ReconFTW สำหรับ Pentester: เปลี่ยนงานกรรมกรให้เป็นระบบ Automation (ฉบับมืออาชีพ 2026)
By Teerapat Suttiparpa,
Penetration Tester Team, Datafarm Company Limited
สวัสดีครับ Pentester และผู้สนใจใน cyber security ทุกท่าน! เคยเจอสถานการณ์แบบนี้ไหมครับ?
ลูกค้าส่ง SoW มาให้ บอกว่า “มีแค่ 3 โดเมนหลักนะครับพี่” แต่พอเริ่มงานจริง… โอ้โห Subdomain งอกมาราวกับดอกเห็ด 5,000 ชื่อ! แถมให้เวลาทดสอบแค่ 5 วันรวมทำ Report
ในฐานะ Pentester เวลาคือศัตรูตัวฉกาจ เราไม่ได้มีเวลาว่างนั่งเฝ้าจอเหมือน Bug Hunter ที่ทำเมื่อไหร่ก็ได้ เรามี Deadline ที่หายใจรดต้นคออยู่ตลอดเวลา ดังนั้นการทำ Reconnaissance ให้เร็ว ละเอียด และ “อยู่ในขอบเขต (In-Scope)” จึงเป็นเรื่องที่สำคัญมาก
วันนี้ผมจะพามาเจาะลึก ReconFTW ในมุมมองของคนทำ Pentest อาชีพ เครื่องมือที่จะช่วยให้คุณเคลียร์ Phase แรกของการทดสอบได้ในคืนเดียว เพื่อเอาเวลาที่เหลือไปโฟกัสกับการเจาะลึกและเขียน Report (งานที่เรารัก… เหรอ?)
1. Pentester’s Pain: ทำไม Nmap อย่างเดียวถึงไม่พอ?
สมัยก่อน เราอาจจะแค่รัน nmap หรือ nessus แล้วจบ แต่ยุคนี้ Attack Surface มันกว้างมาก
- Asset Discovery: ลูกค้ามักไม่รู้ด้วยซ้ำว่าตัวเองมี Server อะไรบ้างที่ลืมทิ้งไว้ หน้าที่ของเราคือต้องหามันให้เจอ
- Scope Creep vs Strict Scope: บางครั้งลูกค้าให้ IP Range มา แต่ห้ามแตะต้อง IP ของผู้บริหาร หรือห้ามไปยุ่งกับ Production
- Tool Fragmentation: การต้องมานั่งรัน Subfinder -> httpx -> Nuclei -> Aquatone ทีละตัว แล้วจัดการไฟล์ Output เอง มันเสียเวลาและเสี่ยงต่อการทำข้อมูลหล่นหาย
ReconFTW เข้ามาแก้ปัญหานี้ด้วยการเป็น Framework ที่รวมทุกอย่างไว้ในคำสั่งเดียว แต่มีความยืดหยุ่นสูงในการกำหนด Scope 1
2. Scope Management
ต่างจาก Bug Bounty ที่บางที “หลุด” ไปบ้างอาจจะแค่โดนปฏิเสธ แต่ในงาน Pentest การหลุด Scope อาจเป็นปัญหาได้
ReconFTW มี Flag ที่ออกแบบมาเพื่อชาวเราโดยเฉพาะ 1:
การคุม Scope ให้อยู่หมัด
- Strict Inclusion (-i): สแกน เฉพาะ รายชื่อที่เรากำหนดเท่านั้น ห้ามออกนอกลู่นอกทาง
./reconftw.sh -d target.com -i in_scope_list.txt -r
2. **Explicit Exclusion (`-x`)**: สแกนทุกอย่าง *ยกเว้น* รายชื่อนี้ (เช่น Server ของ CEO หรือระบบเปราะบางที่ลูกค้าขอไว้)bash
./reconftw.sh -d target.com -x out_of_scope_list.txt -r
```
Pro Tip: สร้างไฟล์ blacklist.txt ไว้เสมอสำหรับ Asset ที่เรารู้ว่าแตะต้องไม่ได้ เช่น เว็บไซต์ของ 3rd Party Vendor ที่ลูกค้าใช้
3. Workflow การใช้งานจริงในโปรเจกต์
สมมติเราได้โจทย์มาว่าต้องทำ External Pentest ภายใน 1 สัปดาห์
Day 0: Setup & Configuration
ลง ReconFTW ไว้ โดยใช้คำสั่ง
git clone [https://github.com/six2dez/reconftw\](https://github.com/six2dez/reconftw)
cd reconftw
./install.sh —verbose
และเราก็มาตั้งค่า Config ที่ เป็นประโยชน์ ที่reconftw.cfg : 4
ตัวอย่าง config ที่เป็นประโยชน์
- AXIOM_FLEET_LAUNCH=true: ถ้า Scope ใหญ่ระดับ /16 หรือมีเป็นร้อยโดเมน ใช้ Axiom กระจายเครื่องสแกนเลยครับ (เดี๋ยวลูกค้าจะหาว่าเราทำงานช้า)
- NOTIFY_CONFIG: ตั้งค่าให้มันแจ้งเตือนเข้า Slack/Discord ของทีม Project เพื่อให้เพื่อนร่วมทีมเห็น Progress
- PORTSCANNER=true: เปิด Nmap หรือ Naabu เพื่อหา Service แปลกๆ ที่ไม่ใช่แค่ Web
- นอกจากนี้เรายังจะสามารถปรับ thread แยกเป็น tools จากใน config ได้เลย
- และยังจะสามารถปิดบาง tools ที่เราไม่ตองการได้ด้วย
Day 1: The Initial Scan
เพื่อเป็นการทดสอบผมใช้ web [https://testphp.vulnweb.com/](https://testphp.vulnweb.com/) เพื่อใช้ในการทดสอบ tools ของเราในวันนี้ครับ เราจะเริ่ม scan โดยใช้คำสั่ง ดังนี้ครับ
./reconftw.sh -d testphp.vulnweb.com -r -o vulnweb
คำสั่งนี้จะทำ: OSINT, Subdomain Enum, Web Probing, Screenshotting และ Basic Nuclei scan
)
ขั้นตอนนี้จะใช้เวลาค่อนข้างนานนิดนึงครับ เว็บนึงใช้เวลาไป 4 ชั่วโมงเลยแนะนำให้ไปนอนรอเลยครับ
Day 2: Analysis & Triage (คัดกรองเป้าหมาย)
ตื่นเช้ามา (หรือสายๆ) เราจะได้โฟลเดอร์ผลลัพธ์ที่จัดเรียงสวยงาม:
- webs/screenshots/: เปิดดูรูปภาพก่อนเลยครับ มองหาหน้า Login เก่าๆ, หน้า Error 500, หรือหน้า Default IIS สิ่งเหล่านี้ Nessus มักจะบอกไม่ได้เท่าตาคนมอง
- vulns/nuclei_*.txt: ดูว่า Nuclei เจอ Low-Hanging Fruits อะไรบ้าง (เช่น CVE เก่าๆ, Misconfig)
3. subdomains/subdomains.txt: เอาลิสต์นี้ไปใส่ใน Nessus หรือ เครื่องมือ Scan ช่องโหว่อื่นๆ เพื่อรัน Deep Scan ต่อ
)
โดยผลที่ออกมาจะเป็นโฟลเดอร์แยกกันไปครับ
)
โดยแต่ละโฟลเดอร์จะแยกประเภทเป็นหลายๆช่องโหว่ที่เครื่องมือแต่ละประเภทได้ scan เจอครับ
โดยที่เห็นในภาพจะเป็นช่องโหว่ที่เป็น LFI และ RCE ที่มีอยู่ใน Web ครับ
3.เทคนิคเพิ่มเติมที่เป็นประโยชน์
หลบ WAF และ IDS
ถ้าลูกค้ามี Blue Team ที่ดุมาก หรือมี WAF เทพๆ:
- Passive Mode (-p): สั่งห้ามยิง Packet หาเป้าหมาย ใช้แค่ OSINT ล้วนๆ (Shodan, Censys) 5
./reconftw.sh -d target.com -p
2. Rate Limiting: ปรับแต่งใน Config ลดความเร็วลง (HTTPX_RATELIMIT, FFUF_THREADS) เพื่อไม่ให้bandwidthเต็มหรือโดนแบน
3. Distributed Scanning (Ax Framework): ใช้กองทัพ Cloud VPS สลับ IP ยิง เพื่อหลบการจับกุมของ Firewall
เจาะจงเป้าหมาย (-w)
ถ้าลูกค้าให้ URL List มาเจาะจง 50 เว็บ ไม่ต้องไปหา Subdomain เพิ่ม ให้ใช้โหมด Web:
./reconftw.sh -l client_urls.txt -w
มันจะรัน Vulnerability Checks (XSS, SQLi, SSRF) ใส่ List นั้นโดยตรง ประหยัดเวลามาก
6. บทสรุป: ทำไมต้อง ReconFTW ในงาน Pentest?
ในยุคที่ “Speed” และ “Coverage” คือหัวใจสำคัญของ Pentest Service ReconFTW ช่วยให้คุณ:
- Standardize: มีมาตรฐานในการ Recon ทุกโปรเจกต์ ไม่ใช่แล้วแต่อารมณ์คนทำ
- Compliance: คุม Scope ได้แม่นยำด้วย -i และ -x
- Efficiency: ลดเวลา Setup เครื่องมือ เอาเวลาไปแกะ Logic Bug หรือเขียน PoC เท่ๆ ให้ลูกค้าดูดีกว่า
คำเตือนสุดท้าย:
ReconFTW เป็นแค่เครื่องมือที่บอกว่าช่องโหว่อาจจะมี “ตรงนี้” แต่ไม่ใช่ตัวการันตีว่ามีช่องโหว่นี้อยู่จริง
ดังนั้นจึงเป็นงานของพวก ท่านๆเหล่าชาวเรา pentester ที่จะคอนเฟริมว่ามีช่องโหว่จริงใหม ความรุนแรงเท่าใหร่ และเขียน report ที่เรารัก
สุดท้ายนี้ ขอให้ทุกท่านเจอ Critical Bug และเขียน Report เสร็จทัน Deadline ครับ! Happy Pentesting! 🛡️💻
หมายเหตุ: บทความนี้สำหรับการศึกษาและใช้งานในงานทดสอบเจาะระบบที่ได้รับอนุญาต (Authorized Penetration Testing) เท่านั้น การสแกนระบบชาวบ้านโดยไม่มีสัญญาจ้าง (Engagement Letter) ผิด พรบ. คอมฯ นะครับ อย่าหาทำ!
References
- [https://github.com/six2dez/reconftw](https://github.com/six2dez/reconftw)
- [https://medium.com/@batuhan-mutlu/reconnaissance-tool-all-in-one-and-automated-855542afb817](https://medium.com/@batuhan-mutlu/reconnaissance-tool-all-in-one-and-automated-855542afb817)
- [https://www.blackhatethicalhacking.com/tools/reconftw/](https://www.blackhatethicalhacking.com/tools/reconftw/)
