Domain OSINT Scanner (recon.sh)
Version: 2.0 | Pfad: /home/andre/Claude/Hacking/domain_recon/recon.sh
Profil: Ethical Hacker | Voraussetzung: Nur auf autorisierten Zielen verwenden
Überblick
recon.sh ist ein passiver Domain-Reconnaissance-Scanner. Er aggregiert öffentlich
zugängliche Informationen über eine Ziel-Domain ohne aktive Eingriffe (kein direktes
Port-Scanning ohne Zustimmung). Der Abschlussbericht kann per Claude-KI analysiert werden.
Scan-Phasen
| Phase | Beschreibung | Anonymisierbar |
|---|---|---|
| 1 – Subdomains | crt.sh Certificate Transparency Logs | ✅ via Tor |
| 2 – DNS-Auflösung | A/AAAA-Records aller Subdomains | ✅ via Tor |
| 3 – Shodan | Host-Lookup (Free Account) | ✅ via Tor |
| 4 – SSL/TLS Zertifikate | CN + SAN aus Zertifikaten | ✅ via Tor |
| 5 – TLS-Tiefenanalyse | testssl.sh (Cipher, Vulns) | ⚠️ direkte Verbindung |
| 6 – E-Mail-Security | SPF, DMARC, DKIM, MTA-STS, MX | ✅ via Tor |
| 7 – nuclei CVE-Scan | Template-basierter Schwachstellen-Scan | ✅ via Proxy |
| 8 – WAF-Erkennung | wafw00f Fingerprinting | ⚠️ direkte Verbindung |
| 9 – Nmap Port-Scan | TCP-Scan Top-Ports | ✅ via torsocks |
| 10 – Claude-Analyse | KI-Auswertung des Gesamtberichts | — |
Installation
Systemvoraussetzungen
# Pflicht sudo apt install tor torsocks curl dnsutils # Optional aber empfohlen sudo apt install nmap pip3 install wafw00f sudo apt install nuclei # oder: go install github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest # testssl.sh (wird automatisch installiert wenn nicht vorhanden) # Shodan CLI pip3 install shodan shodan init <API-KEY>
Script ausführbar machen
chmod +x /home/andre/Claude/Hacking/domain_recon/recon.sh
Verwendung
Interaktiver Modus
/home/andre/Claude/Hacking/domain_recon/recon.sh
Das Script fragt interaktiv nach:
- Ziel-Domain
- Nmap durchführen? (J/n)
- Claude-Analyse? (J/n)
- WAF-Analyse? (J/n)
- Tor verwenden? (J/n) – nur wenn Tor nicht bereits läuft
Automatischer Modus
# Alle Module aktiv ./recon.sh example.com # Mit Tor (kein Prompt) ./recon.sh example.com --tor # Ohne Nmap ./recon.sh example.com --no-nmap # Ohne Claude-Analyse ./recon.sh example.com --no-claude # Kombiniert ./recon.sh example.com --tor --no-nmap
Alle Parameter
| Parameter | Beschreibung |
|---|---|
DOMAIN | Ziel-Domain (erstes Argument) |
--tor | Tor erzwingen (kein Prompt) |
--no-tor | Direktverbindung, kein Tor-Prompt |
--no-nmap | Nmap-Scan überspringen |
--no-claude | Keine KI-Analyse im Abschlussbericht |
--no-waf | wafw00f-Scan überspringen |
Tor-Verhalten
Das Script erkennt automatisch ob Tor bereits läuft:
- Tor läuft bereits → wird still genutzt, kein Prompt
- Tor läuft nicht + kein Flag → interaktive Abfrage
--tor→ Tor starten (systemctl → direkter Prozess als Fallback)--no-tor→ Direktverbindung
Wenn Tor aktiv:
curl→torsocks curl(odercurl –proxy socks5h:127.0.0.1:9050) * Alle Tools (nmap, openssl, testssl) →torsocks-Präfix * nuclei →-proxy socks5h:127.0.0.1:9050
Nach dem Scan: Abfrage ob Tor wieder gestoppt werden soll (nur wenn Script Tor selbst gestartet hat).
Output
Reports werden gespeichert unter:
/home/andre/Claude/Hacking/domain_recon/reports/<domain>_<YYYYMMDD_HHMMSS>/
Report-Dateien
| Datei | Inhalt |
|---|---|
raw_data.txt | Vollständiger Terminal-Output (tee) |
subdomains.txt | Gefundene Subdomains (eine pro Zeile) |
dns_map.txt | Subdomain → IP Zuordnung |
external_ips.txt | Externe IP-Adressen |
internal_ips.txt | RFC-1918 interne IPs |
shodan.txt | Shodan-Ergebnisse |
ssl_certs.txt | TLS-Zertifikat-Details (CN, SAN, Aussteller) |
testssl.txt | Detaillierte TLS-Analyse |
email_security.txt | SPF, DMARC, DKIM, MX, MTA-STS |
nuclei.txt | CVE/Schwachstellen-Findings |
report.md | Claude-KI-Analysebericht (Markdown) |
report.html | HTML-Report mit allen Daten |
Start aus Claude heraus
Der größte Vorteil: Claude startet den Scan, überwacht den Output und analysiert die Ergebnisse direkt im Kontext – kein manuelles Kopieren der Findings.
Empfohlener Workflow
In Claude Code einfach eingeben:
Führe einen vollständigen Domain-Recon für example.com mit Tor durch.
Claude führt dann aus:
/home/andre/Claude/Hacking/domain_recon/recon.sh example.com --tor
Danach direkt in Claude weiterfragen:
- „Welche kritischen Schwachstellen wurden gefunden?“
- „Wie ist die E-Mail-Security-Konfiguration zu bewerten?“
- „Welche Subdomains sind exponiert und angreifbar?“
- „Gibt es Hinweise auf veraltete Software oder schwache Cipher?“
- „Erstelle eine Executive Summary für den Kunden.“
- „Exportiere alle Findings für Maltego.“
Claude liest die Report-Dateien direkt und liefert konkrete Analyse und Handlungsempfehlungen – inklusive Einordnung in MITRE ATT&CK wenn gewünscht.
Verzeichnis-Scan nach Abschluss
Direkt nach dem Scan in Claude:
Lies den aktuellen Report und gib mir die Top 5 Findings nach Kritikalität sortiert.
Claude liest raw_data.txt bzw. report.md und erstellt eine priorisierte
Befundliste – einsatzbereit für einen Pentest-Bericht.
Maltego-Export
Nach dem Scan direkt in Claude:
Exportiere den Domain-Recon für Maltego.
Oder manuell:
python3 /home/andre/Claude/Hacking/tools/to_maltego.py \ --domain-report /home/andre/Claude/Hacking/domain_recon/reports/example.com_20260321_120000 \ -o /home/andre/Claude/Hacking/tools/example_maltego.csv
Kombiniert mit E-Mail-Scan:
python3 /home/andre/Claude/Hacking/tools/to_maltego.py \ --domain-report reports/example.com_20260321_120000 \ --email-json /home/andre/Claude/Hacking/email_recon/ziel_osint.json \ -o /home/andre/Claude/Hacking/tools/example_maltego.csv
Anschließend in Maltego: Import → Import Entities from Table → CSV auswählen
Shodan-Integration
Der Free Account liefert nur count-Abfragen (keine Host-Details).
Für vollständige Shodan-Daten: Membership oder API-Credits erforderlich.
# API-Key einrichten pip3 install shodan shodan init <API-KEY> # Credits prüfen shodan info
testssl.sh
Wird beim ersten Lauf automatisch nach /opt/testssl.sh installiert.
Prüft: TLS-Versionen, Cipher Suites, Zertifikat-Kette, bekannte Schwachstellen
(BEAST, POODLE, Heartbleed, ROBOT, etc.).
Hinweise
- Nmap erfordert ggf. Root-Rechte für SYN-Scan (
sudo) - nuclei-Templates werden beim ersten Lauf heruntergeladen (~200 MB)
- testssl.sh baut direkte TCP-Verbindungen – torsocks-Kompatibilität eingeschränkt
- Shodan Free: keine Host-Details, nur Zähler
- Alle Aktivitäten nur auf autorisierten Zielen durchführen