Orca – фреймворк для целевого OSINT

При проведении разведки OSINT по определенной цели часто очень трудно точно определить нужную область.

Ведь существует так много источников информации и так много разных типов данных.

Хотя есть много отличных инструментов OSINT, которые уже доступны для взыскательного OSINTеров, их внимание обычно сосредоточено на широте сбора.

Наш опыт показывает, что отслеживаемость активов и узконаправленное обнаружение помогают нам получать наилучшие результаты.

С этой целью разработан инструмент: «Orca».

Этот подход ориентирован на комплексное обнаружение активов в сочетании с узким охватом, чтобы избежать ложных срабатываний.

Orca делает следующее:

• Определение домена с помощью Google и SHODAN
• Перечисления по субдоменам
• Обнаружение служб с помощью SHODAN
• Экспорт в .xlsx

Установка – рекомендуемая

Orca была протестирована на Ubuntu 18.04 и Kali 2019, она может работать на других платформах, но мы не подтвердили это.

Orca написана на Python 3 и требует Pip для установки зависимостей.

Если вы еще этого не сделали, вам необходимо установить их:

apt install python3 python3-pip

Orca также требует Docker для базы данных и поиска CVE, пожалуйста, следуйте инструкциям ниже:

Kali

https://medium.com/@airman604/installing-docker-in-kali-linux-2017-1-fbaa4d1447fe

Ubuntu

https://docs.docker.com/install/linux/docker-ce/ubuntu/

Чтобы настроить базу данных, необходимую для ваших проектов Orca, вы можете запустить следующее от рута:

sudo docker-compose up -d

Если у вас не установлен docker-compose, вы можете установить его с помощью:

sudo -H pip3 install docker-compose --upgrade

Приложение orca-recon можно установить, запустив от рута:

sudo -H pip3 install .

Необязательно – но рекомендуется!

После того, как ваша Orca настроена и работает, выполните следующее, чтобы активировать вкладку завершения.

Чтобы включить завершение Bash:

echo "$(_ORCA_RECON_COMPLETE=source orca-recon)" > ~/.orca/orca-recon-complete.sh

echo '. ~/.orca/orca-recon-complete.sh' >> ~/.bashrc

Для пользователей zsh:

echo "$(_ORCA_RECON_COMPLETE=source_zsh orca-recon)" > ~/.orca/orca-recon-complete.sh

echo '. ~/.orca/orca-recon-complete.sh' >> ~/.zshrc

Дополнительные службы (эксплойты)

Если вы хотите использовать Orca для поиска сервисов, которые имеют общедоступные эксплойты, вам также нужно будет установить CVE-Search.

Для инструкций о том, как это сделать. См. Раздел «Поиск CVE» ниже.

Использование

Вы можете запустить orca с помощью команды orca-recon.

Orca использует текстовый пользовательский интерфейс click и предоставляет контекстную помощь из самого скрипта.

Usage: orca-recon [OPTIONS] COMMAND [ARGS]...

Options:
  -h, --help  Show this message and exit.

Commands:
  add       Add/Import asset data which you would like to enumerate.
  discover  Discover additional asset data for enumeration.
  enum      Enumerate the assets to get additional information.
  explore   Explore discovered data, and manage projects.
  export    Export data to a file.
  init      Initialize the Orca command-line

Первое, что пользователь должен сделать, это настроить свои учетные данные Shodan API. Запустите:

$ orca-recon init <shodan_api_key>

Профили учетных данных хранятся в домашнем каталоге пользователя по следующему адресу:

$HOME/.orca/shodan_api_key

Это также может побудить пользователя загрузить и проанализировать данные, необходимые для ipasn.

Это может занять некоторое время.

Инструкция по установке

Установите зависимости

sudo -H pip install -r requirements.txt

Настройка Postgres

➜  orca git:(master) ✗ sudo -i -u postgres
postgres@machine:~$ createuser orcauser -P --interactive
Enter password for new role: 
Enter it again: 
Shall the new role be a superuser? (y/n) n
Shall the new role be allowed to create databases? (y/n) y
Shall the new role be allowed to create more new roles? (y/n) n


(env) ➜  orca git:(master) ✗ sudo -u postgres psql
psql (10.9 (Ubuntu 10.9-0ubuntu0.18.04.1))
Type "help" for help.

postgres=# grant all privileges on database orcadata to orcauser;
GRANT

Обновите файл settings.py, чтобы отразить вышеуказанную конфигурацию.

Установите IP4R – IPv4 / v6 и IPv4 / v6 для PostgreSQL

sudo apt install postgresql-10-ip4r
sudo -u postgres psql -c "CREATE EXTENSION ip4r" orcadata

CVE-Search

Установите CVE Search через docker:sudo docker run -d -p 5000:5000 --name cve ttimasdf/cve-search:latest

Затем обновите базу данных, обратите внимание, что это может занять много времени (> 6 часов), если база данных устарела

sudo docker exec -it [CONTAINER] cvedb -u

API не готов к использованию, пока вы не увидите:

==================== Starting web app ====================
 * Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)

Логи:

sudo docker logs cve

После того, как поиск CVE будет запущен, вы можете использовать его для заполнения своей базы данных эксплойтами, которые доступны для обнаруженных CVE:

orca-recon enum exploits_db <title>

Источник