Статья Открытый код. Программы для управления портами, поиска поддоменов и отправки файлов с последующим выявлением источника утечки информации.

Введение​

Приветствую дорогих читателей данной статьи! Сегодня хочу принести вам очередную сводку полезных программ и инструментов с открытым исходным кодом. Ну, и без лишних предисловий, начнём!

​

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Killport​

Это утилита командной строки для уничтожения процессов, прослушивающих определенные порты. Она разработан, чтобы быть простым, быстрым и эффективным. Инструмент построен на Rust и работает на Linux и macOS.

Функции​

• Убить процессы по номеру порта
• Поддерживает несколько номеров портов
• Работает на Linux и macOS

Установка​

Установка производится следующей командой:

curl -sL https://bit.ly/killport | sh

Примеры применения​

Убейте один процесс, прослушивающий порт 8080:

killport 8080

Но поскольку у меня данный порт не используется, мне он просто написал, что не нашёл процесс, который бы использовал данный порт.

Завершите несколько процессов, прослушивающих порты 8045, 8046 и 8080:

killport 8045 8046 8080

Ну и здесь у меня ситуация аналогичная.

Убить процессы с указанным сигналом:

killport -s sigkill 8080

SubDomainizer​

Это инструмент, предназначенный для поиска скрытых поддоменов и секретов, присутствующих на веб-странице, Github и внешних javascripts, присутствующих в данном URL-адресе. Этот инструмент также находит корзины S3, URL-адреса облачного фронта и многое другое из тех JS-файлов, которые могут быть интересны, например, корзина S3 открыта для чтения/записи или захват поддомена и аналогичный случай для облачного фронта. Он также сканирует внутри данной папки, которая содержит ваши файлы.

Функции​

SubDomainizer может найти URL-адреса для следующих служб облачного хранения:

1. Amazon AWS services (cloudfront and S3 buckets)
2. Digitalocean spaces
3. Microsoft Azure
4. Google Cloud Services
5. Dreamhost
6. RackCDN.

Установка​

1. Клонировать SubDomainzer из git:

git clone https://github.com/nsonaniya2010/SubDomainizer.git

1. Перейти в каталог:

cd SubDomainizer

1. Установите requirements:

pip3 install -r requirements.txt

Примеры использования​

• Список справки об инструменте:

python3 SubDomainizer.py -h

• Найти поддомены, корзины s3 и URL-адреса облачного интерфейса для данного отдельного URL-адреса:

python3 SubDomainizer.py -u https://www.example.com

• Cохранить результаты в файле (output.txt):

python3 SubDomainizer.py -u https://www.example.com -o output.txt

• Дать cookies

python3 SubDomainizer.py -u https://www.example.com -c "test=1; test=2"

• Для сканирования через github:

python3 SubDomainizer.py -u https://www.example.com -o output.txt -gt <github_token> -g

• Без проверки SSL-сертификата:

python3 SubDomainizer.py -u https://www.example.com -o output.txt -gt <github_token> -g -k

• Сканирование папки:

python3 SubDomainizer.py -f /path/to/root/folder/having/files/and/folders/ -d example.com -gt <github_token> -g -k

• Альтернативные имена субъекта:

python3 SubDomainizer.py -u https://www.example.com -san all

• Сохранение секретов в скане файла, найденном на github:

python3 SubDomainizer.py -u https://www.example.com -o output.txt -gt <github_token> -g -gop filename_to_save

Wholaked​

Инструмент для обмена файлами, который позволяет найти виновного в случае утечки. Он написан на Go. Wholaked получает файл, который будет использоваться совместно, и список получателей. Он создает уникальную подпись для каждого получателя и тайно добавляет ее в файл. После этого он может автоматически отправлять файлы соответствующим получателям с помощью интеграции Sendgrid, AWS SES или SMTP. Вместо того, чтобы отправлять их по электронной почте, вы также можете поделиться ими вручную. Wholaked работает со всеми типами файлов. Однако он имеет дополнительные функции для распространенных типов файлов, таких как PDF, DOCX, MOV и т. д.

Процесс обмена так же наглядно можно увидеть на данной схеме:

Чтобы найти, кто слил документ, вам просто нужно предоставить файл с утечкой, и он выявит ответственное лицо, сравнив подписи в базе данных.

Типы файлов и режимы обнаружения ​

Wholaked может добавлять уникальные подписи к разным разделам файла. Доступные режимы обнаружения приведены ниже:

Хэш файла: SHA256 хэш файла. Поддерживаются все типы файлов.

Двоичный: подпись напрямую добавляется в двоичный файл. Почти все типы файлов поддерживаются

Метаданные: подпись добавляется в раздел метаданных файла. Поддерживаемые типы файлов: PDF, DOCX, XLSX, PPTX, MOV, JPG, PNG, GIF, EPS, AI, PSD

Водяной знак: в текст вставляется невидимая подпись. Поддерживаются только файлы PDF.

Установка​

1. Установите Go в вашей системе

apt install golang

1. Далее устанавливаете с помощью go:

go install github.com/utkusen/wholeaked@latest

1. Так же устанавливаем зависимости:

apt install exiftool

apt install libfontconfig

Применение​

Требуется название проекта -n, путь к базовому файлу, в который добавятся подписи -f и список целевых получателей -t.

Пример команды:

./wholeaked -n test_project -f secret.pdf -t targets.txt

Файл targets.txt должен содержать имя и адрес электронной почты в следующем формате:

Utku Sen,utku@utkusen.com
Bill Gates,bill@microsoft.com

После завершения выполнения будут сгенерированы следующие уникальные файлы:

test_project/files/Utku_Sen/secret.pdf
test_project/files/Bill_Gates/secret.pdf

По умолчанию, wholaked добавляет подписи во все доступные места, определенные в разделе «Типы файлов и режимы обнаружения» Если вы не хотите использовать метод, вы можете определить его с помощью false флаг. Например:

./wholeaked -n test_project -f secret.pdf -t targets.txt -binary=false -metadata=false -watermark=false

Отправка электронных писем​

Для того, чтобы отправлять электронные письма, вам необходимо заполнить некоторые разделы в CONFIG файл.

• Если вы хотите отправлять электронные письма через Sendgrid, введите свой ключ API в SENDGRID_API_KEY раздел.
• Если вы хотите отправлять электронные письма через интеграцию с AWS SES, вам необходимо установить awscli на вашем компьютере и добавьте к нему необходимый ключ AWS. wholaked прочитает ключ сам по себе. Но нужно заполнить AWS_REGION раздел в конфигурационном файле.
• Если вы хотите отправлять электронные письма через SMTP-сервер, заполните SMTP_SERVER, SMTP_PORT, SMTP_USERNAME, SMTP_PASSWORD разделы.

Другие необходимые поля для заполнения:

• EMAIL_TEMPLATE_PATH Путь к телу электронного письма. Вы можете указать использование HTML или текстового формата.
• EMAIL_CONTENT_TYPE Возможно html или text
• EMAIL_SUBJECT Тема письма
• FROM_NAME От имени электронной почты
• FROM_EMAIL Из электронной почты электронной почты

Чтобы указать способ отправки, вы можете использовать -sendgrid, -ses или -smtp флаги. Например:

./wholeaked -n test_project -f secret.pdf -t targets.txt -sendgrid

Проверка просочившегося файла ​

Вы можете использовать -validate флаг, чтобы выявить владельца просочившегося файла. Wholeaked сравнит сигнатуры, обнаруженные в файле, и базу данных, расположенную в папке проекта. Пример:

./wholeaked -n test_project -f secret.pdf -validate

Важно: не следует удалять project_folder/db.csv файл, если вы хотите использовать функцию проверки файла. Если этот файл будет удален, то wholaked не сможет сравнить подписи.

Заключение​

Сегодня вам на обозрение были представлены весьма перспективные программы для управления портами, поиска поддоменов и отправки файлов с последующим выявлением источника утечки информации. Каждый из этих инструментов вполне достоин оказаться в списке полезных программ у пользователя.