Menguasai Reconnaissance: Metode lengkap untuk mengumpulkan informasi

Reconnaissance adalah langkah pertama yang di lakukan oleh pentester untuk mendapatkan sebuah kerentanan di suatu websites, mengumpulkan informasi informasi sedalam mungkin tentang websites target adalah salah satu tugas seorang pentester, seperti mengumpulkan subdomain, mencari directory directory yang tersembunyi, mengumpulkan parameter, url dan lain lain, singkatnya recon adalah langkah awal untuk mencari kerentanan, jika kita tidak mengumpulkan informasi informasi yang cukup akan mempersulit kita untuk mencari kerentanan, sekarang saya akan memberi tau kalian metode yang saya gunakan dalam melakukan recon

Mengumpulkan Subdomain Menggunakan Amass dan subfinderMemeriksa subdomain yang hidup menggunakan LUcekMenggunakan Nuclei untuk mengetahui technologies yang digunakan oleh subdomain subdomain yang hidupMenggunakan gowitness untuk mendapatkan screenshot dari seluruh subdomain yang hidupMenggunakan waybackurls untuk mengextract url url yang ada pada subdomainMenggunakan hasil waybackurls untuk mendapatkan js files yang tersimpan di websitesMenggunakan shodan untuk mendapatkan IP Address yang bersangkutan dengan websites target

Untuk memperluas domain target, pertama kita akan mengumpulkan subdomain menggunakan amass dan subfinder

Subfinder

subfinder -d tesla.com

Amass

Amass enum -d tesla.com

Kedua command ini akan mengumpulkan subdomain pada domain target, dan meluaskan scope kalian dalam melakukan pentesting

Setelah mengumpulkan daftar subdomain, langkah berikutnya adalah memverifikasi mana yang aktif dan dapat diakses. Untuk itu, kita menggunakan Lucek dan HTTPX.

Lucek

cat subdomains.txt | lucek -ou alive_subs.txt

Perintah ini memeriksa daftar subdomain yang diberikan (subdomains.txt) dan menyimpan subdomain yang aktif ke file live_subdomains.txt.

HTTPX

httpx -l subdomains.txt -o live_subdomains.txt

HTTPX adalah alat lain yang dapat digunakan untuk memeriksa ketersediaan subdomain dengan cepat. Hasil dari perintah ini akan disimpan dalam live_subdomains.txt, yang berisi subdomain yang aktif dan dapat diakses.

3. Menggunakan Nuclei untuk Mengetahui Teknologi yang Digunakan oleh Subdomain

Dengan subdomain yang sudah dikonfirmasi aktif, langkah selanjutnya adalah menentukan teknologi yang digunakan oleh setiap subdomain. Nuclei adalah alat yang sangat berguna untuk tujuan ini.

Nuclei

nuclei -l live_subdomains.txt -t /home/kali/.local/nuclei-templates/http/technologies

Perintah ini menjalankan Nuclei pada daftar subdomain aktif menggunakan template technologies/ untuk mendeteksi teknologi yang digunakan.

4. Menggunakan Gowitness untuk Mendapatkan Screenshot dari Seluruh Subdomain yang Hidup

Untuk visualisasi dan verifikasi lebih lanjut, Gowitness dapat digunakan untuk mengambil screenshot dari setiap subdomain aktif.

Gowitness

gowitness file -f live_subdomains.txt --timeout 10

Perintah ini akan mengambil screenshot dari semua subdomain dalam file live_subdomains.txt, dengan waktu timeout yang ditentukan untuk setiap permintaan.

5. Menggunakan Waybackurls untuk Mengekstrak URL yang Ada pada Subdomain

Waybackurls adalah alat untuk mengambil URL-URL yang pernah diindeks oleh Wayback Machine. Ini berguna untuk menemukan URL yang mungkin tidak lagi tersedia di situs web target tetapi masih bisa diakses melalui arsip.

Waybackurls

cat live_subdomains.txt | waybackurls > urls.txt

Perintah ini akan menyimpan semua URL yang ditemukan dalam file urls.txt.

6. Menggunakan Hasil Waybackurls untuk Mendapatkan JS Files yang Tersimpan di Website

Setelah mengumpulkan URL dengan Waybackurls, Anda bisa mencari file JavaScript yang mungkin menyimpan informasi penting.

Grep untuk JS Files

grep '.js' urls.txt > js_files.txt

Perintah ini mencari dan menyimpan semua URL yang mengarah ke file .js dalam file js_files.txt.

7. Menggunakan Shodan untuk Mendapatkan IP Address yang Bersangkutan dengan Website Target

Terakhir, untuk menemukan informasi tentang IP address terkait dengan domain target, Shodan adalah alat yang sangat berguna.

Shodan

shodan search ssl.cert.subject.CN:"tesla.com" 200 —fields ip_str

Command ini akan mencari tau seluruh ip address yang terikat dengan domain tesla.com

Setelah melakukan recon yang mendalam pada suatu perusahaan/individu saatnya untuk mencari kerentanan, misal saya sudah menemukan subdomain subdomain pada domain target, selanjutnya saya akan ngecrawl seluruh parameter parameter yang ada pada subdomain tersebut, dan mencoba untuk menemukan kerentanan injeksi, seperti XSS, SQLI atau mencoba menemukan informasi disclosure pada subdomain yang saya temukan seperti mencari directory directory yang tidak seharusnya di akses oleh publik atau mencoba kerentanan Open Redirect, SSRF, CSRF, intinya jika ingin mendapatkan kerentanan kalian harus melakukan test kepada seluruh functionality yang ada pada websites target kalian