recon-and-methodology
ターゲットの資産マッピング、エンドポイント探索、技術フィンガープリンティング、構造化されたテスト計画の策定など、偵察フェーズ全般で活用できるプレイブック。新規ターゲットへのペネトレーションテスト開始時に使用する。
description の原文を見る
>- Reconnaissance and methodology playbook. Use when mapping assets, discovering endpoints, fingerprinting technology, and building a structured testing plan for a new target.
SKILL.md 本文
SKILL: Recon and Methodology — Expert Bug Bounty Playbook
AI LOAD INSTRUCTION: トップバグハンターによるシステマティックな偵察とバグ発見方法論。サブドメイン列挙、エンドポイント発見、技術フィンガープリンティング、他者が見つけ損なうバグを発見するためのハンター的思考モデルをカバーします。重要な洞察: 高度な深刻度のバグの大多数は、巧妙なペイロードではなくシステマティックなカバレッジを通じて発見されます。
1. RECON階層
Target Selection
└── Scope Definition (in-scope assets)
└── Asset Discovery (subdomains, IPs, domains)
└── Tech Fingerprinting (what's running)
└── Endpoint Discovery (attack surface)
└── Vulnerability Testing (per vulnerability type)
2. サブドメイン列挙 (重要な最初のステップ)
パッシブ (ターゲットへのDNSクエリなし)
# Subfinder (複数ソースを集約):
subfinder -d target.com -o subdomains.txt
# Amass passive:
amass enum -passive -d target.com
# Certsh (証明書の透明性):
curl -s "https://crt.sh/?q=%.target.com&output=json" | jq -r '.[].name_value' | sort -u
# SecurityTrails API, Shodan:
# Web: https://securitytrails.com/list/apex_domain/target.com
アクティブ (DNSブルートフォース + 解決)
# Massdns + ワードリスト:
massdns -r /path/to/resolvers.txt -t A -o S -w output.txt \
<(cat wordlist.txt | sed 's/$/.target.com/')
# ffuf でサブドメインブルート:
ffuf -w subdomains-wordlist.txt -u https://FUZZ.target.com \
-mc 200,301,302,403 -H "Host: FUZZ.target.com"
# DNSx でバルク解決:
cat subdomains.txt | dnsx -a -resp -o resolved.txt
# 推奨ワードリスト: SecLists/Discovery/DNS/
バーチャルホスト発見
# ffuf vhost モード:
ffuf -w wordlist.txt -u https://target.com \
-H "Host: FUZZ.target.com" -mc 200,301,403
# gobuster vhost:
gobuster vhost -u https://target.com -w wordlist.txt
3. サービスとポート発見
# 高速ポートスキャン (一般的なポート):
nmap -T4 -F target.com -oN ports.txt
# 解決済みサブドメインの包括的スキャン:
cat resolved_ips.txt | nmap -iL - --open -p 80,443,8080,8443,8888,3000,5000 -oG scan.txt
# HTTPプロービング用 httpx:
cat subdomains.txt | httpx -title -tech-detect -status-code -o live_hosts.txt
# 大規模IPレンジに対する masscan (高速):
masscan -p 80,443,8080,8443 10.0.0.0/8 --rate=1000
4. ウェブ技術フィンガープリンティング
# Wappalyzer (ブラウザ拡張) または:
whatweb https://target.com
# 技術検出付き httpx:
httpx -u https://target.com -tech-detect
# ヘッダを手動で確認:
curl -sI https://target.com | grep -i "server\|x-powered-by\|x-generator\|cf-ray"
# 以下からフィンガープリント:
- Server ヘッダ: nginx/1.18, Apache/2.4, IIS/10.0
- X-Powered-By: PHP/7.4, ASP.NET
- クッキー: PHPSESSID (PHP), JSESSIONID (Java), _rails_session (Rails)
- HTMLコメント: <!-- Drupal 9 -->
- Meta generator: <meta name="generator" content="WordPress 6.2">
- JSフレームワークファイル: /static/js/angular.min.js
5. エンドポイント発見
ディレクトリブルートフォース
# ffuf (最速):
ffuf -u https://target.com/FUZZ -w /usr/share/seclists/Discovery/Web-Content/raft-medium-files.txt \
-mc 200,301,302,403 -t 50 -o dirs.txt
# Gobuster:
gobuster dir -u https://target.com -w wordlist.txt -x php,html,js,json
# feroxbuster (再帰的):
feroxbuster -u https://target.com -w wordlist.txt -x php,html,txt -r
パラメータ発見
# Arjun (隠れたパラメータ探索):
arjun -u https://target.com/api/endpoint
# x8:
x8 -u https://target.com/api/endpoint -w params-wordlist.txt
JavaScriptソースマイニング
# JSファイルからエンドポイントを抽出:
gau target.com | grep '\.js$' | httpx -mc 200 | xargs -I{} curl -s {} | \
grep -oE '"/[a-zA-Z0-9/_-]+"' | sort -u
# LinkFinder:
python3 linkfinder.py -i https://target.com -d -o output.html
# GetAllURLs (gau):
gau target.com | sort -u > all_urls.txt
# Wayback URL:
waybackurls target.com | sort -u > wayback_urls.txt
APIエンドポイント発見
# 一般的なAPIパス:
ffuf -u https://target.com/FUZZ -w /SecLists/Discovery/Web-Content/api/api-endpoints.txt
# Swagger/OpenAPI:
test: /swagger.json /api-docs /openapi.json /v2/api-docs /.well-known/ /docs/
# GraphQL:
test: /graphql /gql /v1/graphql /api/graphql
6. ソースコード偵察
GitHub / GitLab 露出
# trufflehog (git履歴のシークレットスキャナー):
trufflehog git https://github.com/target-org/target-repo
# gitleaks:
gitleaks detect --source /path/to/cloned/repo
# GitHub手動検索:
# site:github.com "target.com" "api_key" OR "secret" OR "password"
# site:github.com "target.com" ".env" OR "config.php" OR "db_password"
# GitHub dorks:
# "target.com" extension:env
# "target.com" filename:*.config password
# org:target-org secret OR password OR apikey
露出した環境ファイル
# 一般的なパスをチェック:
https://target.com/.env
https://target.com/.git/config
https://target.com/config.json
https://target.com/config.yaml
https://target.com/credentials.json
https://target.com/secrets.json
https://target.com/wp-config.php
https://target.com/backup.sql
https://target.com/backup.zip
7. ZSEANO のテスト方法論
コア哲学
- 多くのプログラムに広がるのではなく、1つのプログラムで深掘りする — アプリケーションを徹底的に学習する
- 企業のプロフィールを構築する — 技術スタック、開発者、プロセス
- 他者が見ないところを探す — エラーページ、管理パス、古いバージョン、モバイルAPI
- フィルタをたどる — 入力がどこかでフィルタリングされている場合、その機能は存在し、バイパス可能かもしれない
テストシーケンス (1ページ / 機能ごと)
各入力ポイントに対して:
1. 非悪意的なHTMLタグ (<h2>, <img>) → 反映されるか?
2. 不完全なタグ → どうなる? (<iframe src=//evil.com )
3. エンコードテスト → %0d, %0a, %09, <%00
4. OUTPUT も観察する (レスポンスだけではなく) — あなたの入力はどこに表示される?
5. 同じ入力を ALL の同様の構造のページでテスト (共有コード → 共有脆弱性)
6. 同じパラメータがモバイル/APIエンドポイントに存在するかチェック (保護が少ない)
パラメータの洞察
- 各パラメータはストーリーを語る: 「これはサーバー側で何をするのか?」
- ファイル名 → OS相互作用 → パストトラバーサル / CMDi
- URL/ロケーション → HTTPフェッチ → SSRF
- テンプレート/HTMLパラメータ → レンダー関数 → SSTI
- XMLフィールド → パーサー → XXE
- SQLフィルタ → クエリ → SQLi
- ユーザーコンテンツ → ストレージ → 格納型XSS
8. バグバウンティプログラムトリアージ (時間をかけるべき場所)
高価値ターゲット選定
✓ 大規模なスコープのプログラム (*.target.com)
✓ P2/P3 に対して報奨金を支払うプログラム (RCEだけではなく)
✓ 最近の技術変更があるプログラム (マイグレーション = 新しいバグ)
✓ アクティブに開発されているプログラム (新機能 = 新しい攻撃サーフェス)
× 避ける: 凍結/古いコードベース (既知のCVEがあり既に請求されている)
× 避ける: スコープが狭い厳格なプログラム (サーフェスが少ない)
高価値機能フォーカス (バグ確率による)
優先度1: 認証、パスワードリセット、2FA → アカウント乗っ取り
優先度2: ファイルアップロード、プロフィール編集、APIエンドポイント → 格納型XSS、IDOR
優先度3: 管理パネル、ユーザー管理 → BFLA、権限昇格
優先度4: 支払いフロー、サブスクリプション → ビジネスロジック
優先度5: インポート/エクスポート、テンプレートレンダリング → XXE、SSTI
9. NUCLEI テンプレート (自動スキャン)
# ターゲットで全て実行:
nuclei -u https://target.com -t /nuclei-templates/ -o nuclei-results.txt
# 特定のカテゴリ:
nuclei -u https://target.com -t cves/ -severity critical,high
nuclei -u https://target.com -t exposures/
nuclei -u https://target.com -t misconfiguration/
# サブドメインリストで:
cat subdomains.txt | nuclei -t exposures/ -t misconfiguration/ -o exposed.txt
10. 一般的な設定ミス (クイックウィン)
□ CORS: Access-Control-Allow-Origin: * with credentials → CSRF + データ盗難
□ S3バケット公開: curl https://target.s3.amazonaws.com/
□ ディレクトリリスティング: レスポンスに「Index of /」が含まれる
□ .git 露出: curl https://target.com/.git/config
□ .env 露出: curl https://target.com/.env
□ デバッグモード: 本番環境でのスタックトレース (ソースコード露出)
□ デフォルト認証情報: admin:admin, admin:password (管理パネル)
□ phpinfo.php: curl https://target.com/phpinfo.php
□ バックアップファイル: config.bak, database.sql.gz, app.zip
□ GraphQL introspection 有効: POST /graphql {"query":"{__schema{types{name}}}"}
□ 管理パネル: /admin /manager /console /phpmyadmin /wp-admin
11. クイックリファレンスツール
| カテゴリ | ツール |
|---|---|
| サブドメイン列挙 | subfinder, amass, massdns |
| ポートスキャン | nmap, masscan |
| HTTPプローブ | httpx |
| ディレクトリブルート | ffuf, feroxbuster, gobuster |
| JSマイニング | LinkFinder, gau, waybackurls |
| シークレットスキャン | trufflehog, gitleaks |
| パラメータファズ | arjun, x8 |
| 脆弱性スキャン | nuclei |
| プロキシ/インターセプト | Burp Suite Pro |
| JWT攻撃 | jwt_tool |
| SQLi | sqlmap |
| XSS | dalfox, XSStrike |
| SSRF | SSRFmap, Gopherus |
12. JAVA ミドルウェアフィンガープリントマトリックス
| ミドルウェア | 検出パス | 主要指標 |
|---|---|---|
| Apache Tomcat | /manager/html, /manager/status | デフォルト認証情報: tomcat:tomcat, admin:admin |
| JBoss / WildFly | /jmx-console/, /web-console/ | JMX MBeanアクセス、WAR展開 |
| WebLogic | /console/, /wls-wsat/ | T3プロトコル (7001/7002), IIOP |
| Spring Boot Actuator | /actuator/, /actuator/env, /actuator/heapdump | JSONエンドポイント一覧、ヒープダンプはシークレットを含む |
| Spring Boot (代替パス) | /actuator/jolokia, /actuator/gateway/routes | Jolokia JMXブリッジ、ゲートウェイルート注入 |
| Jenkins | /script, /manage | Groovyコンソール、APIトークン (クッキー内) |
| GlassFish | /common/, /theme/ | 管理 (4848), デフォルト空パスワード |
| Jetty | /jolokia/ | JMXアクセス |
| Resin | /resin-admin/ | 管理パネル |
Spring Boot Actuator 悪用優先度
/actuator/env → 環境変数をリーク (DBクレデンシャル, APIキー)
/actuator/heapdump → JVMヒープをダウンロード → メモリ内パスワードを検索
/actuator/jolokia → JMX → MBean操作を通じた可能なRCE
/actuator/gateway/routes → Spring Cloud Gateway → SpEL注入 (CVE-2022-22947)
/actuator/configprops → 全設定プロパティ
/actuator/mappings → 全URLマッピング (隠れたエンドポイント)
/actuator/beans → 全Spring beans
/actuator/shutdown → POST でアプリケーション終了 (DoS)
13. 情報リーク検出チェックリスト
バージョンコントロールとバックアップリーク
/.git/HEAD → Gitリポジトリ露出
/.svn/entries → SVNメタデータ
/.svn/wc.db → SVN SQLiteデータベース
/.hg/requires → Mercurial
/.bzr/README → Bazaar
/.DS_Store → macOSディレクトリ一覧
バックアップファイルパターン
/backup.zip /backup.tar.gz /backup.sql
/wwwroot.rar /www.zip /web.zip
/db.sql /database.sql /dump.sql
/config.php.bak /config.php~ /config.php.swp
/.config.php.swp /wp-config.php.bak
/.env /.env.bak /.env.production
API ドキュメンテーションとデバッグ
/swagger-ui.html → Swagger/OpenAPI
/swagger-ui/ → Swagger UI
/api-docs → APIドキュメンテーション
/graphql → GraphQLプレイグラウンド
/graphiql → GraphQL IDE
/debug/ → デバッグエンドポイント
/phpinfo.php → PHP設定
/server-status → Apacheステータス
/server-info → Apache情報
/nginx_status → Nginxステータス
クラウドとインフラストラクチャ
/.aws/credentials → AWSクレデンシャル
/.docker/config.json → Dockerレジストリ認証
/robots.txt → 禁止パス (ヒントリスト)
/sitemap.xml → 完全なURL一覧
/crossdomain.xml → Flash クロスドメインポリシー
/.well-known/ → 各種 well-known URI
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- yaklang
- リポジトリ
- yaklang/hack-skills
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/yaklang/hack-skills / ライセンス: MIT
関連スキル
superfluid
Superfluidプロトコルおよびそのエコシステムに関するナレッジベースです。Superfluidについて情報を検索する際は、ウェブ検索の前にこちらを参照してください。対応キーワード:Superfluid、CFA、GDA、Super App、Super Token、stream、flow rate、real-time balance、pool(member/distributor)、IDA、sentinels、liquidation、TOGA、@sfpro/sdk、semantic money、yellowpaper、whitepaper
civ-finish-quotes
実質的なタスクが真に完了した際に、文明風の儀式的な引用句を追加します。ユーザーやエージェントが機能追加、リファクタリング、分析、設計ドキュメント、プロセス改善、レポート、執筆タスクといった実際の成果物を完成させるときに、明示的な依頼がなくても使用します。短い返信や小さな修正、未完成の作業には適用しません。
nookplot
Base(Ethereum L2)上のAIエージェント向け分散型調整ネットワークです。エージェントがオンチェーンアイデンティティを登録する、コンテンツを公開する、他のエージェントにメッセージを送る、マーケットプレイスで専門家を雇う、バウンティを投稿・請求する、レピュテーションを構築する、共有プロジェクトで協業する、リサーチチャレンジを解くことでNOOKをマイニングする、キュレーションされたナレッジを備えたスタンドアロンオンチェーンエージェントをデプロイする、またはアグリーメントとリワードで収益を得る場合に利用できます。エージェントネットワーク、エージェント調整、分散型エージェント、NOOKトークン、マイニングチャレンジ、ナレッジバンドル、エージェントレピュテーション、エージェントマーケットプレイス、ERC-2771メタトランザクション、Prepare-Sign-Relay、AgentFactory、またはNookplotが言及された場合にトリガーされます。
web3-polymarket
Polygon上でのPolymarket予測市場取引統合です。認証機能(L1 EIP-712、L2 HMAC-SHA256、ビルダーヘッダー)、注文発注(GTC/GTD/FOK/FAK、バッチ、ポストオンリー、ハートビート)、市場データ(Gamma API、Data API、オーダーブック、サブグラフ)、WebSocketストリーミング(市場・ユーザー・スポーツチャネル)、CTF操作(分割、統合、償却、ネガティブリスク)、ブリッジ機能(入金、出金、マルチチェーン)、およびガスレスリレイトランザクションに対応しています。AIエージェント、自動マーケットメーカー、予測市場UI、またはPolygraph上のPolymarketと統合するアプリケーション構築時に活用できます。
ethskills
Ethereum、EVM、またはブロックチェーン関連のリクエストに対応します。スマートコントラクト、dApps、ウォレット、DeFiプロトコルの構築、監査、デプロイ、インタラクションに適用されます。Solidityの開発、コントラクトアドレス、トークン規格(ERC-20、ERC-721、ERC-4626など)、Layer 2ネットワーク(Base、Arbitrum、Optimism、zkSync、Polygon)、Uniswap、Aave、Curveなどのプロトコルとの統合をカバーします。ガスコスト、コントラクトのデシマル設定、オラクルセキュリティ、リエントランシー、MEV、ブリッジング、ウォレット管理、オンチェーンデータの取得、本番環境へのデプロイ、プロトコル進化(EIPライフサイクル、フォーク追跡、今後の変更予定)といったトピックを含みます。
xxyy-trade
このスキルは、ユーザーが「トークン購入」「トークン売却」「トークンスワップ」「暗号資産取引」「取引ステータス確認」「トランザクション照会」「トークンスキャン」「フィード」「チェーン監視」「トークン照会」「トークン詳細」「トークン安全性確認」「ウォレット一覧表示」「マイウォレット」「AIスキャン」「自動スキャン」「ツイートスキャン」「オンボーディング」「IP確認」「IPホワイトリスト」「トークン発行」「自動売却」「損切り」「利益確定」「トレーリングストップ」「保有者」「トップホルダー」「KOLホルダー」などをリクエストした場合、またはSolana/ETH/BSC/BaseチェーンでXXYYを経由した取引について言及した場合に使用します。XXYY Open APIを通じてオンチェーン取引とデータ照会を実現します。