Tradicionalmente, sempre segui um processo recon simples e básico, focado em subfinder + httpx + nuclei + ffuf (antes usava amass, mas como gosto do projectdiscovery, resolvi migrar pro subfinder).
Porém, acompanhando esse caso da DeepSeek, fiquei pensativo porque meu recon simplesmente não pegaria esse banco de dados aberto (estava aberto em http://oauth2callback.deeopseek.com:8123), porque
- só faço enumeração passiva de subdomínios com o subfinder
- só probo as portas 80 e 443 com o httpx
Por isso, resolvi testar as dicas da thread e dar um up no meu recon.
💡 O que é recon?
Recon, ou reconnaissance, é um dos primeiros processos realizados em qualquer teste de segurança. O objetivo é simples: conhecer mais sobre o alvo, quais domínios/subdomínios, que serviços estão rodano, quais versões, etc +Info
Enumeração Ativa de Subdomínios
Para a enumeração ativa de subdomínios, o autor sugeriu usar o Puredns junto com uma wordlist de domínios.
Segui o README do projeto e consegui instalar e iniciar a execução sem dificuldades. Até que surgiu o primeiro problema 🤔.
Ao rodar puredns bruteforce ~/Wordlists/subdomains/all.txt target.com simplesmente a internet da casa caía 🤣🤣🤣. Após pesquisar um pouco, achei essa issue confirmando que executar sem rate-limit poderia facilmente flodar uma conexão residencial de Internet e que na verdade, a ferramenta era destinada a rodar em uma VPS. Depois disso testei com VPN, com rate-limit no mínimo recomendado e nada funcionava.
Como só queria fazer um teste rápido, e absolutamente não queria fazer uma VPS só pra isso, suspeitei que o Trickest conseguisse ajudar (em troca de alguns créditos por execução).
Montei um Workflow com apenas um o puredns e deu certo. Problema 1 resolvido 🙏. BTW,nos meus testes, cada execução do puredns custava 12 RU, run unites (ou créditos 🤣)
Teste de Portas
NMAP é legal, mas desde 1997 ninguém fez algo novo? Nesse caso, o autor sugeriu o Masscan ou Naabu. Testei as duas. Mas como tínhamos uma lista de subdomínios como entrada, o Naabu pareceu mais apropriado
Com o naabu, não tive problemas. Com a lista de subdomínios em mãos, só um naabu -l puredns.txt -v já resolveu.
Desenho Final
Com as 2 ferramentas funcionando corretamente, meu novo fluxo ficou assim
- puredns no trickest
- subfinder
- naabu
- httpx
- nuclei
Em outras palavras
subfinder -d target.com -o subfinder-puredns.txt
// manualmente concateno os subdominios do puredns
naabu -l subfinder-puredns.txt -o naabu.txt
cat naabu.txt | httpx --silent > httpx.out
nuclei -l httpx.txt -eid <lista de vários templates que excluo>
// fuff à gosto
ffuf -u https://subdominio-interessante.target.com/FUZZ -w ~/Wordlists/common.txt
💡 Update 18/03/2025
Sugestões extras de material que podem ajudar +Info +Info2
Top comments (0)