En esta etapa se intenta encontrar la mayor cantidad de activos de la organizacion, para esto utilizaremos herramientas de las que ya hablaremos y que es ideal correr en algun VPS como digital ocean, amazon, etc. y mantener el escaneo en el VPS con el comando screen aunque nos desconectemos de la maquina.
workflow de bug bounty recon
Vamos al grano, en resumidas cuentas, lo primero hacer enumeración de subdominios, luego verificar subdominios vivos con httprobe, httpx, etc. ahora pasamos a wayback machine, con la herramienta waybackurls ver url que estuvieron activos.
luego enumerar parametros, con paramaspider u otra herramienta parecida, seguimos con descubrimiento de directorios y
subdirectorios y luego links js ocultos con subjs, linkfinder, new-zile, etc. Esta es la etapa completa de un buena etapa de reconocimiento para descubrir los posibles activos vulnerables.
En esta etapa de reconocimiento es posible encontrar vulnerabilidades tales como api_tokens, credenciales, authorization headers, logins, directorios, subdominios, endpoints, archivos de configuracion, y reportar incluso algunos CVE o information disclosure. etc.
Recon bug bounty
Enumerar subdominios
primero reconocer subdominios, hacerlo con varias herramientas y luego unir todo en un archivo y eliminar los duplicados con el comando sort -u
herramientas para este proposito son sublister, assetfinder, amass, findomain, subfinder, etc.
assetfinder:
./assetfinder –subs-only target.com | tee -a reconTarget.txt
nota: el comando tee -a es para ir agregando los resultados sin borrar lo anterior que este en el archivo, ya que en el archivo podemos tener mas subdominios encontrados por otras herramientas.
Con este tendremos muchos subdominios encontrados por la herramienta pero no todos estan activos, para saber lo que estan activos y los que no estan activos usamos httpx, que es una herramienta mejor que httprobe.
cat reconTarget.txt | ./httpx -verbose -title -status-code -content-length -ports 80,81,443 -o salida_working.txt
Con el parámetro -o nos guarda los resultado de los activos en salida_working.txt
Otra herramienta que saca fotos y vemos si estan funcioando los activos es aquatone
cat hosts.txt | aquatone -ports large
Tenemos el modo small, medium, large y xlarge, y va probando los puertos que estan abiertos
small: 80,443
medium:80, 443, 8000, 8080, 8443
Para enumerar subdirectorios
Tenemos un abanico de herramientas para esto como gobuster, dirb, dirsearch, dirbuster, etc. Recuerda que tambien puedes crear tu propia herramienta.
Para usar el comando dirb
dirb ejemplo.com | tee -a archivorecon.txt
awd ‘{print $2}’ ejemplo.txt //esto es para que solo salga en pantalla el resultado sin el codigo de estado.
gobuster dir -u ejemplo.com -t20 -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt | tee -a archivorecon.txt
nota: para elegir wordlists buscamos en la carpeta /usr/share/wordlists
dirsearch ejemplo.com | tee -a archivorecon.txt
al final de tener el archivo abultado por las herramientas anteriores habran muchos directorios duplicados, para eliminar estos duplicados
ejecutamos el comando
sort -u archivorecon.txt -o archivonuevo.txt
