theHarvester: jak zebrać maile, subdomeny i hosty?

Materiał ma charakter edukacyjny. Wszystko, co tu pokazuję, testuj wyłącznie na własnym sprzęcie albo za pisemną zgodą właściciela, jak w Minecrafcie: we własnym świecie, nie na cudzym serwerze. W Polsce sam nieuprawniony dostęp do systemu jest karalny (art. 267 i następne k.k.), a prywatność nie istnieje, bo logi u dostawcy, fingerprint, NASK i CBZC prędzej czy później Cię znajdą. To nie jest porada prawna.

Odcinek drugi cyklu o rekonesansie. W poprzednim Shodan pokazał, co u celu stoi otworem. Teraz zbieramy powierzchnię ataku z publicznych źródeł, wciąż bez dotykania samego celu.

theHarvester to OSINT z linii poleceń. Agreguje maile, subdomeny, hosty, czasem nazwiska pracowników i wirtualne hosty, zaciągając je z wyszukiwarek, logów certyfikatów i baz DNS. Jest pasywny, preinstalowany na Kali i bywa pierwszą rzeczą, którą odpalam po Shodanie.

Jak zwykle: tylko autoryzowane cele. To, że dane są publiczne, nie znaczy, że wolno Ci zrobić z nimi wszystko.

Co theHarvester potrafi

W skrócie zamienia nazwę domeny w listę: maile, subdomeny, adresy IP, hosty. To nie jest skaner, on niczego nie atakuje, tylko zbiera to, co cel sam zostawił w publicznym internecie. Idealne na pierwszą fazę testu, gdy chcesz zobaczyć, co o organizacji widzi z zewnątrz potencjalny napastnik.

Podstawowa składnia

theHarvester -d example.com -b duckduckgo

Trzy flagi, które robią 90% roboty: -d to domena celu, -b to źródło danych, -l to limit wyników, a -f zapisuje rezultat do pliku. W praktyce odpalasz kilka źródeł naraz i od razu zrzucasz wynik na dysk:

theHarvester -d example.com -l 500 -b crtsh,bing,duckduckgo -f example

Jest też -b all, ale ostrzegam: jest wolne i część źródeł sypnie błędami, bo wymaga kluczy API.

Które źródła naprawdę działają

Nie wszystkie źródła są sobie równe, a niektóre po prostu umarły. Z tych, które dowożą:

• crtsh to logi certificate transparency i absolutne złoto na subdomeny. Jeśli cel wystawił certyfikat na vpn.example.com, to ślad został publicznie i nie da się go cofnąć.
• dnsdumpster solidny do infrastruktury DNS.
• bing i duckduckgo na maile i hosty. Google odpada coraz częściej, bo wrzuca captche i blokady.
• shodan oraz censys dorzucają dużo, ale wymagają kluczy API wpisanych w /etc/theHarvester/api-keys.yaml.

Co zrobić z wynikami

Subdomeny rozwiązujesz do adresów IP i masz gotowe wejście do dwóch kolejnych odcinków: do grafu w Maltego i do aktywnego skanu Nmapem. Maile zdradzają konwencję nazewniczą firmy (np. imie.nazwisko@), co w autoryzowanym teście karmi symulację phishingu albo kontrolowany password spraying. A flaga -f zapisuje wynik w json, xml lub html, więc od razu masz materiał do dalszej obróbki, a nie tekst do przepisywania.

Fun fact: certificate transparency sprawia, że nie ukryjesz subdomeny, wystawiając jej certyfikat. Każdy wydany cert ląduje w publicznych logach, które czyta crt.sh. Dlatego tak często sypią się z nich smaczki w stylu dev., test., staging. czy vpn., czyli dokładnie te, które miały nie istnieć dla świata.

Masz już listę: maile, subdomeny, adresy IP. Tyle że to wciąż surowy tekst. Żeby zobaczyć, co z czym się łączy i gdzie są skupiska, trzeba to ułożyć w mapę. Od tego jest Maltego, czyli odcinek trzeci.