Je vais vous montrer le logiciel The Harvester (la moissonneuse d’information) qui permet de trouver l’adresse email publié sur les pages du site web d’un webmaster. L’objectif d’un testeur d’intrusion ou d’un pirate qui sera sa panacée va d’être de trouver un email personnel ou d’un employé.
The Harvester permet d’aller plus loin dans une reconnaissance car il permet aussi de trouver les domaines et sous domaine d’une cible. Cela donne la possibilité d’étendre la reconnaissance sur des nouvelles cibles qui sont en rapport entre eux.
Avec un peu de chance le testeur d’intrusion ou le pirate tombera sur un webmaster maladroit qui a mis une adresse email personnel plutôt qu’un mail un professionnel impersonnel. Ce type de défaillance dangereuse permet une attaque directe et plus personnelle du webmaster ou de tout autre employé.
Attention, si ce type de défaillance grave de la politique de sécurité est trouvée assurez-vous d’avoir les autorisations pour faire une attaque d’ingénierie sociale dans la sphère privée. Ce qui est difficile des fois à déterminer pour un cadre ou l’entrepreneur d’une entreprise qui travaille à leur domicile.
Manuel de The Harvester
On peut utiliser The Harvester avec deux méthodes différentes. La première méthode est une méthode passive qui consiste à utiliser les moteurs de recherche et les sites communautaires et etc. La deuxième méthode que vous ne pouvez pas utiliser sur un domaine qui ne vous appartient pas est une méthode plus active avec les DNS.
root@kali:~# theharvester
Usage: options theharvester
-d: Domaine de la recherche ou nom de l'entreprise
-b: Source de la recherche des données, mettre all pour tous utilisés (google,bing,bingapi,pgp,linkedin,google-profiles,people123,jigsaw,all)
-s: Lancer un nombre de résultats X (default 0)
-v: Vérifiez le nom d'hôte via la résolution DNS pour les hôtes virtuels
-f: Enregistrer les résultats dans un fichier HTML et XML
-n: Effectuez une recherche DNS inversée sur toutes les plages découvertes
-c: Effectuez une brute force sur les DNS pour le nom de domaine
-t: Effectuer une découverte des expansion pour les TLD DNS
-e: Utiliser un serveur DNS precis pour faire la recherche
-l: Limiter le nombre de résultats à travailler avec (bing va de 50 de 50 résultats,
google 100-100, et PGP ne pas utiliser cette option
-h: utiliser la base de données de SHODAN pour interroger les hôtes découverts)
Exemples: theharvester -d microsoft.com -l 500 -b google
theharvester -d microsoft.com -b pgp
theharvester -d microsoft -l 200 -b linkedin
The Harvester avec une reconnaissance passive
Je vais vous montrer un exemple avec le site de Microsoft en ajoutant l’option -l 500 pour avoir plus de 100 résultats (100 étant fixé par défaut pour google). Je pourrai ajouter à la place l’option -l all pour utiliser toutes les plateformes mais le logiciel n’est plus assez à jour à cause du site People123 qui est fermé.
Je vais aussi ajouter l’option -v pour affiner ma recherche sur les hosts grâce à une résolution DNS des domaines. Cela permet de mieux comprendre la disposition du serveur pour savoir par exemple si c’est un serveur dédier ou un hébergement mutualisé.
root@kali:~# theharvester -d microsoft.com -l 500 -b google -v
[-] Searching in Google:
Searching 0 results...
Searching 100 results...
Searching 200 results...
Searching 300 results...
Searching 400 results...
Searching 500 results...
[+] Emails found:
------------------
antr@microsoft.com
galenh@microsoft.com
saieong@microsoft.com
marcuspe@microsoft.com
rahulku@microsoft.com
[+] Hosts found in search engines:
------------------------------------
134.170.188.84:www.microsoft.com
65.52.103.234:windows.microsoft.com
157.56.121.21:support.microsoft.com
65.55.69.140:office.microsoft.com
157.56.96.55:windowsupdate.microsoft.com
65.52.103.125:schemas.microsoft.com
Comme vous voyez on trouve des adresses email qui peuvent permettre dans d’autres circonstances sur un autre site de passer de la recherche à une exploitation de la cible. On trouve aussi d’adresse de noms de domaines qui appartiennent en théorie au même propriétaire.
The Harvester avec une reconnaissance active
Je vais vous montrer comment trouver les noms de domaines d’une cible( option -d) dans google (option -b). La commande ci-dessous commence à chercher les noms de domaines dans Google.
Quand les domaines sont trouvés, The Hardvester interrogent les serveurs DNS des noms de domaines pour chercher d’autre nom de domaine appartenant à la cible (option -n).
Quand il a fini, il teste le nom de domaine sur lequel porte la recherche avec d’autres extensions d’URL grâce l’option -t pour trouver le site web dans d’autres langues. Ici l’option -v prend tout son sens car, elle permet de rattacher les noms de domaines aux adresses IP des serveurs.
root@kali:~# theharvester -d microsoft.com -b google -vnt
[-] Searching in Google:
Searching 0 results...
Searching 100 results...
[+] Emails found:
------------------
dailyedventures@microsoft.com
[+] Hosts found in search engines:
------------------------------------
64.4.11.42:www.microsoft.com
207.46.114.62:windowsupdate.microsoft.com
157.56.121.21:support.microsoft.com
65.52.103.234:windows.microsoft.com
65.55.227.140:office.microsoft.com
65.55.56.209:careers.microsoft.com
65.52.103.124:msdn2.microsoft.com
[+] Starting active queries:
[-]Performing reverse lookup in :64.4.11.0/24
64.4.11.255[-]Performing reverse lookup in :207.46.114.0/24
207.46.114.255[-]Performing reverse lookup in :157.56.121.0/24
157.56.121.255[-]Performing reverse lookup in :65.52.103.0/24
65.52.103.255[-]Performing reverse lookup in :65.55.227.0/24
65.55.227.255[-]Performing reverse lookup in :65.55.56.0/24
23.96.112.255Hosts found after reverse lookup:
---------------------------------
64.4.11.24:sppilotbay.microsoft.com
64.4.11.28:spoembay.microsoft.com
64.4.11.33:piinternalfe.microsoft.com
64.4.11.39:spynettest2.microsoft.com
64.4.11.41:s.imp-ppe.microsoft.com
[-] Starting DNS TLD expansion:
Searching for: microsoft.aero
[+] Hosts found after DNS TLD expansion:
==========================================
134.170.185.46:microsoft.com
134.170.185.46:microsoft.org
134.170.185.46:microsoft.net
207.46.31.61:microsoft.edu
207.46.31.61:microsoft.mil
207.46.31.61:microsoft.gov
207.46.31.61:microsoft.uk
207.46.31.61:microsoft.af
65.55.39.12:microsoft.al
[+] Virtual hosts:
==================
64.4.11.42 <strong>www.microsoft.com<
64.4.11.42 safety.live.com
64.4.11.42 www.getmicrosoftoffice.com
64.4.11.42 anti-spamtools.org
64.4.11.42 www.softwarewow.com
64.4.11.42 www.facultyresourcecenter.com
64.4.11.42 www.microsoft-hohm.com
Peut-être que vous n’en avez pas pris conscience, mais avec ces options magiques nous pouvons trouver tous les serveurs connectés à internet qui appartienne à la cible, et ce même si elles ne sont pas référencées dans google.
Ce qui veut dire que rien en interrogeant google on peut trouver des serveurs privés connectés à internet. Un pirate ou un testeur d’intrusion habile notera ces informations et les ajoutera à sa liste de cible potentielle pour les tester et faire ses attaques.
Pour être plus clair, une reconnaissance peut prendre quelque heure où des semaines jusqu’à que toutes les possibilités soient testées, même si toute cette possibilité corresponde à 10^10.
Pour conclure
The Hardvesteur est un très bon outil de Hacking, combiner avec proxychains et TOR on peut faire un inventaire complet des noms de domaines et des serveurs appartenant à une cible de manière anonyme.
Les anti pirates vont râler contre Edge-Security qui met à disposition ce type d’outils, mais là il se leurre car, logiciel est très facile à faire pour ceux qui savent coder en python, alors dites-vous bien que les siths avaient ce type d’outils depuis longtemps.
Comme vous en êtes aperçu The Hardvesteur permet de trouver les adresses email en rapport avec le site visé. Cela permet de trouver le nom et/ou l’email d’un employé. Pire ! Si on trouve un mail personnel du type mail ou outlook cela révèle une mauvaise politique de sécurité.
Comment se protéger ?
Il faut toujours utiliser des adresses email impersonnel dans tous ce qui concernent le domaine public. Un email du type service.client@entreprise.com vos mieux que dumont@entreprise.com