Maltego Dorking com Search Engine Transforms usando Bing

Andrew Fordred

A maioria de nós usa a prática do Dorking, comumente conhecido como Google Dorking, ao aplicar o OSINT. Alguns o detestam, mas sabem que deve ser usado em algum momento, e outros não podem operar sem ele. Em teoria, não se aplica apenas ao mecanismo de busca Google, mas também ao Bing, Yandex e outros. Isso nos leva a Maltego.

Maltego fornece uma série de transformações de mecanismo de pesquisa que fazem uso da API do Bing. Essas transformações retornam os resultados da pesquisa do Bing para uma determinada consulta de entrada. Neste tutorial, demonstraremos como você pode usar certos atributos de pesquisa para aumentar significativamente a relevância dos resultados retornados ou restringir o foco da pesquisa em Maltego.

Como funciona o Maltego Dorking com o Bing? 

Maltego Dorking trabalha com várias Entidades. Neste exemplo, demonstraremos Dorking com a entidade Phrase.

Usando a Phrase Entity, pesquisamos o termo “ cisco ” usando a transformação To Website [using Search Engine] . Com a configuração de resultados definida para o máximo, temos o seguinte:

Os resultados são muito complicados, mesmo se comparados aos 220 milhões de resultados da mesma pesquisa simples no Google ou aos 58 milhões de resultados no Bing. Se explodirmos a caixa de coleções em Maltego, teremos que trabalhar os resultados para encontrar relevância para qualquer pesquisa ou investigação que possamos estar fazendo no momento.

Uma coisa boa que os resultados têm é um número de sites / subdomínios associados, o que é uma ótima informação para times azuis ou pentesters.

Aumente a relevância do resultado da pesquisa com os termos de pesquisa citados 

Uma forma de aumentar a relevância dos resultados da pesquisa é adicionar aspas ao redor dos termos da pesquisa. Especialmente útil para pesquisas de frase, isso garante que o mecanismo de pesquisa apenas pesquise ou filtre uma palavra ou frase específica, significando que um resultado só é retornado quando as palavras ou frases aparecem como uma correspondência exata.

Se usarmos os termos de pesquisa citados “cisco” e “Chuck Robbins” (o CEO da Cisco), Maltego retornará os seguintes resultados:

Sim, aumentou o número de resultados para 397, o que significa mais resultados individuais para analisar. No entanto, analisando os resultados, é surpreendente como todos eles são precisos. A razão para isso é que, conforme o Bing reúne os dois termos - “cisco” e “Chuck Robbins” - ele retorna apenas o conteúdo que contém os dois termos.

Para ilustrar, vamos fazer uma busca pelo site www [.] Fin2me [.] Com e usar os URLs Transform To [mostrar resultados do Search Engine] para extrair os artigos que podemos estar procurando desse site.

A Transform extrai os dois artigos do site que combinam com a Cisco e seu CEO Chuck Robbins. Para confirmar a relevância, podemos simplesmente olhar para a janela de fragmento de Maltego na Visualização de detalhes, que mostra que estamos no caminho certo.

Isso foi bastante fácil. Embora Maltego já tenha feito a maior parte do trabalho pesado, há muito mais análises nas quais Maltego pode nos ajudar.

Extraia tipos de pesquisa específicos usando operadores de pesquisa 

A seguir, repetimos o mesmo processo para os termos, “cisco” e “confidencial” :

Os URLs extraídos contêm links para documentos ou informações que podem ter sido classificados como confidenciais, o que é um excelente dado para qualquer pessoa que execute qualquer coisa, desde o azul ao vermelho ao preto, sem mencionar os bandidos.

Para que Maltego retorne apenas os resultados da pesquisa em um formato específico seguindo o processo anterior, devemos incluir um operador de pesquisa . Diferente de um termo de pesquisa , um operador de pesquisa é uma sequência de caracteres usada em uma consulta de pesquisa para restringir o foco da pesquisa.

Por exemplo, procurando especificamente por documentos PDF, inserimos o operador de pesquisa “ filetype: pdf ” e executamos essa pesquisa novamente usando a transformação Para o site [usando o mecanismo de pesquisa] :

Agora, usando a extração de URL no mesmo site acima ( www [.] S2 [.] Q4cdn [.] Com ) fornecerá os URLs contendo apenas arquivos PDF:

Agora, selecionamos ambas as entidades de URL, clicamos com o botão direito para abrir o menu de contexto e as alteramos para entidades do documento usando a barra de ação abaixo:

O resultado deve ser assim:

Selecionando ambas as Entidades do Documento, executamos a transformação da meta informação do Parse , que tem um desempenho semelhante ao FOCA ou metagoofil:

Uau, quanto tempo isso levaria em tempo real!

Em apenas alguns minutos, a base de um ataque foi definida e temos o nome de uma pessoa e os títulos dos documentos. Isso pode ser usado para engenharia social, cargas úteis e muito mais. Embora mostremos um exemplo em pequena escala, ele poderia ser escalado para um cenário mais sério com um pouco mais de tempo investido para obter resultados ainda melhores, o que poderia estabelecer alguns pontos de pivô devastadores contra um alvo.

Mas espere, não terminamos de Dorking ainda.

Retornar resultados de pesquisa específicos com o operador do site 

Usando o operador “ site: ” , executamos o mesmo processo novamente. O operador “site:” nos permite ver os URLs indexados para um site específico.

Essa transformação não apenas retornou o site www [.] Cisco [.] Com , mas também qualquer outro endereço de site contendo cisco [.] Com que foi indexado pelo Bing. Você pode até resolver isso novamente adicionando o operador filetype: pdf e os resultados conterão todos os arquivos PDF no site www [.] Cisco [.] Com ou em uma variação dele.

Usando o Operador IP exclusivo para Bing 

O único idiota ou operador que o Bing tem que não é compatível com o Google é o operador IP . A pesquisa no ip: 50.87.253.83 , por exemplo, resultaria em 297 sites vinculados a esse endereço IP.

Pesquisar sites de mídia social com o operador do site 

Este tipo de Dorking também pode ser usado para pesquisar sites de mídia social, por exemplo: site “cisco”: twitter.com

Por último, você pode querer incluir uma variação de plataformas de mídia social em suas pesquisas, para as quais você pode usar o operador OR , por exemplo, site “cisco”: twitter.com OU site: facebook.com OU site: linkedin.com

Embora os resultados possam parecer poucos, a precisão da pesquisa foi aumentada exponencialmente com o uso de um termo de pesquisa específico de cisco junto com o operador do site . Além disso, conforme descrito acima, alguns dos resultados do site podem conter muitos URLs com links para os problemas exatos que podemos estar procurando. Só precisamos extraí-los.

Isso conclui nossa breve visão geral sobre o uso do humilde idiota em Maltego. Com este método e técnica em mente, o céu é o limite para o pesquisador, investigador online ou qualquer pessoa das disciplinas da infosec.

Sobre o autor 

Andrew Fordred 

Andrew Fordred, um namibiano, serviu anteriormente como oficial de inteligência para o Serviço de Inteligência Criminal designado para a Unidade de Inteligência Criminal Organizada da Polícia Sul-africana. Depois de deixar o serviço policial, ele ocupou vários cargos corporativos em funções como gerenciamento de risco e, posteriormente, investigações forenses. Em 2007, ele começou seu próprio negócio fornecendo investigações forenses, inteligência, consultoria de gestão de risco, testemunho em tribunal e suporte a litígios. Ele completou um diploma de investigação forense com foco em inteligência forense com um estudo de caso qualitativo do comércio ilegal de narcóticos e sindicatos. Atualmente, ele está fornecendo due diligence, inteligência cibernética e investigações, segurança cibernética e privacidade e serviços de treinamento para clientes com ênfase em inteligência de código aberto, engenharia social e a dark web. Além disso, ele tem sido um orador público em eventos como o Journey of the Hacker Windhoek Namibia, OSMOSIS 2018 Las Vegas USA e Cyber ​​Threats against Children UNICEF. Fale com ele noTwitter ou LinkedIn .

AnteriorPróximo

PROCURAR

CATEGORIAS

• White papers de estudos de caso
• Notícias da empresa
• Covid 19
• Investigação de segurança cibernética
• Investigação de fraude
• Resumos de solução de integração
• Pessoa de investigação de interesse
• produtos
• Tutorial
• Webinar

Boletim de Notícias

Assine nosso boletim informativo e fique atualizado

Ao clicar em "Inscrever-se", você concorda com o processamento dos dados que inseriu e nos permite entrar em contato com você para os fins selecionados no formulário. Para mais informações, consulte nossa Política de Privacidade de Dados .

Adam Maxwell

@ Catalyst256

Na verdade, Maltego é basicamente o que me ajudou a conseguir 2 empregos na infosec, aprender a codificar (escrever transformações), realizar workshops em locais locais e ganhar 2 prêmios.

Phil Huggins (orac)

@oracuk

Maltego é brilhante. Usado pela maioria das forças policiais com as quais já trabalhei. Também utilizado por analistas de inteligência em equipes de segurança.

Mukiribosi

@mejahmoo

Animado para aprender e usar a ferramenta @MaltegoHQ, uma das melhores ferramentas