如何使用 Maltego 和 HaveIbeenPawned 识别公司被黑的电子邮件地址

本文是Maltego OSINT教程的一部分,您将在其中学习识别已被黑客入侵的帐户以及使用开放源代码工具的密码。

在进行黑客攻击时,攻击任何目标的第一步就是执行侦察,这意味着收集有关目标的信息,直到出现特定漏洞或漏洞为止。

有多种收集信息的方法,但是最受黑客欢迎的一种方法是使用开源情报或OSINT。

什么是开源智能?

OSINT允许用户从公共渠道获取信息。OSINT包括从自由和公开来源获得的有关个人或组织的任何信息。

这项技术有助于寻找人为错误,即那些似乎不遵守安全政策,让组织资源处于危险之中的个人。

有许多OSINT工具可用于信息收集,但要能够解决更复杂的问题,如谁将是更可能卷入数据泄露的人,那么Maltego是最好的选择!

开源智能的Maltego

Maltego是Paterva开发的开源智能和取证软件。它带有Kali Linux的预构建版本,但您可以将其安装在任何操作系统上。

该工具用于解决更复杂的问题,方法是将其视为一条信息,然后发现与该数据有关的更多数据部分的链接。最后,它以图形的形式给出了完整的全景图,以可视化输出。

它具有多个称为Transforms的功能,可通过API来拉取相关信息,然后比较倾向于提供有意义信息的数据收集。

话虽如此,在我们的案例中,我们想确定是否有任何员工违反了他们的安全政策,并将他们的工作电子邮件地址输入了第三方网站。此外,我们想知道是否违反凭据,目标丢失的实际密码是什么。

Have I been Pwned 转换

Maltego进行了多种转换,可以跟踪屏幕名称,电子邮件地址,别名以及与组织的其他信息链接。有些是付费的,而另一些则是免费的。

我们将使用相对简单和容易的免费变换“ Have I Powned”。此转换从包含数据库的电子邮件地址和查询中获取信息,该数据库包含与被盗帐户,电子邮件地址,密码,位置和其他个人信息有关的所有数据。该数据库由安全专业人员维护,如果特定的电子邮件地址在用户不知情的情况下受到破坏,则可以让用户得到确认。

在一个网络版的Have I Powned中,我们一次只能查看一封邮件,但在Maltego中,作为一个转换器,几封邮件可以一次点击查看!

使用Maltego识别易受攻击的电子邮件地址

您可以在任何操作系统上使用Maltego;我们在Kali Linux上使用这个工具。它预先安装在Kali上,因此不需要进入安装步骤;只需从Kali终端打开它。

它会询问您要使用哪个版本。我们将使用一个社区版本,因为它是免费的,但我们仍然需要在Paterva帐户。

创建帐户并登录后,您将获得转换中心的主页。在这里您可以看到有各种可用的转换,其中一些是免费的,而另一些是付费的。

幸运的是,Have I Been Pwned转换在Maltego中免费提供,所以您只需安装它。

现在,在安装转换之后,您需要创建一个新的图来进行调查。您可以通过单击左上角的文档图标来创建它。

创建文档后,您将在左角找到“‘Entity Palette(实体调色板)”,从中可以在画布中添加不同的实体(域、设备、组、公司等)。只需拖放要调查的项目。

我们将从添加一个点开始,即域。

必须指定要作为目标的域。在我们的例子中,目标域是微软网站。

获取电子邮件地址

右键点击域名并输入email,你会看到几个选项是付费和免费的。我们将使用免费的,即“PGP密钥服务器中的电子邮件地址。”

然后我们得到很多的电子邮件地址。

我们可以从pastebin获得更多的电子邮件地址,pastebin是一个流行的用于存储和共享文本的web应用程序。

选择所有电子邮件地址并右键单击它,键入paste,您将看到一个选项“Get all pastes featureing the email address”,选择此选项。

您将在图形名称中看到一堆实体,称为“Pastebin”。单击其中一个Pastebin可获取URL。

在浏览URL时,您将被重定向到一个Pastebin页面,在那里您可以找到所需域的电子邮件地址,只需搜索它。
我们找到了一个微软网站从这里复制下来,然后粘贴在Maltego图上。

您还可以使用Harvester,这是一个收集来自不同公共来源(搜索引擎、PGP密钥服务器)的电子邮件帐户、子域名、虚拟主机、开放端口/横幅和员工姓名的工具。

这样,您就可以收集尽可能多的电子邮件地址,并将所需的数据设置为target。

寻找违规账户

现在获取数据集后,您将能够搜索被破坏的电子邮件地址。从实体列表中选择所有地址并右键单击它,键入“break”,您将得到一个选项“get all breakes of an email address”,选择该选项。

运行转换需要一些时间。我们将看到,当这个转换完成运行时,会出现不同的结果。

roberdan@microsft.com网站已经在Dailymotion数据库中被破坏了共享本网站, myfitnesspal.com网站数据库泄露。

右键单击要检查的漏洞之一,dailymotion.com网站。
键入“break”并选择“Enrich breaked domain”选项。

它显示用户已经在Dailymotion上注册了他的公司帐户,因此丢失了他的电子邮件地址、密码和用户名,如下所示。
此外,它还包括对数据库泄漏的简短描述。

此外,我们还可以看到未被破坏的电子邮件地址。

发现实际密码

这个转换显示了个人丢失了哪些数据。提取实际凭据可能很少见,但如果Pastebin转储文件中的密码是纯文本,则我们可能会找到被破坏的密码。

一旦你锁定了邮件,在Maltego的帮助下找到与该邮件相关的Pastebin转储文件就容易多了。

此外,你甚至可以用暴力破解散列密码,如果你成功地将密码破解成明文,你甚至可以在其他平台上使用,如果此人使用相同的密码。
此外,您还可以从旧密码猜测帐户所有者是如何构造新密码的。

结论

所有这些信息都是从一个单一的侦察工具中提取出来的,你得到一条信息,即雇员的电子邮件地址的数据集,向所有人公开,有了这些信息,你就可以调查这些正式电子邮件地址中的数据究竟是什么时候泄露的和都泄露了什么信息。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!