#Descubrimiento basico de contenido de un objetivo web

#Mirar ficheros

• Encontrar information que no desean que sea indexada por buscadores por lo que nos puede ser interesante

/robots.txt

• Ahora miramos el Sitemap.xml, aqui a veces se les escapa algun sitio interesante, especialmente si lo hicieron con una herramienta automatica(casi todos)

/sitemap.xml

#Mirar el icono de favicon

• Mirar el icono favicon, a veces se puede saber que framework se esta usando si no cambian el favicon por defecto
• se puede encontrar una base de datos de diferentes favicons aqui
• Abrir la pagina web, y darle a mostrar codigo html
• Abajo vemos que en hispagatos.org el favicon apunta a red.png, en este caso como lo pusimos nosotros para no tener uno por defecto

curl https://hispagatos.org/img/favicon/red.png || md5sum

• Prueba esto con un sitio tipico como drupal, joomla, etc
• Cuando corras el comando curl y termine te va a dar un hash md5 y esto es lo que buscamos aqui

#las Cabezeras del protocolo

• Podemos crear nuestras herramientas en GO/Rust etc para hacer todo lo que ponemos aqui, pero para simplicidad usamos curl

curl https://hispagatos.org -v | head -10  #cambiar este numero a -20 etc si hace falta

#Mirar la pila de marco(framework stack) del software

• Mirar los comentarios
• Mirar por el formato de los directiorios, cada framework tiene su propia mandera de ordenar ficheros y directorios
• Mirar por el nombre de los ficheros y directorios encontrados, tambien nos da una pista de que framework es.

#Mirar la documentacion oficial de ese framework.

• Ir al repositorio oficial leer las notas, los bugs y el changelog para ver si hay parches de seguridad u otras cosas interesantes.
• Ir a la web oficial, tratar entre todo lo dicho arriba y esto encontrar la version, mirar la fecha en los comentarios, estilo del diseño y demas e ir comparando para poder sacar la version y asi buscar por vulnerabilidades en dicha version del framework.

#Correr un spider para sacar todos los enlaces.

• Hay miles de opciones yo recomiendo escribir nuestro propio programa
• pero demomento aqui hay uno que me gusta que es en GO llamado gau
• Lo podeis bajar de aqui
• o mejor si teneis Arch GNU/Linux con los repos de BlackArch

paru -S blackarch/gau

• en mi caso lo corro asi:

~/Sync/bin/run_gau_urlscan.sh hispagatos.org https://hispagatos.org

• y aqui va el contenido de run_gau_urlscan.sh

#!/bin/bash

# rek2
# remove zshrc alias for gau to git before this can run
/usr/bin/gau --o $1-gau --blacklist ttf,woff,svg,png,jpg,rss,atom,eot $2

• ojo a mi comentario en el script para los que usamos zsh

#OSINT con Dorking o Google Hacking

• Para mas informacion sobre Dorking y Google Hacking mirar el wiki
• Miles de ejemplos reales en exploit-db, ir aqui

site:hispagatos.org
inurl:admin
filetype:pdf
intitle:admin

#OSINT con plugins de navegador o programas de terminal

• wappalyzer
• Recon-ng
  • con el modulo adecuado

  paru -S recon-ng
  

• Zaproxy o Zap
  • con el plugin instalado

  paru -S zaproxy
  

• Cada dia salen mas... asi que buscar un poco recomiendo siempre uno de terminal, mucho mas rapido o ZAP que tiene casi todo.

#OSINT usando el Wayback Machine

• Esto es muy bueno, no pasarlo por que hay veces que los desarolladores la cagan y ponen informacion que no tendrian por que poner
• y si este se indexa antes de que lo borren lo tendremos aqui, tambien para ver los cambios, nombres de empleados, tecnologias y demas informacion.
• Visitar el wayback Machine aqui

#OSINT buscando en repositorios de codigo como gitlab, sourcehut o github

• Esto tambien es importante, las veces que ponen credenciales y otra informacion sin querer en repositorios publicos y luego aunque haga otro commit sigue estando en el historial etc etc.
• Podermos usar muchas herramientas pero de momento aqui va una llamada Stardox que es para github.

paru -S blackarch/stardox

#OSINT de buckets de aws s3 o google cloud, digital ocean etc.

• Normalmente cuando sabemos la URL para un bucket de s3 como *.s3.amazonaws.com podemos escribir un programa para que busque ficheros y directorios que suelen ser:

# donde {nombre} es el nombre de la empresa o organizacion etc.
{nombre}-assets
{nombre}-www
{nombre}-public
{nombre}-private
...

#Por medio de FUZZING o DIRBUSTING

• Esto lo usamos para averiguar ficheros y directorios que no estan expuestos en el HTML, Javascript etc de la pagina y poder sacar informacion jugosa.
• yo suelo usar gobuster y ffuf
• Ejemplo con ffuf

# paru -S ffuf
# encontrar subdominios
ffuf -u 'http://hispagatos.org' -H 'Host: FUZZ.hispagatos.org' -w /home/rek2/seclists/Discovery/DNS/subdomains-top1million-5000.txt -fw 4572

y con gobuster:

# paru -S gobuster
# encontrar ficheros y directorios
gobuster dir  -w /home/rek2/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -u http://10.10.11.1 -x htm,txt,js,php,asp,bak

#Recursos

• https://www.exploit-db.com/google-hacking-database
• https://github.com/lc/gau
• https://wiki.owasp.org/index.php/OWASP_favicon_database
• https://archive.org/web/