Wyszukiwanie danych wrażliwych przy użyciu narzędzi theHarvester oraz h8mail

Dziś coś przyjemnego i w pełni zautomatyzowanego, czyli w jaki sposób, bazując na wyciekach danych znaleźć hasła do kont powiązanych z atakowanym emailem. Zdarzają się sytuacje, w których przeprowadzając redteaming chcielibyśmy zdobyć emaile powiązane z atakowaną domeną. Możemy do tego użyć narzędzia theHarvester.

theHarvester

TheHarvester jest skryptem napisanym w pythonie wykorzystywanym do białego wywiadu. Gromadzi ono wiadomości email, nazwy użytkowników, subdomeny, adresy IP i wiele więcej z publicznych źródeł. Do pasywnego rekonesansu wykorzystuje ono aż 40 dostępnych narzędzi, jednakże czternaście z nich wymaga ustawienia kluczy API. No ale przejdźmy do konkretów.

W omawianym przykładzie zależy nam na tym, aby uzyskać wszystkie będące w obiegu maile powiązane z domeną example.com. W tym celu użyjemy poniższego polecenia.

┌──(bugspace㉿kali)-[~/]
└─$ theHarvester -d example.com -b google

*******************************************************************
*  _   _                                            _             *                                  
* | |_| |__   ___    /\  /\__ _ _ ____   _____  ___| |_ ___ _ __  *                                  
* | __|  _ \ / _ \  / /_/ / _` | '__\ \ / / _ \/ __| __/ _ \ '__| *                                  
* | |_| | | |  __/ / __  / (_| | |   \ V /  __/\__ \ ||  __/ |    *                                  
*  \__|_| |_|\___| \/ /_/ \__,_|_|    \_/ \___||___/\__\___|_|    *                                  
*                                                                 *                                  
* theHarvester 4.0.0                                              *                                  
* Coded by Christian Martorella                                   *                                  
* Edge-Security Research                                          *                                  
* cmartorella@edge-security.com                                   *                                  
*                                                                 *                                  
*******************************************************************                                  
                                                                                                     
                                                                                                     
[*] Target: example.com 
                                                                                                     
        Searching 0 results.
        Searching 100 results.
        Searching 200 results.
        Searching 300 results.
        Searching 400 results.
        Searching 500 results.
[*] Searching Google. 

[*] No IPs found.

[*] Emails found: 13
----------------------
555-555-0199@example.com
adresa@example.com
anna@example.com
example@example.com
max.mustermann@example.com
osoba@example.com
regemail@example.com
someone@example.com
x22555-555-0199@example.com
x22adresa@example.com
x22anna@example.com
x22regemail@example.com
x22someone@example.com

[*] Hosts found: 13
---------------------
253dwww.example.com
abc.example.com
app.example.com
builder.page.example.com
derid.example.com
stage.example.com
sub.example.com
u003dwww.example.com
vc.example.com
www.example.com:93.184.216.34
x22derid.example.com
x22www.example.com
xyz.example.com

Jako źródło wywiadu wybraliśmy google dla domeny example.com. Dostaliśmy w ten sposób 13 emaili. Zapisujemy je w osobnym pliku targets.txt i możemy przejść do h8mail.

h8mail

Słowem wstępu – h8mail jest narzędziem wykrywającym, czy istniał w przeszłości wyciek hasła do wskazanego maila. Diagnoza następuje za pośrednictwem jednego z dwunastu dostępnych API bądź na podstawie lokalnie zapisanych zbiorów z wyciekami. W naszym przykładzie użyjemy bazy Breach compliation. Możecie ją pobrać za pośrednictwem XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX poprzez na przykład narzędzie transmission-cli.

                                                                                                    
┌──(kali㉿kali)-[~]
└─$ h8mail -t ./targets.txt -lb ./BreachCompilation       
                  Official h8mail posts: 
                  https://khast3x.club/tags/h8mail/                                                 
                                                                                                    
                                                                                                    
          Version 2.5.5 - "ROCKSMASSON.5"  
 
        ._____. ._____.     ;____________;
        | ._. | | ._. |     ;   h8mail   ;
        | !_| |_|_|_! |     ;------------;
        !___| |_______!  Heartfelt Email OSINT
        .___|_|_| |___.    Use responsibly
        | ._____| |_. | ;____________________;
        | !_! | | !_! | ; github.com/khast3x ;
        !_____! !_____! ;--------------------;
 
[>] h8mail is up to date
[~] Reading from file ./targets.txt
[~] Parsing emails from./targets.txt
[~] Removing duplicates
[>] Targets:
[>] x22regemail@example.com
[>] max.mustermann@example.com
[>] regemail@example.com
[>] x22anna@example.com
[>] x22adresa@example.com
[>] x22someone@example.com
[>] someone@example.com
[>] example@example.com
[>] anna@example.com
[>] 555-555-0199@example.com
[>] adresa@example.com
[>] x22555-555-0199@example.com
[>] osoba@example.com

Tak prostym sposobem, po kilku minutach sprawdzania breacha oraz dostępnych serwisów dostajemy wyniki.

 __________________________________________________________________________________________
 
[>] Showing results for adresa@example.com

[~] No results founds

 __________________________________________________________________________________________
 
[>] Showing results for someone@example.com
LOCALSEARCH    |      someone@example.com > [r] Line 1411935: arcanjel-someone@example.com:j092289
LOCALSEARCH    |      someone@example.com > [s] Line 5317894: asomeone@example.com:123456789
LOCALSEARCH    |      someone@example.com > [f] Line 79228: alfa146someone@example.com:123456
LOCALSEARCH    |      someone@example.com > [u] Line 4460618: busy_someone@example.com:dalakli

(...)
__________________________________________________________________________________________

                                   Session Recap:  


                 Target                  |                   Status                  
__________________________________________________________________________________________

       max.mustermann@example.com        |               Not Compromised              
__________________________________________________________________________________________

          regemail@example.com           |               Not Compromised              
__________________________________________________________________________________________

         x22adresa@example.com           |               Not Compromised              
__________________________________________________________________________________________

           adresa@example.com            |               Not Compromised              
__________________________________________________________________________________________

          someone@example.com            |          Breach Found (79 elements)        
__________________________________________________________________________________________

      x22555-555-0199@example.com        |               Not Compromised              
__________________________________________________________________________________________

           osoba@example.com             |          Breach Found (2 elements)         
__________________________________________________________________________________________

          example@example.com            |         Breach Found (704 elements)        
__________________________________________________________________________________________

            anna@example.com             |          Breach Found (46 elements)        
__________________________________________________________________________________________

        555-555-0199@example.com         |          Breach Found (2 elements)         
__________________________________________________________________________________________

        x22regemail@example.com          |               Not Compromised              
__________________________________________________________________________________________

         x22someone@example.com          |               Not Compromised              
__________________________________________________________________________________________

          x22anna@example.com            |               Not Compromised              
__________________________________________________________________________________________

Źródła

https://github.com/khast3x/h8mail
https://github.com/laramies/theHarvester
https://gist.github.com/saturn99/c31727bc1b849fa1c2ba1d72d4ab9ecb
https://null-byte.wonderhowto.com
https://cli-ck.io/transmission-cli-user-guide/

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *