关于GhostbusterGhostbuster是一款强大的Elastic安全审计工具,通过分析目标AWS账户中的资源,消除Elastic悬空IP。Ghostbuster可以帮助研究人员获取目标AWS账户(Route53)中的所有DNS记录,并可以选择通过CSV输入或Cloudflare接收搜索到的记录。在收集到这些记录和数据后,捉鬼敢死队会遍历所有的AWSElasticIP和网络接口公共IP并收集这些数据。通过所有DNS记录(来自route53、文件输入或cloudflare)和目标组织拥有的AWSIP的完整信息,该工具将能够检测指向悬空弹性IP(已停用)的子域。功能介绍动态枚举“.aws/config”中的每个AWS账户;从AWSRoute53中提取记录;从Cloudflare中提取记录(可选);从CSV输入中提取记录(可选);遍历所有区域,单个区域或逗号分隔的区域列表;获取与所有AWS账户关联的所有弹性IP;获取与所有AWS账户关联的所有公共IP;交叉检查组织拥有的DNS记录和IP,以检测潜在的接管风险;SlackWebhook支持发送接管通知;工具下载&安装本工具是基于Python开发的,所以我们首先需要在本地安装并配置Python3.x环境。Ghostbusters的下载和安装非常简单。研究人员可以使用以下命令将项目源代码克隆到本地:gitclonehttps://github.com/assetnote/ghostbuster.git或直接使用以下命令进行安装:pipinstallghostbuster然后将Ghostbuster与“捉鬼敢死队”一起使用命令。工具用法?ghostbusterscanaws--help用法:ghostbusterscanaws[选项]扫描您的AWS账户内悬空的弹性IP。选项:--profileTEXT指定Ghostbuster需要扫描的AWS账户信息--skipasciiGhostbuster启动后,它不会打印ASCII字符--slackwebhookTEXT指定一个SlackWebhookURL来发送潜在接管的通知消息--recordsPATHManually指定要检查的DNS记录。Ghostbuster将在检查检索到的DNS记录后检查这些IP--cloudflaretokenTEXT要从Cloudflare提取DNS记录,需要CFAPI令牌--allregions扫描全范围--excludeTEXT要排除的配置文件名列表,以逗号分隔--regionsTEXT要扫描的区域列表,以逗号分隔--help显示帮助信息并退出:[default]output=tableregion=us-east-1[profileaccount-one]role_arn=arn:aws:iam::911111111113:role/Ec2Route53Accesssource_profile=defaultregion=us-east-1[profileaccount-two]role_arn=arn:aws:iam::911111111112:role/Ec2Route53Accesssource_profile=defaultregion=us-east-1[profileaccount-three]region=us-east-1role_arn=arn:aws:iam::911111111111:role/Ec2Route53Accesssource_profile=默认工具使用示例运行捉鬼敢死队,提供t的访问令牌CloudflareDNS记录,向SlackWebhook发送通知,并遍历所有AWS区域中“.aws/config或.aws/credentials”中配置的每个AWS帐户:?ghostbusterscanaws--cloudflaretokenAPIKEY--slackwebhookhttpps://hooks.slack.com/services/KEY--allregions使用手动输入的子域名称A记录列表(工具可参考records.csv格式)运行Ghostbuster:?ghostbusterscanaws--recordsrecords.csv工具输出例?ghostbusterscanaws--cloudflaretokenwhougonnacall从Cloudflare获取所有区域名称。从Cloudflare获取所有区域的DNSA记录。目前已获取33条DNSA记录。获取AWS配置文件的Route53托管区域:default。获取AWS配置文件的Route53托管区域:帐户五。为AWS配置文件获取Route53托管区域:帐户四。为AWS配置文件获取Route53托管区域:帐户四部署。为AWS配置文件获取Route53托管区域:帐户二部署。获取Route53托管区域为AWS配置文件:account-one-deploy.ObtainingRoute53托管区域AWS配置文件:account-three-deploy.ObtainingRoute53托管区域AWS配置文件:account-six.ObtainingRoute53托管区域AWS配置文件:account-seven.ObtainingRoute53hostedAWS配置文件的区域:account-one.Ob到目前为止已获取124条DNSA记录。正在获取区域的EIP:us-east-1,配置文件:default获取区域的网络接口的IP:us-east-1,配置文件:default获取区域的EIP:us-east-1,配置文件:account-five获取区域网络接口IP:us-east-1,配置文件:account-five获取区域网络接口IP:us-east-1,配置文件:account-four获取区域网络接口IP:us-east-1,配置文件:account-fourObtainingEIPsforregion:us-east-1,profile:account-four-deployObtainingIPsfornetworkinterfacesforregion:us-east-1,profile:account-four-deployObtainingEIPsforregion:us-east-1,profile:account-two-deployObtainingIPsfornetworkinterfacesforregion:us-east-1,profile:account-two-deployObtainingEIPsforregion:us-east-1,profile:account-one-deployObtainingIPsfor网络接口region:us-east-1,profile:account-one-deploy获取EIPsforregion:us-east-1,profile:account-three-deploy获取区域网络接口IP:us-east-1,配置文件:account-three-deploy获取区域网络接口IP:us-east-1,配置文件:account-six获取区域网络接口IP:us-east-1,profile:account-six获取区域:us-east-1的EIP,profile:account-seven获取区域:us-east-1的网络接口IP,profile:account-seven获取区域:us-east-1的EIP,profile:account-one为region:us-east-1,profile:account-one的网络接口获取IP从AWS获得415个唯一的弹性IP。Takeoverpossible:{'name':'takeover.assetnotecloud.com','records':['52.54.24.193']}许可协议本项目的开发和发布遵循AGPL-3.0开源许可协议项目地址捉鬼敢死队:[GitHub门户]
