Amass

Installation

Macos

1
2
3


brew tap caffix/amass
brew install amass

Linux

1

sudo snap install amass

Subcommands (modes)

Name	description	command (e.g)
intel	Discover targets for enumerations	`amass intel -active -addr 192.168.2.1-64 -p 80,443,8080`
enum	Perform enumerations and network mapping	`amass enum -d google.com`
viz	Visualize enumeration results	`amass viz -d3 -d google.com`
track	Track differences between enumerations	`amass track -d google.com`
db	Manipulate the Amass graph database	`amass db -show`
dns	Resolve DNS names at high performance	`amass dns -d google.com`

Go-to Commands

1

amass enum -config ~/.config/amass/conf.ini -d "domain1,domain2" -brute -o domains

ASE (Amass Scripting Engine)

Amass는 자체적으로 scripting engine을 내장하고 있습니다. 이는 nmap의 scripting engine인 NSE와 비슷하며 동일하게 Lua로 작성할 수 있습니다.

Using scripts

Amass의 enum 명령 중 -scripts 플래그를 사용하여 로드할 스크립트 경로나 디렉토리를 명시할 수 있습니다.

1
2
3
4
5
6


amass enum --help

....
-scripts string
    Path to a directory containing ADS scripts
...

e.g

1

amass enum -d hahwul.com -scripts ./subfinder.ads

1
2
3
4


amass enum -d hahwul.com --scripts .
in sub finder
phoenix.hahwul.com
hahwul.com

Struct of ads

스크립트는 name과 type 필드를 필수로 구성한 후 Amass event에 대한 callback function을 구현하는 형태로 만들어야 합니다.

name: 스크립트의 이름입니다.
type: 스크립트의 타입입니다. 어떤 역할을 하는지 명시할 수 있습니다.
callback: 스크립트의 동작을 위한 callback 들입니다. event listener 처럼 구현합니다.
function: 간편한 스크립팅을 위해 미리 정의된 함수들입니다.

Type field

타입은 미리 정의되어 있어서 아래 표를 참고하여 목적에 맞는 type으로 작성해주시면 됩니다.

Valid Value	Category
“dns”	DNS Queries
“axfr”	DNS Zone Transfers
“scrape”	Web Scraping
“crawl”	Web Crawling
“api”	Various APIs
“cert”	TLS Certificates
“archive”	Web Archives
“brute”	Brute Forcing
“alt”	Name Alterations
“guess”	Name Guessing
“rir”	Regional Internet Registry
“ext”	External Program / Data Source

Callbacks

Amass의 event에 따라 동작한 callback에 로직은 구현해야 합니다. Amass가 event를 전달하는 callback은 아래와 같습니다.

start callback

start는 amass가 시작할 떄 호출할 callback입니다.

1
2
3


function start()
    set_rate_limit(1)
end

stop callback

stop은 amass가 종료될 때 호출할 callback입니다.

1
2
3


function stop()
    -- Cleanup code, etc.
end

vertical callback

vertical은 amass가 동작할 때 호출할 callback입니다. -d 옵션으로 전달받은 domain을 2번째 인자값으로 넘겨줍니다. 이후 로직을 처리한 후 subdomain 정보를 리턴해야 합니다. 이 때 new_name()을 통해 전달할 수 있습니다.

1
2
3
4


function vertical(ctx, domain)
    -- Send back discovered subdomain names
    new_name(ctx, name)
end

이를 통해서 subfinder, assetfinder, findomain 등 외부 서브 도메인 스캐닝 도구를 사용하여 스캔하고, 결과를 amass 결과에 포함시킬 수 있습니다.

horizontal callback

horizontal도 amass가 동작할 때 호출할 callback입니다. -d 옵션으로 전달받은 domain을 2번째 인자값으로 넘겨줍니다. 다만 horizontal은 amass가 다시 스캔할 domain의 이름을 리턴해야 합니다.

1
2
3
4


function horizontal(ctx, domain)
    -- Send back an associated domain name
    associated(ctx, domain, assoc)
end

이 기능은 서브도메인 보단, 연관 도메인을 lua script를 통해 확인하고, 이를 기반으로 다시 amass에 넘겨주어 스캔하도록 구성하기 위해 사용하는 callback입니다.

revolved callback

resolved는 dns query를 조회할 때 호출할 callback입니다.

1
2
3


function resolved(ctx, name, domain, records)
    crawl(ctx, "https://" .. name, 0)
end

subdomain callback

subdomain은 DNS Query를 통해 resolving이 성공했을 떄 호출할 callback입니다. 여기의 인자값으로 전달되는 도메인은 dns resolv가 성공한 도메인입니다.

1
2
3
4
5


function subdomain(ctx, name, domain, times)
    if times == 1 then
        crawl(ctx, "https://" .. name, 0)
    end
end

address callback

address는 IP address에 대해 프로바이드 됬을 때 호출할 callback입니다. IP를 두번째 인자값으로 넘겨줍니다.

1
2
3
4
5
6


function address(ctx, addr)
    -- Send back a related subdomain name
    new_name(ctx, name)
    -- Send back a related IP address
    new_addr(ctx, ipaddr, domain)
end

asn callback

asn은 ASN을 조회했을 때 호출할 callback입니다. 이를 통해 스캔 대상의 asn을 인자값으로 얻어올 수 있습니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


function asn(ctx, addr, asn)
    -- Send back the related AS information
    new_asn(ctx, {
        ['addr']=addr,
        ['asn']=tonumber(asn),
        ['desc']=desc,
        prefix=cidr,
        cc="US",
        registry="ARIN",
        netblocks={cidr},
    })
end

Functions

Scripting에는 미리 정의된 함수도 존재합니다. 이를 이용하면 Amass의 다른 기능들을 lua script에서 불러와서 사용할 수 있습니다. 몇가지 중요한 function만 소개해볼게요.

log()

log() 함수는 말그대로 로그를 찍는 함수입니다. 실제 정보 전달이 목적이던, 디버깅이 목적이던 기본적인 프린팅 함수는 중요합니다.

1
2
3


function sendmsg(ctx, msg)
    log(ctx, msg)
end

request()

request() 함수는 웹 요청을 전송하는 함수입니다. 물론 lua script에서 직접 구현해도 되지만, 이미 잘 만들어져 있어서 가져다 쓰는것이 좋을 것 같네요.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


function vertical(ctx, domain)
    local url = "https://" .. domain
    local resp, err = request(ctx, {
        method="POST",
        data=body,
        ['url']=url,
        headers={['Content-Type']="application/json"},
        id=api["key"],
        pass=api["secret"],
    })
    if (err ~= nil and err ~= "") then
        return
    end

    -- Utilize the content provided in the response
end

scrape()

scrape() 함수는 HTTP Client를 이용하여 웹 스크래핑을 진행해주는 함수입니다. 때때로 스캔한 도메인에 대해 스크래핑이 필요할 수 있는데, 미리 정의된 함수로 쉽게 구현할 수 있습니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


function vertical(ctx, domain)
    local url = "https://" .. domain
    local ok = scrape(ctx, {
        ['url']=url,
        headers={['Accept']="text/*, text/html, text/html;level=1, */*"},
        id=api["username"],
        pass=api["password"],
    })
end

brute_wordlist()

brute scan에서 사용할 wordlist를 array 형태로 리턴하는 함수입니다.

1
2
3
4
5
6
7


function vertical(ctx, domain)
    local wordlist = brute_wordlist(ctx)

    for i, word in pairs(wordlist) do
        print(word)
    end
end

alt_wordlist()

alterations scan에서 사용할 wordlist를 array 형태로 리턴하는 함수입니다.

1
2
3
4
5
6
7


function vertical(ctx, domain)
    local wordlist = alt_wordlist(ctx)

    for i, word in pairs(wordlist) do
        print(word)
    end
end

이외에도 엄청 많으니.. 아래 링크를 참고해주세요!

https://github.com/OWASP/Amass/blob/master/doc/scripting.md#config-function

Examples

gist에 공개된 코드 중 괜찮은게 있어서 몇개 가져왔습니다. scan with assetfinder

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


name = "assetfinder"
type = "ext"
function vertical(ctx, domain)
    print("in asset finder")
    local cmd = outputdir(ctx) .. "assetfinder --subs-only " .. domain
    local data = assert(io.popen(cmd))
for line in data:lines() do
        newname(ctx, line)
end
    data:close()
end

scan with subfinder

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


name = "subfinder"
type = "ext"
function vertical(ctx, domain)
    print("in sub finder")
    local cmd = outputdir(ctx) .. "subfinder -d " .. domain
    local data = assert(io.popen(cmd))
for line in data:lines() do
        newname(ctx, line)
end
    data:close()
end