W wyniku tego onelinera zostanie zaimportowana funkcja
Invoke-CertStream, która konsumuje strumień nowo rejestrowanych certyfikatów udostępniony przez
certstream.calidog.io za pośrednictwem WebSocketów.
Obserwowanie certyfikatów dla nowych domen może być przydatne zarówno dla
red teamów, ponieważ mogą trafić na potencjalnie nowe, być może niewystarczająco zabezpieczone cele jak i dla
blue teamów, którzy mogą w ten sposób szybko odnaleźć nowe domeny phishingowe, które zostaną użyte do ataków na ich klientów bądź pracowników.
Pobierane nazwy możemy skierować do kolejnego bloku w potoku, co widać poniżej.
PS C:\Users\drg\> Invoke-CertStream -Filter "\.pl$" | ForEach-Object { "Got $_" }
Got hdservices.pl
Got www.hdservices.pl
Got hdservices.pl
Got *.marsvin.pl
Got marsvin.pl
Got *.securitymagazine.pl
Got securitymagazine.pl
Got *.ase-stahl.com.pl
Got ase-stahl.com.pl
Got tp16e.piwnik.pl
Got m.blog.blog.blog.blog.ss.s2.valueview.pl
Może to być użyteczne np. jeśli domena, która nas interesuje, pojawi się w streamie i chcemy uruchomić skrypt powiadamiający.
Implementacja obsługi WebSocketów w Powershellu nie jest szczególnie skomplikowana i sprowadza się do wykorzystania .NET-owej klasy
.