Recon & Discovery.
Der Recon-Katalog von A bis Z: passive vs. aktive Modi, Subdomain-Erkennung über CT-Logs und DNS, Web-Stack-Fingerprinting und Port-zu-Service-Mapping.
Recon-Modi
- Passiv. Keine Pakete zum Ziel. Quellen:
crt.sh, Shodan, Censys, FOFA, BGP-Toolkit, GitHub-Code-Search, Wayback Machine. Pflichtmodus für Stealth-Engagements und Competitive-Intel. - Semi-passiv. Traffic, der wie normales User-Verhalten aussieht: ein einzelner HTTP-GET, ein einzelner DNS-Lookup. Unter den meisten Engagement-Scopes ohne explizite Scan-Autorisierung toleriert.
- Aktiv. Port-Scans, Directory-Fuzzing, wordlist-getriebene Enumeration. Erfordert schriftliche Scope-Autorisierung und idealerweise ein Wartungsfenster.
Subdomain-Discovery — volle Pipeline
- CT-Logs.
crt.sh?q=%25.target.com,subfindermit allen Quellen aktiv. Fängt alles, wofür je ein öffentliches Cert ausgestellt wurde. - DNS-Bruteforce.
shufflednsoderpurednsmit der SecLists-n0kovo_subdomains-Wordlist gegen eine eigene Resolver-Liste, um Rate-Limits zu umgehen. Wildcards explizit behandeln. - ASN-Walk. AS-Nummer via
whoisoderasnlookup; gesamten ASN-Bereich sweepen; Reverse-DNS, um Nachbarn außerhalb der öffentlichen Zone zu finden. - JS-Scraping.
katana+subjs, um URLs aus JavaScript-Bundles zu extrahieren. Frontends hardcodieren häufig nur-interne API-Hostnames. - Archive-Mining.
waybackurls,gau. Historische Hosts, die nicht mehr auflösen, verraten trotzdem Naming-Konventionen.
Web-Fingerprinting-Signale
- Headers.
Server,X-Powered-By,Set-Cookie-Namen (PHPSESSID,JSESSIONID,ASP.NET_SessionId), CSP-Direktiven. - Favicon-Hash. MD5 von
/favicon.ico→ Shodanhttp.favicon.hash:. Identifiziert Produkte über ihr Default-Icon, auch wenn Banner gestrippt sind. - Error-Pages. 404, 500 und Parser-Error-Pages haben produktspezifisches Wording, das Header-Scrubbing übersteht.
- Verhaltensprobe. Request
/.env,/server-status,/actuator/health,/api/v1. Response-Codes und Bodies fingerprinten den Stack.
Port → erster Dienst-Blick
- 21 FTP. Anonymous-Read zuerst, Banner zweitens. Beschreibbare Verzeichnisse prüfen.
- 22 SSH. Banner verrät OS-Familie;
ssh-auditfür KEX-/MAC-Haltung; Userlist-Enum via Timing auf altem OpenSSH. - 445 SMB.
crackmapexec smbfür Null-Session, Signing, OS-Version, Share-Enum. - 389/636 LDAP. Anonymous-Bind zuerst; Root-DSE für Naming Context; userPrincipalName-Enumeration.
- 1433 MSSQL.
mssqlclient.py -windows-authmit gesprayten Creds;xp_cmdshellwenn sysadmin. - 3389 RDP.
nmap --script rdp-enum-encryptionfür NLA-Haltung; niemals brute-forcen ohne bestätigte Lockout-Policy. - 5985/5986 WinRM.
evil-winrmmit gesprayten Creds. Wenn Admin, hast du eine Shell ohne AV-berührenden Binary. - 6379 Redis. Default unauthentifiziert.
config set dir /var/spool/cron/+ crontab-Write für RCE. - 27017 MongoDB. Unauthentifiziert in Default-Docker-Images.
mongosh+ show dbs.
FaustregelDer billigste Find des Engagements steckt meist in der Recon-Phase. Die Zeit investieren. Eine Subdomain, von der niemand im Security-Team weiß, ist mehr wert als drei exotische Exploits gegen eine gehärtete Haupt-App.
Verwandte Notizen in dieser Domain
- Featured Umfassende Pentest-Referenz
- Featured Pentest-Methodik — kanonische Referenz
- Featured Advanced Pentest & Red Team
- Featured Web Server — Angriff & Verteidigung
- Featured Active Directory Pentest
- Featured Internal Pivoting & Lateral Movement
- Referenz Recon-Tooling — Operator-Referenz
- Referenz Operator-Toolkits — Katalog & Referenz
- Referenz Automatisierung vs. manuelles Testing
- Background Social Engineering & Phishing
- Background Pentester-Grundlagen & CTF-Praxis
Von der Referenz zum Befund