースでは、公開されている情報、検証、およびその後の使用に基づいてプロキシデータベースを自動解析するためのスクリプトを作成しました（ただし、VirusTotalでも十分だったため、後でオプションを残しました）

さらに進んで、メールアドレスにスムーズに移動します。それらは有用な情報のソースにもなりますが、どこでそれらを収集するのでしょうか？解決策を見つけるのに長い時間はかかりませんでしたが、ユーザーは私たちの個人サイトのセグメントをほとんど持たず、それらのほとんどは組織です。オンラインストアディレクトリ、フォーラム、条件付きマーケットプレイスなどのプロファイルWebサイトが私たちに合っています。

たとえば、これらのサイトの1つを簡単に確認したところ、多くのユーザーが自分のパブリックプロファイルに直接電子メールを追加しているため、将来の使用に備えてこのビジネスを慎重に解析できます。

パーサーの1つ

 #!/usr/bin/env python3 import sys, threading, time, os, urllib, re, requests, pymysql from html.parser import HTMLParser from urllib import request from bs4 import BeautifulSoup # HEADERS CONFIG headers = { 'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 11.9; rv:42.0) Gecko/20200202 Firefox/41.0' } file = open('dat.html', 'w') def parseMails(uid): page = 'https://profile.onliner.by/user/'+str(uid)+'' cookie = {'onl_session': 'YOUR_SESSION_COOOKIE_HERE'} r = requests.get(page, headers = headers, cookies = cookie) data = BeautifulSoup(r.text) userinfo = data.find_all('dl', {'class': 'uprofile-info'}) find_email = [] for item in userinfo: find_email += str(item.find('a')) get_mail = ''.join(find_email) detect_email = re.compile(".+?>(.+@.+?)</a>").search(get_mail) file.write("<li>('"+detect_email.group(1)+"'),</li>") for uid in range(1, 10000): t = threading.Thread(target=parseMails, args=(uid,)) t.start() time.sleep(0.3)

各サイトの解析の詳細については説明しません。どこかで総当たりでユーザーIDを推測する方が便利な場合、どこでサイトマップを解析し、そこから企業のページに関する情報を取得し、そこからアドレスを収集する方が簡単な場合です。アドレスを収集した後、いくつかの簡単な操作を実行してドメインゾーンですぐに並べ替え、「テール」を保持して既存のデータベースから重複を除外します。

この段階で、スコープの形成により、私たちは終わり、知性に進むことができると信じています。インテリジェンスは、既に知っているように、アクティブとパッシブの2つのタイプがあります。この場合、パッシブアプローチが最も重要です。しかし、悪意のある負荷をかけずにポート80または443でサイトにアクセスするだけで、脆弱性を悪用することは非常に正当なアクションです。私たちの関心は、単一のリクエストに対するサーバーの応答です。場合によっては、2つのリクエスト（httpからhttpsへのリダイレクト）があり、まれなケースでは3つ（wwwが使用される場合）があります。

知能

ドメインなどの情報を使用して、次のデータを収集できます。

DNSレコード（NS、MX、TXT）
回答ヘッダー
使用されている技術スタックを特定する
サイトが機能するプロトコルを理解します。
直接スキャンせずに（Shodan / Censysデータベースに基づいて）開いているポートを特定してください
Shodan / Censysからの情報とVulnersデータベースの相関関係に基づいて脆弱性を特定してください
Googleセーフブラウジングマルウェアデータベースにあるか
ドメインごとに電子メールアドレスを収集し、既に見つかったものと一致し、「私はPwnedされています」で確認します。さらに、ソーシャルネットワークにリンクします。
ドメインは、場合によっては会社の顔だけでなく、その活動の製品、サービスへの登録用の電子メールアドレスなどでもあります-GitHub、Pastebin、Google Dorks（Google CSE）などのリソースでそれらに関連付けられた情報を検索できます）

いつでも先に進み、オプションのmasscanまたはnmap、zmapを利用して、ランダムな時間またはいくつかのインスタンスからでも起動してTorを介して最初に設定することができますが、他の目標があり、名前は私が直接スキャンを行わなかったことを意味します

DNSレコードを収集し、クエリとAXFRなどの構成エラーを増幅する可能性を確認します。

NSサーバーレコードを収集する例

 dig ns +short $domain | sed 's/\.$//g' | awk '{print $1}'

MXレコードコレクションの例（NSを参照、「ns」を「mx」に置き換えてください）

AXFRを確認します（ここには多くの解決策があります。ここには別の松葉杖がありますが、セキュリティではなく、出力を表示するために使用しました）

  $digNs = trim(shell_exec("dig ns +short $domain | sed 's/\.$//g' | awk '{print $1}'")); $ns = explode("\n", $digNs); foreach($ns as $target) { $axfr = trim(shell_exec("dig -t axfr $domain @$target | awk '{print $1}' | sed 's/\.$//g'")); $axfr = preg_replace("/\;/", "", $axfr); if(!empty(trim($axfr))) { $axfr = preg_replace("/\;/", "", $axfr); $res = json_encode(explode("\n", trim($axfr)));

DNS増幅を確認する

 dig +short test.openresolver.com TXT @$dns

私の場合、NSサーバーはデータベースから取得されたので、変数の最後に、実際には任意のサーバーだけを置き換えることができます。このサービスの結果の正確性に関して、そこですべてがスムーズに機能し、結果が常に有効であることを確信できませんが、結果のほとんどが本物であることを望みます。

何らかの目的で、サイトへの完全な最終URLを保持する必要がある場合、このためにcURLを使用しました。

 curl -I -L $target | awk '/Location/{print $2}'

彼自身がリダイレクト全体を実行し、最後のリダイレクトを表示します。現在のサイトのURL。私の場合、それはWhatWebなどのツールのその後の使用に非常に役立ちました。

なぜそれを使用する必要がありますか？ OS、Webサーバー、CMSサイト、一部のヘッダー、JS / HTMLライブラリ/フレームワークなどの追加モジュール、および同じアクティビティフィールドで後でフィルタリングを試みることができるサイトタイトルを決定するため。

この場合の非常に便利なオプションは、ツールの結果をXML形式でエクスポートして後続の分析を行い、後で処理する目標がある場合はデータベースにインポートすることです。

 whatweb --no-errors https://www.mywebsite.com --log-xml=results.xml

私自身は、出力の結果としてJSONを作成し、それをデータベースに入れました。

ヘッダーについて言えば、次の形式のクエリを実行することにより、通常のcURLでほぼ同じことを実行できます。

 curl -I https://www.mywebsite.com

ヘッダーで、たとえば正規表現を使用してCMSおよびWebサーバーの情報をキャッチします。

有用なものに加えて、Shodanを使用して開いているポートに関する情報を収集し、既に取得したデータを使用して、APIを使用してVulnersデータベースを確認することもできます（サービスへのリンクはヘッダーにあります）。もちろん、このシナリオでは正確性に問題があるかもしれませんが、これは手動検証による直接スキャンではなく、サードパーティのソースからのデータの単なる「ジャグリング」ですが、少なくとも何もないよりはましです。

ShodanのPHP関数

 function shodanHost($host) { $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, "https://api.shodan.io/shodan/host/".$host."?key=<YOUR_API_KEY>"); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_USERAGENT,'Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13'); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false); $shodanResponse = curl_exec($ch); curl_close ($ch); return json_decode($shodanResponse); }

このような比較分析の例＃1

例2

はい、彼らはAPIについて話し始めたので、Vulnersには制限があり、最も最適な解決策はPythonスクリプトを使用することです、PHPの場合、いくつかの小さな困難に遭遇しました（再び追加します）タイムアウトは状況を保存しました）。

最新のテストの1つ-「wafw00f」などのスクリプトで使用されるファイアウォールに関する情報を調査します。このすばらしいツールをテストしたとき、1つの興味深いことに気づきました。使用されているファイアウォールのタイプを判別できるのは必ずしも初めてではありませんでした。

wafw00fが潜在的に検出できるファイアウォールのタイプを確認するには、次のコマンドを入力できます。

 wafw00f -l

ファイアウォールのタイプを決定するために、wafw00fはサイトに標準リクエストを送信した後、サーバーのレスポンスヘッダーを分析します。この試行が十分でない場合、追加の簡単なテストリクエストを生成します。。

なぜなら統計については、実際、すべての回答は必要ありません。正規表現を使用して余分な部分をすべて削除し、ファイアウォールという名前のみを残します。

 /is\sbehind\sa\s(.+?)\n/

さて、先ほど書いたように、ドメインとサイトに関する情報に加えて、電子メールアドレスとソーシャルネットワークに関する情報もパッシブモードで更新されました。

メールドメイン固有の統計

ソーシャルネットワークのメールアドレスへのバインドを決定する例

最も簡単な方法は、Twitter（2つの方法）でアドレス検証を処理することでしたが、この点でFacebook（1つの方法）は、実際のユーザーセッションを生成するためのやや複雑なシステムのため、少し複雑になりました。

ドライ統計に移りましょう。

DNS統計

プロバイダー-サイト数

ns1.tutby.com：10899

ns2.tutby.com：10899

ns1.neolocation.com：4877

ns2.neolocation.com：4873

ns3.neolocation.com：4572

ns1.activeby.net：4231

ns2.activeby.net：4229

u1.hoster.by：3382

u2.hoster.by：3378

見つかった一意のDNS：2462

一意のMX（メール）サーバー：9175（一般的なサービスに加えて、独自のメールサービスを使用する管理者が十分な数います）

DNSゾーン転送の影響：1011

DNS増幅の影響：531

少数のCloudFlareファン：375（使用されているNSレコードに基づく）

CMS統計

CMS-数量

ワードプレス：5118

Joomla：2722

Bitrix：1757

Drupal：898

OpenCart：235

データライフ：133

Magento：32

潜在的に脆弱なWordPressインストール：2977
Joomlaの潜在的に脆弱なインストール：212
Google SafeBrowsingサービスを使用して、潜在的に危険なサイトまたは感染したサイトを特定することができました：約10,000（さまざまな時点で、誰かが修正した、明らかに壊れた、統計は完全に客観的ではありません）
HTTPおよびHTTPSについて-見つかったボリュームの半分未満のサイトが後者を使用していますが、データベースが完全ではなく、総数の40％にすぎないという事実を考慮すると、後半のほとんどのサイトがHTTPSを介して通信できる可能性は十分にあります。

ファイアウォール統計：

ファイアウォール-番号

ModSecurity：4354

IBM Webアプリのセキュリティ：126

より良いWPセキュリティ：110

CloudFlare：104

Imperva SecureSphere：45

ジュニパーWebAppセキュア：45

Webサーバーの統計

Webサーバー-番号

Nginx：31752

Apache：4042

IIS：959

Nginxの古い、潜在的に脆弱なインストール：20966

Apacheの古い、潜在的に脆弱なインストール：995

hoster.byはドメインとホスティングのリーダーであるという事実にもかかわらず、たとえば、一般にOpen Contactも際立っていましたが、真実は1つのIP上のサイトの数にあります。

IP-サイト

93.84.119.243：556

93.125.99.83：399

193.232.92.25：386

電子メールで、詳細な統計情報を取得せず、ドメインゾーンで並べ替えることに決めました。むしろ、特定のベンダーに対するユーザーの場所を確認することは興味深いものでした。

TUT.BYサービス：38282
Yandexサービスで（by | ru）：28127
Gmailサービス：33452
Facebookに接続：866
Twitterに縛られた：652
HIBPによるリークでの注目：7844
パッシブインテリジェンスにより、13,000以上のメールアドレスを識別できました

ご覧のとおり、一般的に、この構図は非常に好意的であり、特にホスティングプロバイダーの一部からのnginxの積極的な使用は喜ばれました。おそらく、これは一般的なユーザーの間で人気のあるホスティングタイプ、つまり共有ホスティングタイプによるものです。

私はそれが本当に好きではなかったという事実から-AXFRのようなエラーに気づき、古いバージョンのSSHとApacheを使用したミドルハンドのホスティングプロバイダーが十分な数あります。ここでは、もちろん、状況についてのより多くの光がアクティブなフェーズによって脱落する可能性がありますが、現時点では、私たちの法律により、これは私には不可能に思えます。私はそのような問題のために害虫のランクに参加したくありません。

あなたがそれを呼び出すことができれば、電子メールの画像は一般的にかなりバラ色です。ああ、TUT.BYプロバイダーが示されている場所-これはドメインを使用することを意味します。このサービスは、Yandexに基づいて機能します。

おわりに

結論として、私は1つのことを言うことができます-利用可能な結果であっても、あなたはウイルスからサイトをきれいにし、WAFを設定し、異なるCMSを設定/追加することに関与している専門家のために大量の仕事があることをすぐに理解できます。

まあ、真剣に、前の2つの記事のように、問題はインターネットと国のすべてのセグメントでまったく異なるレベルに存在し、攻撃的な方法などを使用せずに問題をリモートで調査する場合でも、いくつかの問題が発生することがわかりますe。公的に入手可能な情報を使用して、どの特別なスキルが不要かを収集します。

ベラルーシのインターネットをスキャンしなかった方法