Le pouvoir de la collecte d'informations

Bonjour, je m'appelle Florian Kunushevci. Je suis un "chercheur en sécurité" du Kosovo, âgé de 19 ans. Dans cet article, je parlerai de quelque chose de très intéressant. C’est la chose la plus importante que vous devez apprendre lorsque vous souhaitez rejoindre la famille des "chercheurs en sécurité".

La première chose que je fais personnellement lorsque je veux trouver des vulnérabilités pour une entreprise est la «collecte d’informations». Qu'est-ce que cela signifie exactement?

Prenons un exemple montrant que vous êtes un «tigre» dans une jungle et que de nombreux tigres tentent d’attaquer la proie. Certains d’entre eux ont été couronnés de succès et d’autres n’ont pas réussi à atteindre leur objectif. Les tigres qui ont réussi ont planifié la manière d’attaquer la proie différemment des autres. Ils ont donc collecté des informations et calculé le meilleur moment pour lancer l’attaque.

Dans notre façon de penser, nous devrions penser comme les Tigres, cela signifie que «notre façon de penser devrait être construite de manière à rassembler autant d'informations sur la proie afin de déclencher l'attaque». Dans notre monde, la proie est l'entreprise. ou celui que nous voulons rechercher des vulnérabilités. Et nous ne pouvons pas trouver de bugs si nous ne savons pas ce que nous examinons. Si nous apprenons simplement à copier-coller immédiatement les éléments que nous avons appris, cela signifie que vous travaillez comme la plupart des autres chercheurs en sécurité, ce qui signifie que vous devrez faire face à un duplicata ou que vous serez chanceux.

Eviter les doublons grâce à la perfection de la collecte d'informations.

Si vous changez le mode de recherche d'une technique simple ou d'une vulnérabilité que vous avez utilisée, vous pourrez trouver des vulnérabilités d'une valeur de 1 à 10k ou plus. Dépend de la gravité de la vulnérabilité et de la quantité fournie par l'entreprise.

La façon de penser ira dans des endroits où personne n’était entré auparavant et c’est une bonne probabilité de trouver des vulnérabilités et de les récompenser.

Deux choses importantes sont:

  • Plus de sous-domaines + serveurs = Meilleure probabilité de trouver des bogues.

Si nous avons par exemple eset.com qui est la société ‘ESET AntiVirus’

Ce domaine a l'adresse IP: 91.228.167.128
Nous vérifions via whois ce serveur à l'aide de: whois 91.228.167.128

Nous aurons quelques informations de base sur ESET

inetnum: 91.228.164.0–91.228.167.255
Nom Internet: SK-ESET-NET

Inetnum signifie que 91.228.164.0–167.255 appartient à netname ou à la société SK-ESET-NET et que les serveurs de cette gamme peuvent avoir le port 8080/80/443 / ou d’autres ports sur lesquels nous souhaitons effectuer une recherche. La probabilité de trouver une vulnérabilité a donc augmenté.

Par exemple, seulement 91.228.164.0 a 255 hôtes disponibles pour la recherche. Si nous calculons les 164 à 167, nous avons 1020 hôtes. Chacun de ces hôtes peut représenter un serveur ayant un groupe de sous-domaines, ce qui signifie plus de sous-domaines à analyser, sans oublier de regarder également le serveur lui-même.

Si, par exemple, nous avons une adresse IP et qu'il y a plusieurs façons de le faire, mais deux choses que j'utilise sont bing.com et https://www.yougetsignal.com/tools/web-sites-on-web-server/ et ses pas précis à 100%.

Prenons par exemple l'adresse IP 91.228.164.84 et nous l'utilisons sur bing.com en recherchant l'IP: 91.228.164.84 sur le moteur de recherche, vous trouverez des sous-domaines:
 - https://jobs.eset.com

Parfois, les serveurs peuvent avoir 3 ou 4 sous-domaines ou domaines à l'intérieur, ce qui augmente également nos chances de trouver.

Disons par exemple que vous avez une adresse IP et que Bing ne parvient pas à vous montrer le domaine de cette adresse IP, ou que, par exemple, il existe parfois une liste de sous-domaines à l'intérieur du HTTPS. Cette méthode est correcte à 100% mais fonctionne dans la plupart des cas.

Prenons: 91.228.164.76 si nous allons à l'intérieur de ce domaine, nous trouverons 403 Interdit. Si nous consultons https://91.228.164.76, le message «Erreur de confidentialité» dans Chrome ou dans Firefox «Votre connexion n’est pas sécurisée». Si nous allons dans Advance, nous trouverons un sous-domaine «Le certificat n’est valable que pour mail.sk.eset.com».

Si nous envoyons une requête ping à mail.sk.eset.com, nous obtenons 91.228.164.76. Dans certains cas, une autre liste de sous-domaines sur différents serveurs peut également être affichée, ce qui augmente également notre probabilité de trouver des bogues.

Une autre chose importante lors de la recherche est «l’imagination», c’est-à-dire créer votre propre façon de faire les choses de manière simple et efficace. En cela, vous pensez différemment des autres chercheurs qui ont déjà vérifié.

L'art du piratage ne consiste pas à apprendre de nouvelles techniques, mais à apprendre à les utiliser de manière créative. Et la créativité ne s’apprend pas, c’est en vous lorsque vous êtes né ou non.

Autres moyens de recherche:

  • https://censys.io
    https://shodan.io
    https://www.zoomeye.org/

Si, par exemple, nous prenons censys.io et que nous effectuons des recherches sur eset.com, vous trouverez une liste de sous-domaines et de serveurs que vous pouvez utiliser.

Par exemple: 38.90.226.80 vous verrez qu'il appartient à * .eset.com et nous supposons que, sur la base de ces informations, ce serveur pourrait leur appartenir.

Nom commun (CN)
* .eset.com

Bien sûr, cela n’est pas précis à 100%, mais cela vous aide à augmenter la probabilité.

Autres moyens de recherche:

  • https://urlscan.io
  • https://certdb.com
  • https://otx.alienvault.com
  • https://www.threatcrowd.org/

Si nous prenons urlscan.io et que nous recherchons eset.com, nous pourrons utiliser les informations relatives à eset.com, que nous pourrons utiliser plus tard «https://urlscan.io/domain/eset.com».

Si nous prenons CertDb, vous pouvez également voir plus de nouvelles informations sur la cible. https://certdb.com/domain/eset.com

De nombreux sous-domaines peuvent également être trouvés via https://www.threatcrowd.org/domain.php?domain=eset.com
Ou: https://otx.alienvault.com/indicator/hostname/eset.com

De plus, cela n’est pas précis à 100%, mais cela vous aide à augmenter la probabilité.

Les autres choses que j’utilise au lieu de travailler manuellement et de voir les choses de mes propres yeux sont aussi des outils que j’utilise. Voici la liste des outils que j'utilise personnellement:

J'espère que vous avez appris quelque chose de nouveau et je suis désolé si j'ai commis des erreurs techniques en cours de route. Des suggestions seraient géniales.

Le résultat du travail utilisant la même méthodologie:

Merci

Florian Kunushevci