Mis apuntes de Pentesting.

En esta etapa se busca crear una visión general del objetivo, una especie de mapa, sin interactuar directamente con él. Entonces, la información debe ser obtenida de fuentes abiertas como motores de búsqueda, redes sociales, filtraciones, bases de datos públicas, etc.

Esta etapa debe centrarse en recopilar toda la información pública del objetivo, de forma exhaustiva y, de ser posible, estructurarla para facilitar su comprensión o acceso en etapas posteriores. Dentro de los datos más valiosos que debemos buscar están:

• Direcciones IP
• Directorios ocultos de los motores de búsqueda.
• Nombres.
• Correos electrónicos.
• Números telefónicos.
• Direcciones físicas.
• Tecnologías utilizadas.
• Información filtrada.

Para facilitar esta primera investigación podemos ayudarnos de herramientas que automaticen los procesos, servicios web que recopilen datos, extensiones de navegador que analicen sitios y operadores lógicos para realizar búsquedas avanzadas.

Herramientas de consola

• whois
  • Recupera información sobre la propiedad de un dominio.
• nslookup
  • Busca los registros dns de un dominio dado.
• dig
  • Consulta dns.
• ctfr
  • obtiene subdominios a través del abuso de logs del Certificado de Transparencia.
  • Herramienta de GitHub de unapibageek (https://github.com/UnaPibaGeek/ctfr)
• spiderfoot
  • OSINT.
  • Se puede usar una GUI desde el navegador. Para ello, es necesario lanzar el comando `spiderfoot -l 127.0.0.1:5001` y acceder desde el navegador a la dirección.
• h8mail
  • permite encontrar direcciones de correo electrónico y contraseñas filtradas.
  • Se instala con pip3 install h8mail
• emailharvester
• recon-ng
  • enumeración de sitios de redes sociales.
• host
• whatweb
  • reconocimiento de tecnologías.
• Sublist3r
  • OSINT de subdominios (valida resultados vía DNS, por lo que algunas personas podrían considerarlo reconocimiento activo).
  • Es una herramienta escrita en python. Se puede descargar desde los repositorios de Kali o desde GitHub.
  • `sublist3r -d DOMINIO -e bing, yahoo` (la bandera -e le indica los motores donde debe buscar).
• theHarvester
  • Sirve para encontrar información de fuentes abiertas. Permite encontrar subdominios, nombres, emails, etcétera.

Herramientas web

• https://toolbox.googleapps.com/apps/dig/
  • dig en línea
• DNSDumpster
  • https://dnsdumpster.com/
• Netcraft
  • Minero de páginas web.
  • https://www.netcraft.com/
• shodan.io
• hunter.io
  • Requiere registrarse.
  • Reporta correos de compañías.
• phonebook.cz
  • Reporta correos electrónicos.
  • También sirve para enumerar subdominios de forma pasiva.
• verifyemailaddress.org
• email-checker.net
• whois
• pimeyes.com
  • Reconocimiento de imágenes en línea.
  • Requiere cuenta.
• dehashed.com
  • buscador de leaks y bases de datos.
• Revisión manual de directorios comunes, tales como:
  • /robots.txt
    • puede dar información sobre la arquitectura del sitio, directorios ocultos o tecnologías de la web.
  • /sitemap_index.xml
    • puede mostrar información sobre la arquitectura del sitio.

Extensiones de navegador

• Wappalyzer
  • Da información sobre las tecnologías de una web.
• Builtwith
  • Da información sobre las tecnologías de una web.

Google dorks

Se trata de operadores lógicos que sirven para realizar búsquedas avanzadas. Aquí se listan sólo un par de ejemplos:

• site:
• inurl:
• site:*.ejemplo.com
• intitle: index of –> vulnerabilidad
• filetype:pdf
• intext:
• link:
• inurl:auth_user_file.txt
• inurl:passwd.txt

Revisa la base de datos:

https://www.exploit-db.com/google-hacking-database

Revisa esta cheatsheet de dorks: https://gist.github.com/sundowndev/283efaddbcf896ab405488330d1bbc06

Otras herramientas

Las siguientes son herramientas adicionales que le permiten buscar volcados o descargas de datos vulnerados:

• WhatBreach:https://github.com/Ekultek/WhatBreach
• LeakLooker:https://github.com/woj-ciech/LeakLooker
• Scavenger:https://github.com/rndinfosecguy/Scavenger
• PwnDB:https://github.com/davidtavarez/pwndb

Resumen (con algunos añadidos)

ctfr — busca subdominios via Certificate Transparency logs. (GitHub: UnaPibaGeek/ctfr)

amass / subfinder / assetfinder / findomain — enumeración de subdominios (combina fuentes públicas y bruteforce). Nota: algunas opciones validan vía DNS (actividad observable).

massdns — resolución masiva de nombres (muy rápida; usar con wordlists).

whois / dig / host / nslookup — consultas DNS/registro de dominio (CLI). Ej: dig +short dominio.com.

theHarvester / recon-ng / SpiderFoot — frameworks OSINT para agregar y correlacionar datos. SpiderFoot puede correr como servicio web (spiderfoot -l 127.0.0.1:5001).

Shodan / Censys — búsqueda de activos públicos por servicio/puerto. Requieren cuenta para API.

crt.sh / CertStream — buscar certificados TLS que revelan subdominios.

Wayback Machine / GitHub code search — buscar historial y secretos expuestos.

Dehashed / HaveIBeenPwned / PwnDB — búsqueda de credenciales filtradas (API o cuenta).

Wappalyzer / BuiltWith / WhatWeb — fingerprinting tecnológico (extensiones o web).

Extensiones: Wappalyzer, BuiltWith.

Google Dorks: site:, inurl:, intitle:, filetype:, intext: — úsalos con cuidado y sin automatizar. Ver: Exploit-DB Google Hacking Database.

---

*ADVERTENCIA 1: muchas de las herramientas mencionadas son limítrofes entre el reconocimiento pasivo y el reconocimiento activo. Su taxonomía se definiría por el uso que se haga de ella, así como por el criterio del profesional que la ejecute (algunas instituciones no consideran reconocimiento activo la consulta a servidores DNS; sin embargo, otras defienden que interactuar con servidores DNS ya debe ser considerado reconocimiento activo).

**ADVERTENCIA 2: todas las herramientas mencionadas en esta página pueden ser potencialmente ilegales si se usan sin el permiso expreso de los administradores de los activos que se investigan/atacan. Úselas bajo su discreción y responsabilidad.