TryHackMe: Sublist3r y el reconocimiento de un sitio web

 

RECONOCIENDO UN SITIO WEB

El reconocimiento, el primer paso de todo pentester, es posiblemente el paso más importante. Descubrir toda la superficie de ataque de tu objetivo es crítico, especialmente si estás realizando un phishing y echas de menos un portal que puedas utilizar para iniciar sesión. Sublist3r es un fantástico script de python que nos permite realizar reconocimientos rápidos y sencillos de nuestro objetivo, encontrando así los distintos subdominios asociados a los sitios web/dominios a nuestro alcance.

¡Aviso! Existe una alta probabilidad de que a tu ISP no le gusten las actividades de reconocimiento y tampoco a la mayoría de motores de búsqueda. Por eso mismo, he creado un documento con la salida completa de la terminal para una ejecución de Sublist3r, así podrás usarlo en la tarea correspondiente. Puedes seguir ejecutando el programa y es probable que no tengas problemas. Sin embargo, es probable que se cree un CAPTCHA temporal en tus búsquedas de Google durante la próxima hora si ejecutas este script.

También puedes utilizar este sitio web si no quieres correr Sublist3r: https://dnsdumpster.com/.

Puedes encontrar Sublist3r aquí. Lo instalaremos en el siguiente apartado.

INSTALACIÓN

Instalaremos Sublist3r en el directorio opt, el directorio estándar para la instalación de paquetes opcionales en Linux.

Para ello deberás tener instalado Python 3.4.x (o superior) o Python 2.7.x. Para los comandos de esta sala utilizaremos Python 3.

Lo primero es cambiar a nuestro directorio opt con el comando cd /opt.

Después, clonaremos el repositorio de Sublist3r dentro de opt con git clone https://github.com/aboul3la/Sublist3r.git.

Ahora movámonos al directorio de Sublis3r que acabamos de crear: cd /opt/Sublist3r.

Finalmente, para acabar con este apartado, instalaremos las dependencias para correr Sublist3r sin problemas: pip3 install -r requirements.txt.

LOS MODIFICADORES DE SUBLIST3R

Sublist3r tiene algunos modificadores que podemos utilizar para llevar a cabo distintos procesos, desde ajustar el dominio objetivo a cambiar el motor de búsqueda que utilizaremos. Puedes acceder a ellos con tan solo ejecutar Sublist3r con el modificador -h.

Pregunta: ¿Qué modificador usaremos para indicar cuál será el dominio al que le haremos el reconocimiento?

Respuesta: -d

Pregunta: ¿Y para indicar el motor de búsqueda seleccionado? (Google, Bing, etc)

Respuesta: -e

Pregunta: Guardar nuestra salida es importante para no tener que volver a realizar un reconocimiento, así podremos volver sobre nuestros pasos y revisarla tiempo después. ¿Qué modificador usamos para definir un archivo de salida?

Respuesta: -o

Pregunta: En ocasiones, Sublist3r puede tomarse algo de tiempo en su ejecución, pero podemos acelerarlo mediante el uso de hilos. ¿Qué modificador nos permite indicar el número de hilos que queremos usar?

Respuesta: -t

Pregunta: Por último, pero no menos importante, podemos utilizar la fuerza bruta contra el dominio que hemos elegido. No siempre es lo más útil, pero a veces así se puede encontrar un dominio clave que hubiéramos pasado por alto. ¿Qué modificador permite los ataques de fuerza bruta?

Respuesta: -b

A ESCANEAR SE HA DICHO

¡Es momento de escanear, lancemos Sublist3r contra un dominio de empresa objetivo y aprendamos acerca de los dominios habituales! También puedes hacerlo mediante la herramienta de reconocimiento de https://dnsdumpster.com/ o puedes descargar mis resultados de Sublist3r en el botón azul de Download Task Files.

Vamos a ejecutar Sublist3r contra el servidor de nbc.com, una empresa de noticias estadounidense bastante grande. Para ello, utilizaremos el siguiente comando: python3 sublist3r.py -d nbc.com -o sub-output-nbc.txt.

Pregunta: Una vez completado el escaneo, abre el archivo resultante y échale un vistazo. Los dominios de email son casi siempre interesantes y normalmente tienen un portal de correo electrónico (habitualmente Outlook) alojado en ellos. ¿Qué subdominio parece ser el portal de correo?

Respuesta: mail

Pregunta: ¡Los paneles de control administrativo no deberían estar expuestos en Internet! ¿Qué subdominio expuesto parece serlo?

Respuesta: admin

Pregunta: Los blogs de empresa a veces pueden revelar información acerca de las actividades internas de la misma. ¿Qué subdominio tiene un blog de la empresa en él?

Respuesta: blog

Pregunta: Los sitios de desarrollo a menudo son vulnerables a la divulgación de información o a ataques en toda regla. En este caso, dos sitios de desarrollo están expuestos pero, ¿cuál de ellos está directamente asociado con el desarrollo web?

Respuesta: dev-www

Pregunta: Los portales de ayuda a clientes y empleados pueden revelar a menudo la nomenclatura interna y otros tipos de información potencialmente sensible. ¿Qué registro dns tiene pinta de ser un portal de ayuda?

Respuesta: help

Pregunta: El inicio de sesión único es una característica comúnmente utilizada en dominios corporativos. ¿Qué registro dns está directamente asociado con esta característica? Incluye ambas partes del subdominio separadas por un punto.

Respuesta: sslogin.stg

Pregunta: Para terminar, algo de diversión. NBC produjo una popular sitcom sobre un típico entorno de oficina. ¿Qué registro dns parece estar asociado a esta serie?

Respuesta: office-words