Embed Size (px)
Citation preview
Auskundschaften von Informationen
Pascal Granzer
Adam Kulauzovic
Jens Demel
BA Forensic Engineering
2. Fachsemester
Hochschule Wismar
Fakultät für Ingenieurwissenschaften
Bereich Elektrotechnik und Informatik
Seminar: Informationsrecherche im Internet
Dozentin: Prof. Dr.-Ing. Antje Raab-Düsterhöft
Sommersemester 2019
Ort, Datum der Abgabe: Nördlingen, 2. Juni 2019
Inhaltsverzeichnis
Aufgabenstellung ........................................................................................................ 1
Auswahl einer Website ............................................................................................... 2
Footprinting-Recherche .............................................................................................. 3
Whois ...................................................................................................................... 3
Reverse IP Lookup ................................................................................................. 4
Port-Scan ................................................................................................................ 5
TCP-Port-Scan .................................................................................................... 5
UDP-Port-Scan ................................................................................................... 7
Http-Header ............................................................................................................ 8
Geo-IP-Location .................................................................................................... 10
SpiderFoot ............................................................................................................ 11
Google Abfragen ....................................................................................................... 17
Alle indexierten Seiten .......................................................................................... 17
Fehlerseiten .......................................................................................................... 17
Veröffentlichte E-Mail-Adressen einer Domain ...................................................... 18
Datenbankfehlermeldungen auf Websites ............................................................. 18
Konfigurationsdateien ........................................................................................... 19
(SQL-)Datenbanken bzw. Backups ....................................................................... 19
Log-Dateien .......................................................................................................... 20
Backups und Sicherungsdateien ........................................................................... 20
Login geschützte Seiten ........................................................................................ 21
Ausgabe von SQL-Fehlermeldungen .................................................................... 21
Dokumente .......................................................................................................... 22
(Cisco) VPN-Zugangsdaten .................................................................................. 22
Google Hacking Anfragen über TOR ..................................................................... 23
Dark Web Recherche ................................................................................................ 24
Abbildungsverzeichnis
Abbildung 1: Ergebnis Whois-Anfrage ........................................................................ 3
Abbildung 2: Reverse IP Lookup ................................................................................. 4
Abbildung 3: Ausschnitt eines Port-Scans ................................................................... 6
Abbildung 4: UDP-Port-Scan ...................................................................................... 7
Abbildung 5: HTTP Header Abfrage ............................................................................ 9
Abbildung 6: Geo-IP-Location ................................................................................... 10
Abbildung 7: SpiderFoot Scans ................................................................................. 11
Abbildung 8: Verweise/Verknüpfte Seiten von stuttgart.de ........................................ 12
Abbildung 9: Aufbereitete Darstellung Verweise/Verknüpfungen .............................. 12
Abbildung 10: Mailserver .......................................................................................... 13
Abbildung 11: Treffer im Darknet .............................................................................. 13
Abbildung 12: Cookies .............................................................................................. 13
Abbildung 13: E-Mail-Adressen ................................................................................. 14
Abbildung 14: Telefonnummern ................................................................................ 14
Abbildung 15: Benutzernamen .................................................................................. 14
Abbildung 16: URLs mit Passwortabfrage ................................................................. 15
Abbildung 17: Links auf interne Seiten ...................................................................... 15
Abbildung 18: Links auf externe Seiten ..................................................................... 16
Abbildung 19: Alle indexierten Seiten ........................................................................ 17
Abbildung 20: Fehlerseiten ....................................................................................... 17
Abbildung 21: Veröffentlichte E-Mail-Adressen ......................................................... 18
Abbildung 22: Datenbankfehlermeldungen ............................................................... 18
Abbildung 23: Konfigurationsdateien ......................................................................... 19
Abbildung 24: Datenbankbackups ............................................................................. 19
Abbildung 25: Logdateien ......................................................................................... 20
Abbildung 26: Backups und Sicherungsdateien ........................................................ 20
Abbildung 27: Login Seiten ....................................................................................... 21
Abbildung 28: SQL-Fehlermeldungen ....................................................................... 21
Abbildung 29: Dokumente ......................................................................................... 22
Abbildung 30: VPN-Zugangsdaten ............................................................................ 22
Abbildung 31: TOR Fehler ........................................................................................ 23
Abbildung 32: Dark Web Suche über torch ............................................................... 24
Abbildung 33: Dark Web Suche über notEvil (stuttgart.de) ........................................ 25
Abbildung 34: Dark Web Suche über notEvil (stuttgart) ............................................ 26
Tabellenverzeichnis
Tabelle 1: Reverse DNS Adressen ............................................................................. 4
Tabelle 2: TCP-Ports .................................................................................................. 6
Tabelle 3: UDP-Ports .................................................................................................. 7
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 1
Aufgabenstellung
1. Wählen Sie eine Institution, ein Unternehmen, ein Verein, ein Shop oder ähnliches!
2. Recherchieren Sie im Internet nach aktuellen Werkzeugen, mit denen man Footprin-
ting-Recherchen durchführen kann! Dokumentieren Sie die Tools und nutzen Sie
diese anhand einer Beispiel-Domain. Listen Sie alle Informationen auf, die Sie über
das Unternehmen, die Institution, etc. gefunden haben.
3. Formulieren Sie Google-Abfragen, die oben genannte Informationen bzgl. des Un-
ternehmens, der Institution, etc. (versuchen zu) liefern! Dokumentieren Sie diese!
4. Recherchieren Sie im Dark Web, welche Informationen Sie zu dem Unternehmen,
der Institution, etc. gefunden haben. Installieren Sie einen TOR-Browser, um eine
Dark Web-Suche durchzuführen.
5. Dokumentieren Sie Ihr Vorgehen im Dark Web und die gefundenen Informationen!
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 2
Auswahl einer Website
Wir haben uns für die Domain http://www.stuttgart.de/ entschieden.
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 3
Footprinting-Recherche
Vor Beginn der Footprinting Recherche wurde im Internet nach Programmen/Tools, wel-
che die Recherche unterstützen, gesucht.
Whois
Mit Hilfe einer Whois-Anfrage können Informationen zu einer Domain oder zu IP-Adres-
sen und deren Eigentümern gesammelt werden.
Seit 25. Mai 2018 ist es jedoch auf Grund der EU-Datenschutzgrundverordnung nicht
mehr möglich, die personenbezogenen Daten der Website-Eigentümer und Administra-
toren abzurufen.
Folgende Informationen wurden mittels Whois-Anfrage1 ausfindig gemacht:
Nameserver:
Nserver: ns1.arcor-ip.de
Nserver: ns2.arcor-ip.de
Nserver: ns3.arcor-ip.de
Provider:
Vodafone GmbH
Abbildung 1: Ergebnis Whois-Anfrage
1 http://whois.domaintools.com/stuttgart.de
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 4
Reverse IP Lookup
Durch einen Reverse IP Lookup können alle Domains, welche auf demselben Webser-
ver gehostet werden, herausgefunden werden.
Die Website viewdns2 liefert nachfolgende Domains, welche auf dem Webserver mit der
IP 91.208.45.221 gehostet werden:
Domain Last Resolved Date
jr-stuttgart.de 2019-05-23
jugendrat-stuttgart.de 2019-05-23
stuttgart.de 2019-05-23
wolfgang-schuster.com 2014-11-17
wolfgang-schuster.eu 2017-08-22
wolfgang-schuster.info 2019-05-22
wolfgang-schuster.net 2014-11-17
wolfgang-schuster.org 2014-11-29
Tabelle 1: Reverse DNS Adressen
Abbildung 2: Reverse IP Lookup
2 https://viewdns.info/reverseip/?host=91.208.45.221&t=1
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 5
Port-Scan
Port-Scans prüfen, welche Ports und welche Dienste eines Webservers geöffnet und
somit auch von „außen“ erreichbar sind.
TCP-Port-Scan
Port-Status3 auf Host 91.208.45.221
Port Status und Beschreibung
21 Der „FTP“-Port ist geschlossen. Wird für den Dateitransfer via FTP verwendet.
22 Der „SSH“-Port ist geschlossen. Wird für den Zugriff mittels Secure Shell verwendet.
23 Der „Telnet“-Port ist geschlossen. Wird zur Terminalemulation verwendet.
25 Der „SMTP“-Port ist geschlossen. Wird für den E-Mail-Versand verwendet (siehe auch Port 465).
53 Der „DNS“-Port ist geschlossen. Wird zur Auflösung von Domainnamen in IP-Adressen verwendet.
79 Der „Finger“-Port ist geschlossen. Wird zur Anzeige von Informationen über einen Benutzer verwendet.
80 Der „HTTP“-Port ist offen. Wird zur Kommunikation mit dem Webserver verwendet.
110 Der „POP3“-Port ist geschlossen. Wird zum Client-Zugriff für E-Mail-Server verwendet.
115 Der „SFTP“-Port ist geschlossen. Wird zum „Simple File Transfer Protocol“ zum Datenaustausch verwendet.
135 Der „RPC“-Port ist geschlossen. Wird zur Ausführung von Remote Procedure Calls verwendet.
139 Der „NetBIOS“-Port ist geschlossen. Wird von Netbios (Network Basic Input Output System) verwendet.
143 Der „IMAP“-Port ist geschlossen. Wird zum Zugriff und zur Verwaltung von Mailboxen verwendet.
194 Der „IRC“-Port ist geschlossen. Wird zum Zugriff auf IMAP-Mailboxen verwendet.
389 Der „LDAP“-Port ist geschlossen. Wird zur Abfrage und Modifikation von Verzeichnisdiensten ver-wendet.
443 Der „HTTPS“-Port ist offen. Wird für verschlüsselte Webserver Übertragungen verwendet.
445 Der „SMB“-Port ist geschlossen. Wird von der Windows Dateifreigabe verwendet.
3 http://www.dnstools.ch/port-scanner.html
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 6
Port Status und Beschreibung
465 Der „SMTPS“-Port ist geschlossen. Wird für gesicherten E-Mail-Versand verwendet.
1433 Der „MS SQL“-Port ist geschlossen. Wird zur Kommunikation mit einem MS SQL-Server verwendet.
1723 Der „PPTP“-Port ist geschlossen. Wird zum Point-to-Point Tunneling (VPN) verwendet.
3306 Der „MySQL“-Port ist geschlossen. Wird zum Zugriff auf MySQL-Datenbanken verwendet.
3389 Der „Remote Desktop“-Port ist geschlossen. Wird zum Windows Remotedesktopzugriff verwendet.
5632 Der „pcAnywhere“-Port ist geschlossen. Wird zum Remote-Zugriff mittels pcANYWHERE verwendet.
5900 Der „VNC“-Port ist geschlossen. Wird von VNC zum Viewer-Zugriff verwendet.
6112 Der „Warcraft III“-Port ist geschlossen. Wird von Warcraft III zum Hosten von Spielen verwendet.
8080 Der „HTTP-Alt“-Port ist geschlossen.
Wird häufig von Proxy- und Caching-Servern verwendet.
Tabelle 2: TCP-Ports
Abbildung 3: Ausschnitt eines Port-Scans
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 7
UDP-Port-Scan
Ein UDP-Port-Scanner4 prüft, welche Ports auf der 4. Schicht des OSI-Modells geöffnet
sind.
Port Status und Beschreibung
53 Der „DNS“-Port ist geöffnet. Wird zur Auflösung von Domainnamen in IP-Adressen verwendet.
69 Der „TFTP“-Port ist geöffnet. Wird zur einfachen Datenübertragung verwendet.
123 Der „NPT“-Port ist geöffnet. Wird zur Zeitsynchronisierung zwischen mehreren Computern verwendet.
161 Der „SNMP“-Port ist geöffnet. Wird zur Überwachung und Steuerung von Netzwerkelementen verwendet.
1900 Der „Microsoft SSDP“-Port ist geöffnet. Wird zum Auffinden von UPnP-Geräten verwendet.
5353 Der „mDNS“-Port ist geöffnet. Wird zur selbstständigen Konfiguration von Rechnernetzen verwendet.
11211 Der „Memcached“-Port ist geöffnet. Wird als Cacheserver verwendet.
Tabelle 3: UDP-Ports
Abbildung 4: UDP-Port-Scan
4 https://hackertarget.com/udp-port-scan/
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 8
Http-Header
Header-Dateien werden beim Abrufen einer Seite vom Webserver auf den Client über-
tragen. Sie können beispielsweise Informationen über den Webserver, Umleitungen o-
der Cookies enthalten.
Diese Informationen konnten durch eine HTTP Header Abfrage5 ermittelt werden:
Date: Mon, 20 May 2019 12:48:03 GMT
Datum und Zeit, wann die Übertragung stattgefunden hat
Server: Apache
Signatur, mit der sich der Server selbst identifiziert, meist ist dies
der Name und die Version der Serverversion
x-hostname: x104-lamp18
Name des Servers
Location: https://www.stuttgart.de
Die Seite fordert den Browser auf, eine neue Anfrage unter dieser
Adresse zu stellen
Content-Length: 233
Gibt an, wie viele Bytes insgesamt für diese Datei übertragen wer-
den
Connection: close
Hiermit lassen sich Einstellungen für die Verbindung zwischen
Server und Client festlegen
Content-Type: text/html; charset=iso-8859-1
Angabe über den Dateityp
5 http://www.dnstools.ch/http-header.html
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 9
Abbildung 5: HTTP Header Abfrage
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 10
Geo-IP-Location
Hier wird versucht, der Standort des Servers6 an Hand der IP-Adresse zu ermitteln.
IP-Adresse: 91.208.45.221
Country: Germany
City: Stuttgart
Latitude: 48.8026
Longitude: 9.2177
Abbildung 6: Geo-IP-Location
6 https://hackertarget.com/geoip-ip-location-lookup/
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 11
SpiderFoot
SpiderFoot ist ein OpenSource Tool, welches zur Bedrohungsanalyse und zur Aufklä-
rung eingesetzt wird.
Es verwendet über 100 öffentliche OSINT (Open Source Intelligence) Quellen, um Infor-
mationen über eine Ziel-Adresse zu ermitteln.
Nach einer Laufzeit von fast 48 Stunden und über 70.000 gefundenen Elementen wurde
die Auswertung abgebrochen.
Abbildung 7: SpiderFoot Scans
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 12
Die Struktur der Webseite grafisch mit Gephi aufbereitet.
Abbildung 8: Verweise/Verknüpfte Seiten von stuttgart.de
Abbildung 9: Aufbereitete Darstellung Verweise/Verknüpfungen
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 13
Unter anderem wurden folgende Informationen ermittelt:
Mailserver
Abbildung 10: Mailserver
Erwähnungen im Darknet
Abbildung 11: Treffer im Darknet
Verwendete Cookies
Abbildung 12: Cookies
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 14
E-Mail-Adressen
Abbildung 13: E-Mail-Adressen
Telefonnummern
Abbildung 14: Telefonnummern
Benutzernamen
Abbildung 15: Benutzernamen
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 15
URLs, welche ein Passwort abfragen
Abbildung 16: URLs mit Passwortabfrage
Interne Links
Abbildung 17: Links auf interne Seiten
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 16
Externe Links
Abbildung 18: Links auf externe Seiten
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 17
Google Abfragen
Alle indexierten Seiten
site:stuttgart.de
Abbildung 19: Alle indexierten Seiten
Fehlerseiten
site:stuttgart.de intitle:error
Abbildung 20: Fehlerseiten
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 18
Veröffentlichte E-Mail-Adressen einer Domain
@stuttgart.de
Abbildung 21: Veröffentlichte E-Mail-Adressen
Datenbankfehlermeldungen auf Websites
site:stuttgart.de “Accedd denied for user:“
Abbildung 22: Datenbankfehlermeldungen
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 19
Konfigurationsdateien
site:stuttgart.de ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp | ext:cfg | ext:txt |
ext:ora | ext:ini
Abbildung 23: Konfigurationsdateien
(SQL-)Datenbanken bzw. Backups
site:stuttgart.de ext:sql | ext:dbf | ext:mdb
Abbildung 24: Datenbankbackups
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 20
Log-Dateien
site:stuttgart.de ext:log
Abbildung 25: Logdateien
Backups und Sicherungsdateien
site:stuttgart.de ext:bkf | ext:bkp | ext:bak | ext:old | ext:backup
Abbildung 26: Backups und Sicherungsdateien
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 21
Login geschützte Seiten
site:stuttgart.de inurl:login
Abbildung 27: Login Seiten
Ausgabe von SQL-Fehlermeldungen
site:stuttgart.de intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incor-
rect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning:
mysql_connect()" | intext:"Warning: mysql_query()" | intext:"Warning: pg_connect()"
Abbildung 28: SQL-Fehlermeldungen
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 22
Dokumente
site:stuttgart.de ext:doc | ext:docx | ext:odt | ext:pdf | ext:rtf | ext:sxw | ext:psw | ext:ppt |
ext:pptx | ext:pps | ext:csv
Abbildung 29: Dokumente
(Cisco) VPN-Zugangsdaten
Site:stuttgart.de !Host=*.* intext:enc:UserPasswortd=*ext:pcf
Abbildung 30: VPN-Zugangsdaten
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 23
Google Hacking Anfragen über TOR
Werden die oben gezeigten Anfragen über den TOR-Browser abgesetzt kommt es zu
folgender Meldung:
Abbildung 31: TOR Fehler
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 24
Dark Web Recherche
Suche mittels der Seite torch7.
Abbildung 32: Dark Web Suche über torch
7 http://xmh57jrzrnw6insl.onion/
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 25
Suche über die Seite notEvil8.
NotEvil ist eine TOR-Suchmaschine, die nur versteckte TOR-Services indexiert hat.
Abbildung 33: Dark Web Suche über notEvil (stuttgart.de)
8 http://hss3uro2hsxfogfq.onion/
Auskundschaften von Informationen
Pascal Granzer, Adam Kulauzovic, Jens Demel S e i t e | 26
Abbildung 34: Dark Web Suche über notEvil (stuttgart)
Weitere Erwähnungen der Domain stuttgart.de wurden bereits bei der Footprinting-Re-
che durch SpiderFoot gefunden.
