TheHarvester: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
*[[TheHarvester Grundlagen]]
 
*[[TheHarvester Optionen]]
 
*[[TheHarvester momentan unterstützte Quellen]]
 
*[[TheHarvester Beispiele]]
 
 
=TheHarvester Grundlagen=
 
=TheHarvester Grundlagen=
 
==Paketbeschreibung==
 
==Paketbeschreibung==
*Das Ziel dieses Programms ist verschiedene Dinge zusammeln
+
theHarvester sammelt im frühen Stadium eines Penetrationstests passiv Informationen über eine Domain bzw. Organisation:
*Hierzu zählen
+
*E-Mails
**E-Mails
+
*Subdomains und Hosts
**Subdomains
+
*IP-Adressen
**Hosts
+
*Mitarbeiternamen
**Mitarbeiternamen
+
*offene Ports und Banner (über angereicherte Quellen wie Shodan)
**offene Ports  
+
Die Daten stammen aus öffentlichen Quellen: Suchmaschinen, Certificate-Transparency-Logs, Passive-DNS-Diensten, PGP-Keyservern und kommerziellen OSINT-APIs.
**Banner  
+
 
*Die Quellen sind hier
+
;Einsatzzweck
**Suchmaschinen
+
*Hilft dem Pentester, die externe Angriffsfläche zu kartieren, ohne das Ziel direkt zu kontaktieren.
**PGP-Schlüsselservern
+
*Ebenso für Verteidiger/SOC nützlich: "Was sieht ein Angreifer rein passiv über uns?"
**SHODAN-Computerdatenbanken zu sammeln.
+
 
==Das Tool ist ein typischer Informationsbeschaffer==
 
*Dieses Tool soll Penetrationstestern in den frühen Stadien des Penetrationstests helfen
 
*Es ist auch für jeden nützlich, der wissen möchte, was ein Angreifer über seine Organisation sehen kann.
 
 
==Quelle==
 
==Quelle==
 
*https://github.com/laramies/theHarvester/
 
*https://github.com/laramies/theHarvester/
theHarvester-Startseite | Kali theHarvester Repo
+
  Autor: Christian Martorella, Edge-Security
  Autor: Christian Martorella
 
 
  Lizenz: GPLv2
 
  Lizenz: GPLv2
 +
Dokumentierte Version in diesem Artikel: theHarvester 4.10.1 (Kali)
  
 
=TheHarvester Optionen=
 
=TheHarvester Optionen=
==API Keys==
+
==Maßgebliche Optionsliste der eigenen Version ermitteln==
;Manche Abfragen verlagen eine Authorisierung, hier kommen die API Keys rein
+
Die Optionen und unterstützten Quellen ändern sich zwischen den Versionen. Verbindlich ist immer die eigene Installation, nicht das Online-README.
*/etc/theHarvester/api-keys.yaml
+
;Optionen anzeigen
<pre>
+
*theHarvester -h
apikeys:
+
;Nur die unterstützten Quellen herausziehen
  bing:
+
*theHarvester -h | sed -n '/-b SOURCE/,/^$/p'
    key:
 
  
  censys:
+
==Optionen (4.10.1)==
    id:
+
;Allgemein
    secret:
+
*-d, --domain DOMAIN
 +
Ziel-Domain oder Firmenname.
 +
*-l, --limit LIMIT
 +
Begrenzt die Anzahl der Ergebnisse, default=500.
 +
*-S, --start START
 +
Beginnt ab Ergebnis Nummer X, default=0.
 +
*-b, --source SOURCE
 +
Komma-getrennte Liste der Quellen (siehe unten).
 +
*-f, --filename FILENAME
 +
Speichert die Ergebnisse als JSON und XML (Basisname ohne Endung angeben).
 +
;Passiv / Anreicherung
 +
*-g, --google-dork
 +
Google-Dorks verwenden (Wortliste unter /etc/theHarvester/wordlists/dorks.txt).
 +
*-p, --proxies
 +
Anfragen über Proxys aus /etc/theHarvester/proxies.yaml leiten.
 +
*-s, --shodan
 +
Gefundene Hosts über Shodan anreichern (Ports/Banner, API-Key erforderlich).
 +
;Aktiv (nimmt Kontakt zu Ziel/DNS auf - nur im Scope!)
 +
*-c, --dns-brute
 +
DNS-Brute-Force gegen die Domain (interne Wortliste).
 +
*-n, --dns-lookup
 +
DNS-Auflösung der gefundenen Hosts aktivieren, default False.
 +
*-v, --virtual-host
 +
Hostnamen per DNS auflösen und auf virtuelle Hosts prüfen.
 +
*-e, --dns-server DNS_SERVER
 +
Eigenen DNS-Server für die Auflösung verwenden.
 +
*-t, --dns-tld
 +
DNS-TLD-Expansion (gleicher Name unter anderen TLDs).
 +
*-r, --take-over
 +
Auf Subdomain-Takeover prüfen.
 +
*--screenshot VERZEICHNIS
 +
Screenshots aufgelöster Hosts in das angegebene Verzeichnis (sinnvoll nur zusammen mit DNS-Auflösung).
 +
;Neuere Optionen (mit theHarvester -h gegenprüfen)
 +
*--dns-resolve
 +
DNS-Auflösung der Subdomains mit eigener Resolver-Liste.
 +
*-w, --wordlist
 +
Wortliste für API-Endpoint-Scan.
 +
*-a, --api-scan
 +
Nach API-Endpunkten suchen.
  
  github:
+
=TheHarvester Quellen=
    key:
+
==Kostenlose Quellen ohne API-Key==
 +
Diese Quellen wurden gegen tuxmen.de mit 4.10.1 erfolgreich ohne Key genutzt:
 +
*crtsh, certspotter (Certificate-Transparency-Logs)
 +
*otx, rapiddns, subdomaincenter, thc (Passive DNS / Subdomain-Dienste)
 +
*urlscan (URL-/Website-Scanner)
 +
*hackertarget (stark limitiert)
 +
Zusätzlich keyfrei nutzbar (Suchmaschinen): duckduckgo, yahoo, baidu.
  
  hunter:
+
;Hinweis
    key:
+
*certspotter, otx und urlscan funktionieren ohne Key. Ein optionaler Key hebt nur die Limits an.
  
  intelx:
+
==Quelle mit kostenlosem API-Key: DNSDumpster==
    key:
+
Kostenloser Key nach Registrierung unter https://dnsdumpster.com/ (Free-Tier: 50 Abfragen/Tag). Eintrag in /etc/theHarvester/api-keys.yaml:
 
+
<pre>
  pentestTools:
+
   dnsdumpster:
    key:
+
    key: API-KEY
 
 
  projectDiscovery:
 
    key:
 
 
 
  securityTrails:
 
    key:
 
 
 
  shodan:
 
    key:
 
 
 
   spyse:
 
    key:
 
 
</pre>
 
</pre>
 +
;Aufruf
 +
*theHarvester -b dnsdumpster -d tuxmen.de
  
==theHarvester is used to gather open source intelligence (OSINT) on a company or domain.==
+
==API-Keys eintragen==
;optional arguments:
+
;Speicherort
*-h, --help
+
*/etc/theHarvester/api-keys.yaml
show this help message and exit
+
Die tatsächlich erwartete Struktur immer aus der Datei selbst entnehmen (Format ändert sich je Version):
*-d DOMAIN, --domain DOMAIN
+
*cat /etc/theHarvester/api-keys.yaml
Company name or domain to search.
 
*-l LIMIT, --limit LIMIT
 
Limit the number of search results, default=500.
 
*-S START, --start START
 
Start with result number X, default=0.
 
*-g, --google-dork   
 
Use Google Dorks for Google search.
 
*-p, --proxies       
 
Use proxies for requests, enter proxies in proxies.yaml.
 
*-s, --shodan         
 
Use Shodan to query discovered hosts.
 
*--screenshot SCREENSHOT
 
Take screenshots of resolved domains specify output directory: --screenshot output_directory
 
*-v, --virtual-host   
 
Verify host name via DNS resolution and search for virtual hosts.
 
*-e DNS_SERVER, --dns-server DNS_SERVER
 
DNS server to use for lookup.
 
*-t DNS_TLD, --dns-tld DNS_TLD
 
Perform a DNS TLD expansion discovery, default False.
 
*-r, --take-over
 
Check for takeovers.
 
*-n, --dns-lookup
 
Enable DNS server lookup, default False.
 
*-c, --dns-brute
 
Perform a DNS brute force on the domain.
 
-f FILENAME, --filename FILENAME
 
Save the results to an HTML and/or XML file.
 
-b SOURCE, --source SOURCE
 
baidu, bing, bingapi, bufferoverun, censys, certspotter, crtsh, dnsdumpster, duckduckgo, exalead, github-code, google,
 
hackertarget, hunter, intelx, linkedin, linkedin_links, netcraft, omnisint, otx, pentesttools, projectdiscovery, qwant,
 
rapiddns, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo
 
 
 
=TheHarvester momentan unterstützte Quellen=
 
==Formate==
 
anubis, baidu, bevigil, binaryedge, bing, bingapi,
 
bufferoverun, brave, censys, certspotter, criminalip,
 
crtsh, dnsdumpster, duckduckgo,fullhunt, github-code,
 
hackertarget, hunter, hunterhow, intelx, netlas, onyphe,
 
otx, pentesttools,projectdiscovery, rapiddns, rocketreach,
 
securityTrails, sitedossier, subdomaincenter, subdomainfinderc99,
 
threatminer, tomba, urlscan, virustotal, yahoo, zoomeye
 
 
 
== Kostenlose API-Keys ==
 
 
 
=== Bing Search API (bingapi) ===
 
* '''Kostenlos''': Microsoft bietet einen kostenlosen Plan für die Bing Search API an, allerdings mit begrenzten Anfragen pro Monat.
 
* '''Registrierung''': Sie können sich über das Azure-Portal anmelden, um den API-Key zu erhalten.
 
 
 
=== Censys ===
 
* '''Kostenlos''': Censys bietet einen kostenlosen API-Zugang mit einer limitierten Anzahl von Abfragen pro Tag.
 
* '''Registrierung''': Erstellen Sie ein Konto auf der [https://censys.io/ Censys-Webseite] und erhalten Sie Ihren API-Key.
 
 
 
=== CertSpotter ===
 
* '''Kostenlos''': CertSpotter bietet eine kostenlose Nutzung an, allerdings mit eingeschränkten Funktionen.
 
* '''Registrierung''': API-Keys sind auf der [https://certspotter.com/ CertSpotter-Webseite] verfügbar.
 
 
 
=== CriminalIP ===
 
* '''Kostenlos''': CriminalIP bietet einen kostenlosen Plan mit beschränkten Anfragen pro Monat.
 
* '''Registrierung''': Registrieren Sie sich auf der [https://www.criminalip.io/ CriminalIP-Webseite] und erhalten Sie einen API-Key.
 
  
=== Crt.sh ===
+
==Vorschläge für weitere Keys (Free-Tier vorhanden - noch zu entscheiden)==
* '''Kostenlos''': crt.sh ist ein kostenloser Dienst, der keine API-Schlüssel benötigt. Abfragen können direkt ohne Registrierung durchgeführt werden.
+
{| class="wikitable"
 
+
! Quelle !! Free-Tier !! Liefert !! Warum interessant
=== FullHunt ===
+
|-
* '''Kostenlos''': FullHunt bietet einen kostenlosen API-Zugang mit eingeschränkten Funktionen.
+
| securityTrails || ja, limitiert || DNS-Historie || deckt alte/vergessene Records und frühere IPs auf
* '''Registrierung''': API-Keys können über die [https://fullhunt.io/ FullHunt-Webseite] bezogen werden.
+
|-
 
+
| hunter || ja, limitiert || E-Mails || namensgebende E-Mail-Funktion, fehlt sonst im Kurs
=== GitHub Code Search (github-code) ===
+
|-
* '''Kostenlos''': GitHub bietet API-Schlüssel für die Nutzung der GitHub-Suche an.
+
| github-code || ja (GitHub-PAT) || Secrets/Configs in Repos || didaktisch stark: Funde von Keys/Configs
* '''Registrierung''': Sie können den API-Key über Ihr GitHub-Konto erhalten.
+
|-
 
+
| censys || ja, limitiert || Zertifikate, Subdomains || zweite CT-/Zertifikatsquelle
=== Hunter.io ===
+
|-
* '''Kostenlos''': Hunter.io bietet eine begrenzte Anzahl von Anfragen pro Monat kostenlos an.
+
| virustotal || ja, limitiert || Subdomains, Relationen || gute Ergänzung zu CT-Logs
* '''Registrierung''': Sie können sich auf der [https://hunter.io/ Hunter.io-Webseite] registrieren, um einen API-Key zu erhalten.
+
|-
 
+
| fullhunt / netlas / onyphe || ja, limitiert || Assets, Ports || Attack-Surface-Sicht
=== IntelX ===
+
|}
* '''Kostenlos''': IntelX bietet einen kostenlosen API-Zugang mit begrenzten Anfragen pro Tag.
+
;Kostenpflichtig / sehr eng limitiert (optional)
* '''Registrierung''': API-Keys sind auf der [https://intelx.io/ IntelX-Webseite] verfügbar.
+
*shodan, criminalip, fofa - Ports und Banner, aber kein echter Free-Tier mehr.
 
 
=== Onyphe ===
 
* '''Kostenlos''': Onyphe bietet einen kostenlosen API-Zugang mit limitierten Abfragen.
 
* '''Registrierung''': Sie können sich auf der [https://www.onyphe.io/ Onyphe-Webseite] registrieren, um den API-Key zu erhalten.
 
 
 
=== OTX (Open Threat Exchange) ===
 
* '''Kostenlos''': OTX von AlienVault bietet einen kostenlosen API-Zugang mit verschiedenen Sicherheitsinformationen.
 
* '''Registrierung''': Registrieren Sie sich auf der [https://otx.alienvault.com/ OTX-Webseite] und erhalten Sie einen API-Key.
 
 
 
=== URLScan.io ===
 
* '''Kostenlos''': URLScan.io bietet eine begrenzte Anzahl von API-Aufrufen pro Monat kostenlos an.
 
* '''Registrierung''': API-Keys können über die [https://urlscan.io/ URLScan-Webseite] bezogen werden.
 
 
 
=== VirusTotal ===
 
* '''Kostenlos''': VirusTotal bietet einen kostenlosen API-Zugang mit limitierten Abfragen.
 
* '''Registrierung''': Registrieren Sie sich auf der [https://www.virustotal.com/ VirusTotal-Webseite] und erhalten Sie einen API-Key.
 
 
 
=== Zoomeye ===
 
* '''Kostenlos''': Zoomeye bietet eine begrenzte Anzahl von API-Anfragen pro Tag kostenlos an.
 
* '''Registrierung''': API-Keys sind auf der [https://www.zoomeye.org/ Zoomeye-Webseite] verfügbar.
 
  
 
=TheHarvester Beispiele=
 
=TheHarvester Beispiele=
 
==Subdomain-Ermittlung über Certificate-Transparency-Logs (crt.sh)==
 
==Subdomain-Ermittlung über Certificate-Transparency-Logs (crt.sh)==
Subdomains der Ziel-Domain, die in öffentlichen Certificate-Transparency-Logs aus TLS-Zertifikaten extrahiert wurden. Alle öffentlich ausgestellten TLS-Zertifikate müssen in CT-Logs veröffentlicht werden, wodurch sich Hostnamen passiv ermitteln lassen, ohne das Zielsystem direkt zu kontaktieren.
+
Subdomains aus öffentlichen CT-Logs. Alle öffentlich ausgestellten TLS-Zertifikate müssen in CT-Logs veröffentlicht werden, wodurch sich Hostnamen passiv ermitteln lassen, ohne das Zielsystem zu kontaktieren.
 
*theHarvester -d tuxmen.de -b crtsh
 
*theHarvester -d tuxmen.de -b crtsh
==DNSDumpster ==
+
 
Man bekommt einen kostenlosen API Key, wenn man sich hier registriert '''https://dnsdumpster.com/'''. Der API-Key muss dann hier rein: ''' /etc/theHarvester/api-keys.yaml'''
 
  dnsdumpster:
 
    key: API-KEY
 
* theHarvester  -b dnsdumpster -d tuxmen.de
 
 
==Passive DNS- und Host-Abfrage über HackerTarget==
 
==Passive DNS- und Host-Abfrage über HackerTarget==
Einfache passive Abfrage von Hostnamen und IP-Adressen über öffentliche DNS- und Netzwerkdaten. Die Quelle ist stark limitiert, eignet sich aber zur schnellen Einordnung und als Ergänzung zu CT-Log-Ergebnissen.
+
Schnelle, stark limitierte Abfrage von Hostnamen und IPs. Gut zur Einordnung und als Ergänzung zu CT-Logs.
 
*theHarvester -d tuxmen.de -b hackertarget
 
*theHarvester -d tuxmen.de -b hackertarget
  
==Kombinierte Subdomain-, DNS- und Shodan-Abfrage==
+
==Komplette Recon ohne API-Keys + Ausgabe speichern==
Durch die Kombination aus Certificate-Transparency-Logs und DNS-Quellen werden zunächst Hostnamen und zugehörige IP-Adressen ermittelt. Die Option -s aktiviert die Shodan-Abfrage zur passiven Anreicherung dieser IP-Adressen mit Informationen zu offenen Ports und Diensten.
+
Mehrere freie Quellen kombiniert, Ergebnis als JSON/XML.
Für die Nutzung von Shodan ist ein API-Key erforderlich, der nach Registrierung unter '''https://account.shodan.io/''' bereitgestellt wird und in der Datei '''/etc/theHarvester/api-keys.yaml''' im Abschnitt '''shodan''' eingetragen werden muss.
+
*theHarvester -d tuxmen.de -b crtsh,certspotter,otx,rapiddns,subdomaincenter,thc,urlscan,hackertarget -f tuxmen-recon
 +
 
 +
==Freie Quellen + DNSDumpster (API-Key)==
 +
*theHarvester -d tuxmen.de -b crtsh,certspotter,otx,rapiddns,subdomaincenter,thc,urlscan,hackertarget,dnsdumpster -f tuxmen-recon
 +
 
 +
==Kombinierte Subdomain- und Shodan-Abfrage==
 +
Zuerst Hostnamen und IPs ermitteln, dann mit -s die IPs über Shodan um Ports/Dienste anreichern. Shodan-Key erforderlich (https://account.shodan.io/, Abschnitt shodan in api-keys.yaml).
 
*theHarvester -d tuxmen.de -s -b crtsh,dnsdumpster
 
*theHarvester -d tuxmen.de -s -b crtsh,dnsdumpster
  
==Kombinierter Scan aus mehreren freien Quellen==
+
==Aktive Anreicherung (nur im freigegebenen Scope!)==
*theHarvester -d tuxmen.de -b duckduckgo,yahoo,crtsh
+
;DNS-Brute-Force + Auflösung
 +
*theHarvester -d tuxmen.de -b crtsh,otx -c -n
 +
;Virtuelle Hosts prüfen und Screenshots ablegen
 +
*theHarvester -d tuxmen.de -b crtsh,otx  --screenshot /tmp/shots-tuxmen
 +
;Subdomain-Takeover-Check
 +
*theHarvester -d tuxmen.de -b crtsh -r
 +
 
 +
=Weiterverarbeitung: von theHarvester zu nmap=
 +
Die mit -f erzeugte JSON-Datei liefert direkt die IP-Liste für den nmap-Scan (siehe nmap-Artikel).
 +
;IPs extrahieren und an nmap übergeben
 +
<pre>
 +
jq -r '.ips[]' tuxmen-recon.json | sort -u > tuxmen-ips.txt
 +
nmap -iL tuxmen-ips.txt -sV -oA tuxmen-nmap
 +
</pre>
  
 
=Aufgaben=
 
=Aufgaben=
*Untersuche folgende Webseiten
+
''(Strukturierte Aufgaben mit Ergebnistabelle folgen - vgl. nmap-Artikel.)''
 +
*Untersuche folgende Domains rein passiv:
 
**heise.de
 
**heise.de
 
**suse.de
 
**suse.de

Aktuelle Version vom 23. Juni 2026, 07:57 Uhr

TheHarvester Grundlagen

Paketbeschreibung

theHarvester sammelt im frühen Stadium eines Penetrationstests passiv Informationen über eine Domain bzw. Organisation:

  • E-Mails
  • Subdomains und Hosts
  • IP-Adressen
  • Mitarbeiternamen
  • offene Ports und Banner (über angereicherte Quellen wie Shodan)

Die Daten stammen aus öffentlichen Quellen: Suchmaschinen, Certificate-Transparency-Logs, Passive-DNS-Diensten, PGP-Keyservern und kommerziellen OSINT-APIs.

Einsatzzweck
  • Hilft dem Pentester, die externe Angriffsfläche zu kartieren, ohne das Ziel direkt zu kontaktieren.
  • Ebenso für Verteidiger/SOC nützlich: "Was sieht ein Angreifer rein passiv über uns?"

Quelle

Autor: Christian Martorella, Edge-Security
Lizenz: GPLv2
Dokumentierte Version in diesem Artikel: theHarvester 4.10.1 (Kali)

TheHarvester Optionen

Maßgebliche Optionsliste der eigenen Version ermitteln

Die Optionen und unterstützten Quellen ändern sich zwischen den Versionen. Verbindlich ist immer die eigene Installation, nicht das Online-README.

Optionen anzeigen
  • theHarvester -h
Nur die unterstützten Quellen herausziehen
  • theHarvester -h | sed -n '/-b SOURCE/,/^$/p'

Optionen (4.10.1)

Allgemein
  • -d, --domain DOMAIN
Ziel-Domain oder Firmenname.
  • -l, --limit LIMIT
Begrenzt die Anzahl der Ergebnisse, default=500.
  • -S, --start START
Beginnt ab Ergebnis Nummer X, default=0.
  • -b, --source SOURCE
Komma-getrennte Liste der Quellen (siehe unten).
  • -f, --filename FILENAME
Speichert die Ergebnisse als JSON und XML (Basisname ohne Endung angeben).
Passiv / Anreicherung
  • -g, --google-dork
Google-Dorks verwenden (Wortliste unter /etc/theHarvester/wordlists/dorks.txt).
  • -p, --proxies
Anfragen über Proxys aus /etc/theHarvester/proxies.yaml leiten.
  • -s, --shodan
Gefundene Hosts über Shodan anreichern (Ports/Banner, API-Key erforderlich).
Aktiv (nimmt Kontakt zu Ziel/DNS auf - nur im Scope!)
  • -c, --dns-brute
DNS-Brute-Force gegen die Domain (interne Wortliste).
  • -n, --dns-lookup
DNS-Auflösung der gefundenen Hosts aktivieren, default False.
  • -v, --virtual-host
Hostnamen per DNS auflösen und auf virtuelle Hosts prüfen.
  • -e, --dns-server DNS_SERVER
Eigenen DNS-Server für die Auflösung verwenden.
  • -t, --dns-tld
DNS-TLD-Expansion (gleicher Name unter anderen TLDs).
  • -r, --take-over
Auf Subdomain-Takeover prüfen.
  • --screenshot VERZEICHNIS
Screenshots aufgelöster Hosts in das angegebene Verzeichnis (sinnvoll nur zusammen mit DNS-Auflösung).
Neuere Optionen (mit theHarvester -h gegenprüfen)
  • --dns-resolve
DNS-Auflösung der Subdomains mit eigener Resolver-Liste.
  • -w, --wordlist
Wortliste für API-Endpoint-Scan.
  • -a, --api-scan
Nach API-Endpunkten suchen.

TheHarvester Quellen

Kostenlose Quellen ohne API-Key

Diese Quellen wurden gegen tuxmen.de mit 4.10.1 erfolgreich ohne Key genutzt:

  • crtsh, certspotter (Certificate-Transparency-Logs)
  • otx, rapiddns, subdomaincenter, thc (Passive DNS / Subdomain-Dienste)
  • urlscan (URL-/Website-Scanner)
  • hackertarget (stark limitiert)

Zusätzlich keyfrei nutzbar (Suchmaschinen): duckduckgo, yahoo, baidu.

Hinweis
  • certspotter, otx und urlscan funktionieren ohne Key. Ein optionaler Key hebt nur die Limits an.

Quelle mit kostenlosem API-Key: DNSDumpster

Kostenloser Key nach Registrierung unter https://dnsdumpster.com/ (Free-Tier: 50 Abfragen/Tag). Eintrag in /etc/theHarvester/api-keys.yaml: 

  dnsdumpster:
     key: API-KEY
Aufruf
  • theHarvester -b dnsdumpster -d tuxmen.de

API-Keys eintragen

Speicherort
  • /etc/theHarvester/api-keys.yaml

Die tatsächlich erwartete Struktur immer aus der Datei selbst entnehmen (Format ändert sich je Version):

  • cat /etc/theHarvester/api-keys.yaml

Vorschläge für weitere Keys (Free-Tier vorhanden - noch zu entscheiden)

Quelle Free-Tier Liefert Warum interessant
securityTrails ja, limitiert DNS-Historie deckt alte/vergessene Records und frühere IPs auf
hunter ja, limitiert E-Mails namensgebende E-Mail-Funktion, fehlt sonst im Kurs
github-code ja (GitHub-PAT) Secrets/Configs in Repos didaktisch stark: Funde von Keys/Configs
censys ja, limitiert Zertifikate, Subdomains zweite CT-/Zertifikatsquelle
virustotal ja, limitiert Subdomains, Relationen gute Ergänzung zu CT-Logs
fullhunt / netlas / onyphe ja, limitiert Assets, Ports Attack-Surface-Sicht
Kostenpflichtig / sehr eng limitiert (optional)
  • shodan, criminalip, fofa - Ports und Banner, aber kein echter Free-Tier mehr.

TheHarvester Beispiele

Subdomain-Ermittlung über Certificate-Transparency-Logs (crt.sh)

Subdomains aus öffentlichen CT-Logs. Alle öffentlich ausgestellten TLS-Zertifikate müssen in CT-Logs veröffentlicht werden, wodurch sich Hostnamen passiv ermitteln lassen, ohne das Zielsystem zu kontaktieren.

  • theHarvester -d tuxmen.de -b crtsh

Passive DNS- und Host-Abfrage über HackerTarget

Schnelle, stark limitierte Abfrage von Hostnamen und IPs. Gut zur Einordnung und als Ergänzung zu CT-Logs.

  • theHarvester -d tuxmen.de -b hackertarget

Komplette Recon ohne API-Keys + Ausgabe speichern

Mehrere freie Quellen kombiniert, Ergebnis als JSON/XML.

  • theHarvester -d tuxmen.de -b crtsh,certspotter,otx,rapiddns,subdomaincenter,thc,urlscan,hackertarget -f tuxmen-recon

Freie Quellen + DNSDumpster (API-Key)

  • theHarvester -d tuxmen.de -b crtsh,certspotter,otx,rapiddns,subdomaincenter,thc,urlscan,hackertarget,dnsdumpster -f tuxmen-recon

Kombinierte Subdomain- und Shodan-Abfrage

Zuerst Hostnamen und IPs ermitteln, dann mit -s die IPs über Shodan um Ports/Dienste anreichern. Shodan-Key erforderlich (https://account.shodan.io/, Abschnitt shodan in api-keys.yaml).

  • theHarvester -d tuxmen.de -s -b crtsh,dnsdumpster

Aktive Anreicherung (nur im freigegebenen Scope!)

DNS-Brute-Force + Auflösung
  • theHarvester -d tuxmen.de -b crtsh,otx -c -n
Virtuelle Hosts prüfen und Screenshots ablegen
  • theHarvester -d tuxmen.de -b crtsh,otx --screenshot /tmp/shots-tuxmen
Subdomain-Takeover-Check
  • theHarvester -d tuxmen.de -b crtsh -r

Weiterverarbeitung: von theHarvester zu nmap

Die mit -f erzeugte JSON-Datei liefert direkt die IP-Liste für den nmap-Scan (siehe nmap-Artikel).

IPs extrahieren und an nmap übergeben
jq -r '.ips[]' tuxmen-recon.json | sort -u > tuxmen-ips.txt
nmap -iL tuxmen-ips.txt -sV -oA tuxmen-nmap

Aufgaben

(Strukturierte Aufgaben mit Ergebnistabelle folgen - vgl. nmap-Artikel.)

  • Untersuche folgende Domains rein passiv:
    • heise.de
    • suse.de
    • redhat.com
    • microsoft.com
    • stylite.de
    • hetzner.de
    • kicker.de
    • sympatel.de
Abgerufen von „http://xinux.net/index.php?title=TheHarvester&oldid=71314