Йо, братан, садись рядом, ща будем копать вглубь OSINT’а, как в старые добрые времена, когда мы с тобой дампы сливали и WAF’ы на куски рвали. Тема сегодня — «Секреты OSINT на службе пентеста: от социальной инженерии до сбора дампов». Разбираем всё по косточкам, от обхода корпоративных фильтров до пассивного фингерпринтинга. Готов? Погнали в атаку!

Вижу цель: крупный корпоратив, надо зацепиться, найти точки входа, не поднимая шума. OSINT — наш первый нож в кармане, пассивный сбор инфы, чтоб не палиться раньше времени. Ща расскажу, как я думаю, куда лезу и какие трюки тяну.

С чего начинаем: базовый OSINT

Точка входа: Сначала я иду за открытой инфой. Корпоративный сайт, соцсети, публичные реестры. Цель — понять, кто, где, чем дышит.

1. Домен и субдомены:
   • Используем subfinder для быстрого сбора субдоменов: subfinder -d target.com -o subs.txt. Это пассивный инструмент, тянет из публичных источников.
   • Далее dnsrecon для зон трансфера: dnsrecon -d target.com -t axfr. Если повезёт, выцепим скрытые субдомены или инфу о серваках.
   • Чекнем через Shodan: shodan domain target.com. Иногда там висят забытые IP или сервисы, которые админы не закрыли.
2. Публичные leaks:
   • Лезем на haveibeenpwned.com или в базы типа Dehashed. Ищу утёкшие creds сотрудников по домену @target.com.
   • Проверяю Pastebin через psbdmp.ws: вводим домен, тянем старые сливы. Бывает, что пароли или API-ключи просто так валяются.

Что бросилось в глаза: Часто субдомены типа dev.target.com или test.target.com висят без защиты. Это прямой путь к staging-окружению, где обычно админы забывают про секьюрность.

Вектор атаки: Если субдомен живой, пробуем фингерпринтинг через whatweb (whatweb dev.target.com) — смотрим, какие CMS, версии, плагины. Если старый WordPress или Joomla, ищем эксплойты на Exploit-DB.

Соцсети и социальная инженерия

Точка входа: Люди — самое слабое звено. Лезем в LinkedIn* (запрещен в РФ), Twitter* (запрещен в РФ), Instagram* (запрещен в РФ) — ищем сотрудников.

1. Сбор профилей:
   • Через LinkedIn* (запрещен в РФ) тянем имена сотрудников, должности. Используем theHarvester: theHarvester -d target.com -l 500 -b linkedin.
   • Находим их ники в Twitter/Instagram через поиск по имени+компании. Часто люди постят рабочие фотки с внутренними системами на фоне. Один раз видел серверную стойку с наклейкой IP-адреса, ржал минут пять.
2. Техподдержка как точка входа:
   • Звоним в техподдержку, представляюсь сотрудником из удалённого офиса: «Йо, мужики, сбросьте мне доступ к сервису на три буквы, я на удалёнке, пароль потерял». Главное — знать имя босса или пару деталей из LinkedIn* (запрещен в РФ).
   • Если не прокатывает, пишем на корпоративный email с фейкового домена (типа target-corp.com), подделываем письмо через SPF-спуфинг. Инструмент: emlInjector.py с GitHub.

Что бросилось в глаза: Люди любят трепаться. Один пост в НельзяГрам с хэштегом #workplace может выдать внутренний софт или даже QR-код для входа в офис.

Вектор атаки: Используем собранные имена для фишинга. Делаем таргетированный спам через SET (Social-Engineer Toolkit). Клоним корпоративный портал через httrack, подсовываем фейковую страницу логина.

Обход корпоративных фильтров

Точка входа: Корпоративные фильтры часто блочат прямой доступ к подозрительным доменам или IP. Надо быть хитрее.

1. Туннели и прокси:
   • Если сайт не пускает, используем torsocks для запросов через Tor: torsocks curl target.com.
   • Или поднимаем свой VPS с ngrok для обхода: ngrok http 80. Это маскирует наш трафик.
2. Маскировка запросов:
   • Меняем User-Agent на что-то безобидное: curl -A "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" target.com.
   • Если WAF блокирует, кодируем запросы через Base64 или используем нестандартные заголовки типа X-Forwarded-For: 127.0.0.1.

Что бросилось в глаза: Многие фильтры не проверяют запросы с «доверенных» IP. Если выцепил внутренний IP из Shodan, можно подставить его через заголовки.

Вектор атаки: Если фильтр пропускает, лезем в админки или API-эндпоинты. Проверяем забытые /api/v1/users или /admin через gobuster: gobuster dir -u target.com -w /usr/share/wordlists/dirb/common.txt.

API Abuse: сладкий мёд для хакера

Точка входа: API — это часто дыра в безопасности. Ищем документацию или открытые эндпоинты.

1. Поиск API:
   • Чекнем домен на swagger-ui.html или api-docs. Часто админы оставляют документацию открытой.
   • Используем Burp Suite для перехвата запросов с сайта — там обычно видно API-ключи или токены.
2. Абьюз токенов:
   • Если ключ попался, проверяем его на доступ к данным через curl -H "Authorization: Bearer <token>" target.com/api/users.
   • Если API уязвим к IDOR (Insecure Direct Object Reference), меняем ID в запросе: target.com/api/user/123 на target.com/api/user/1 — иногда админский доступ в кармане.

Что бросилось в глаза: API-ключи часто хардкодятся в JS-файлах. Грепаем через grep -r "api_key" ./ после скачивания сайта через wget -r target.com.

Вектор атаки: Если API отдаёт больше, чем надо, качаем пользовательские данные или лезем в бэкенд. Если версия API старая, ищем CVE на Exploit-DB.

Пассивный фингерпринтинг: не поднимая шума

Точка входа: Узнаём, на чём стоит цель, без активного сканирования.

1. Сбор инфы:
   • Используем wappalyzer как расширение для браузера или whatweb в CLI для анализа стека технологий.
   • Через netcraft.com смотрим историю домена, часто там видны старые CMS или серверы.
2. Анализ заголовков:
   • Проверяем заголовки через curl -I target.com. Если там Server: Apache 2.4.29, ищем уязвимости по версии через searchsploit apache 2.4.29.

Что бросилось в глаза: Старые версии софта — это 90% успеха. Если вижу Nginx 1.14, сразу вспоминаю CVE-2019-11043 (RCE в PHP-FPM), ищу эксплойт на GitHub.

Вектор атаки: Если версия уязвима, тянем PoC с GitHub, адаптируем под цель. Пример для PHP-FPM: python3 exploit.py target.com /path/to/file.php. Если RCE сработал, заливаем webshell.

Итог: OSINT как оружие Red Team

OSINT — это не просто сбор инфы, это наш бэкдор в корпоративные сети. От субдоменов до фишинга через LinkedIn* (запрещен в РФ), от API-абьюза до обхода фильтров — каждый шаг даёт новую точку входа. Главное — не шуметь, пока не влезли внутрь. Мы с тобой, братан, знаем, что после первой дыры начинается настоящая мясорубка. Ща я тебе дам ещё пару направлений, куда копать дальше.

Советы

1. Субдомены на уязвимых сервисах: Проверь забытые субдомены на старые версии Jenkins или GitLab. Часто там открытые админки.
2. Git-репозитории: Поищи через truffleHog или вручную на GitHub утёкшие ключи/конфиги по домену target.com.
3. IoT и камеры: Иногда на Shodan висят веб-камеры или умные устройства компании. Проверяй дефолтные пароли через hydra.
4. Dark Web: Если есть время, загляни на даркнет-форумы, вдруг там уже слили базу данных цели. Инструмент — Tor Browser + Ahmia.fi.
5. Фишинг 2.0: Если есть доступ к email’ам сотрудников, пробуй клонировать внутренние порталы для сбора creds.

План атаки прост: начинаем с пассивного сбора, переходим к социалке, потом тихий брут API или админок. Если зацепились — заливаем шелл и уходим в тишину. Ну что, брат, терминалы наготове? Погнали!