alphasec academy

WebSockety w Powershellu, czyli aktualnie rejestrowane certyfikaty SSL na żywo: iwr aptm.in/g/certstream|iex; Invoke-CertStream

więcej informacji poniżej

Dodatkowe informacje

W wyniku tego onelinera zostanie zaimportowana funkcja Invoke-CertStream, która konsumuje strumień nowo rejestrowanych certyfikatów udostępniony przez certstream.calidog.io za pośrednictwem WebSocketów.
Obserwowanie certyfikatów dla nowych domen może być przydatne zarówno dla red teamów, ponieważ mogą trafić na potencjalnie nowe, być może niewystarczająco zabezpieczone cele jak i dla blue teamów, którzy mogą w ten sposób szybko odnaleźć nowe domeny phishingowe, które zostaną użyte do ataków na ich klientów bądź pracowników.
Jak widać na obrazku, funkcja Invoke-CertStream może przyjąć parametr -Filter, który spowoduje od razu przefiltrowanie wyników z wykorzystaniem wyrażenia regularnego - w naszym wypadku domeny zakończone na .com, które zawierają słowo admin.
Pobierane nazwy możemy skierować do kolejnego bloku w potoku, co widać poniżej. 
PS C:\Users\drg\> Invoke-CertStream -Filter "\.pl$" | ForEach-Object { "Got $_" }
Got hdservices.pl
Got www.hdservices.pl
Got hdservices.pl
Got *.marsvin.pl
Got marsvin.pl
Got *.securitymagazine.pl
Got securitymagazine.pl
Got *.ase-stahl.com.pl
Got ase-stahl.com.pl
Got tp16e.piwnik.pl
Got m.blog.blog.blog.blog.ss.s2.valueview.pl
Może to być użyteczne np. jeśli domena, która nas interesuje, pojawi się w streamie i chcemy uruchomić skrypt powiadamiający.

Techniczne aspekty

Implementacja obsługi WebSocketów w Powershellu nie jest szczególnie skomplikowana i sprowadza się do wykorzystania .NET-owej klasy Net.WebSockets.ClientWebSocket.

Przydatne linki

Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.