80,443 - Pentesting Web Methodology
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Uzyskaj perspektywę hakera na swoje aplikacje webowe, sieć i chmurę
Znajdź i zgłoś krytyczne, wykorzystywalne luki w zabezpieczeniach, które mają rzeczywisty wpływ na biznes. Użyj naszych 20+ niestandardowych narzędzi, aby zmapować powierzchnię ataku, znaleźć problemy z bezpieczeństwem, które pozwalają na eskalację uprawnień, oraz użyj zautomatyzowanych exploitów do zbierania niezbędnych dowodów, przekształcając swoją ciężką pracę w przekonujące raporty.
Usługa webowa jest najczęściej wspólną i rozległą usługą i istnieje wiele różnych typów luk w zabezpieczeniach.
Domyślny port: 80 (HTTP), 443(HTTPS)
W tej metodologii zakładamy, że zamierzasz zaatakować domenę (lub subdomenę) i tylko to. Dlatego powinieneś zastosować tę metodologię do każdej odkrytej domeny, subdomeny lub adresu IP z nieokreślonym serwerem webowym w zakresie.
Sprawdź, czy istnieją znane luki dla wersji serwera uruchomionej. Nagłówki HTTP i ciasteczka odpowiedzi mogą być bardzo przydatne do identyfikacji technologii i/lub wersji używanej. Skanowanie Nmap może zidentyfikować wersję serwera, ale mogą być również przydatne narzędzia whatweb, webtech lub https://builtwith.com/:
Search for vulnerabilities of the web application version
Some tricks for finding vulnerabilities in different well known technologies being used:
Pamiętaj, że ta sama domena może używać różnych technologii w różnych portach, folderach i subdomenach. Jeśli aplikacja webowa korzysta z jakiejkolwiek znanej technologii/platformy wymienionej wcześniej lub jakiejkolwiek innej, nie zapomnij poszukać w Internecie nowych sztuczek (i daj mi znać!).
If the source code of the application is available in github, apart of performing by your own a White box test of the application there is some information that could be useful for the current Black-Box testing:
Czy istnieje Change-log lub Readme lub Version file lub cokolwiek z informacjami o wersji dostępnymi przez sieć?
Jak i gdzie są przechowywane dane uwierzytelniające? Czy istnieje jakiś (dostępny?) plik z danymi uwierzytelniającymi (nazwy użytkowników lub hasła)?
Czy hasła są w czystym tekście, szyfrowane czy jaki algorytm haszujący jest używany?
Czy używa jakiegoś klucza głównego do szyfrowania czegoś? Jaki algorytm jest używany?
Czy możesz uzyskać dostęp do któregokolwiek z tych plików wykorzystując jakąś lukę?
Czy w githubie są jakieś interesujące informacje (rozwiązane i nierozwiązane) problemy? Lub w historii commitów (może jakieś hasło wprowadzone w starym commicie)?
Jeśli używany jest CMS, nie zapomnij uruchomić skanera, może znajdziesz coś interesującego:
Clusterd: JBoss, ColdFusion, WebLogic, Tomcat, Railo, Axis2, Glassfish CMSScan: WordPress, Drupal, Joomla, vBulletin strony internetowe pod kątem problemów z bezpieczeństwem. (GUI) VulnX: Joomla, Wordpress, Drupal, PrestaShop, Opencart CMSMap: (W)ordpress, (J)oomla, (D)rupal lub (M)oodle droopscan: Drupal, Joomla, Moodle, Silverstripe, Wordpress
W tym momencie powinieneś już mieć pewne informacje o serwerze WWW używanym przez klienta (jeśli jakiekolwiek dane są podane) oraz kilka sztuczek, które warto mieć na uwadze podczas testu. Jeśli masz szczęście, mogłeś nawet znaleźć CMS i uruchomić jakiś skaner.
Od tego momentu zaczniemy interakcję z aplikacją webową.
Domyślne strony z interesującymi informacjami:
/robots.txt
/sitemap.xml
/crossdomain.xml
/clientaccesspolicy.xml
/.well-known/
Sprawdź również komentarze na głównych i drugorzędnych stronach.
Wymuszanie błędów
Serwery WWW mogą zachowywać się nieprzewidywalnie, gdy wysyłane są do nich dziwne dane. Może to otworzyć luki lub ujawnienie wrażliwych informacji.
Uzyskaj dostęp do fałszywych stron jak /whatever_fake.php (.aspx,.html,.itd)
Dodaj "[]", "]]" i "[[" w wartościach cookie i wartościach parametrów, aby stworzyć błędy
Wygeneruj błąd, podając dane wejściowe jako /~randomthing/%s
na końcu URL
Spróbuj różnych metod HTTP jak PATCH, DEBUG lub błędnych jak FAKE
Jeśli odkryjesz, że WebDav jest włączony, ale nie masz wystarczających uprawnień do przesyłania plików w folderze głównym, spróbuj:
Brute Force poświadczeń
Przesyłać pliki za pomocą WebDav do pozostałych znalezionych folderów w obrębie strony internetowej. Możesz mieć uprawnienia do przesyłania plików w innych folderach.
Jeśli aplikacja nie wymusza użycia HTTPS w żadnej części, to jest vulnerable to MitM
Jeśli aplikacja wysyła wrażliwe dane (hasła) używając HTTP. To jest poważna luka.
Użyj testssl.sh, aby sprawdzić luki (w programach Bug Bounty prawdopodobnie tego rodzaju luki nie będą akceptowane) i użyj a2sv, aby ponownie sprawdzić luki:
Informacje o lukach w SSL/TLS:
Uruchom jakiś rodzaj pająka w sieci. Celem pająka jest znalezienie jak największej liczby ścieżek z testowanej aplikacji. Dlatego należy wykorzystać przeszukiwanie stron internetowych i źródła zewnętrzne, aby znaleźć jak najwięcej ważnych ścieżek.
gospider (go): Pająk HTML, LinkFinder w plikach JS i źródłach zewnętrznych (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com).
hakrawler (go): Pająk HML, z LinkFinder dla plików JS i Archive.org jako źródło zewnętrzne.
dirhunt (python): Pająk HTML, wskazuje również "soczyste pliki".
evine (go): Interaktywny CLI HTML pająk. Wyszukuje również w Archive.org.
meg (go): To narzędzie nie jest pająkiem, ale może być przydatne. Możesz po prostu wskazać plik z hostami i plik ze ścieżkami, a meg pobierze każdą ścieżkę na każdym hoście i zapisze odpowiedź.
urlgrab (go): Pająk HTML z możliwościami renderowania JS. Wygląda jednak na to, że nie jest utrzymywany, wersja skompilowana jest stara, a obecny kod nie kompiluje się.
gau (go): Pająk HTML, który korzysta z zewnętrznych dostawców (wayback, otx, commoncrawl).
ParamSpider: Ten skrypt znajdzie adresy URL z parametrami i je wylistuje.
galer (go): Pająk HTML z możliwościami renderowania JS.
LinkFinder (python): Pająk HTML, z możliwościami beautify JS, zdolny do wyszukiwania nowych ścieżek w plikach JS. Warto również rzucić okiem na JSScanner, który jest wrapperem LinkFinder.
goLinkFinder (go): Do wyodrębniania punktów końcowych zarówno w źródle HTML, jak i w osadzonych plikach javascript. Przydatne dla łowców błędów, zespołów red, ninja infosec.
JSParser (python2.7): Skrypt w pythonie 2.7 używający Tornado i JSBeautifier do parsowania względnych adresów URL z plików JavaScript. Przydatne do łatwego odkrywania żądań AJAX. Wygląda na to, że nie jest utrzymywany.
relative-url-extractor (ruby): Dany plik (HTML) wyodrębni z niego adresy URL, używając sprytnych wyrażeń regularnych do znajdowania i wyodrębniania względnych adresów URL z brzydkich (minifikowanych) plików.
JSFScan (bash, kilka narzędzi): Zbieraj interesujące informacje z plików JS, używając kilku narzędzi.
subjs (go): Znajdź pliki JS.
page-fetch (go): Załaduj stronę w bezgłowym przeglądarku i wydrukuj wszystkie załadowane adresy URL, aby załadować stronę.
Feroxbuster (rust): Narzędzie do odkrywania treści, łączące kilka opcji poprzednich narzędzi.
Javascript Parsing: Rozszerzenie Burp do znajdowania ścieżek i parametrów w plikach JS.
Sourcemapper: Narzędzie, które, podając URL .js.map, uzyska dla Ciebie zbeatyfikowany kod JS.
xnLinkFinder: To narzędzie służy do odkrywania punktów końcowych dla danego celu.
waymore: Odkryj linki z maszyny wayback (pobierając również odpowiedzi w wayback i szukając więcej linków).
HTTPLoot (go): Przeszukuj (nawet wypełniając formularze) i znajdź również wrażliwe informacje, używając specyficznych wyrażeń regularnych.
SpiderSuite: Spider Suite to zaawansowany wielofunkcyjny GUI web security Crawler/Spider zaprojektowany dla profesjonalistów w dziedzinie cyberbezpieczeństwa.
jsluice (go): To pakiet Go i narzędzie wiersza poleceń do wyodrębniania adresów URL, ścieżek, sekretów i innych interesujących danych z kodu źródłowego JavaScript.
ParaForge: ParaForge to proste rozszerzenie Burp Suite do wyodrębniania parametrów i punktów końcowych z żądania, aby stworzyć niestandardową listę słów do fuzzingu i enumeracji.
katana (go): Świetne narzędzie do tego.
Crawley (go): Wydrukuj każdy link, który uda mu się znaleźć.
Rozpocznij brute-forcing od folderu głównego i upewnij się, że brute-forcujesz wszystkie znalezione katalogi przy użyciu tej metody oraz wszystkich katalogów odkrytych przez Spidering (możesz to robić brute-forcing rekursywnie i dodając na początku używanej listy słów nazwy znalezionych katalogów). Narzędzia:
Dirb / Dirbuster - Wbudowane w Kali, stare (i wolne) ale funkcjonalne. Pozwalają na automatycznie podpisane certyfikaty i przeszukiwanie rekursywne. Zbyt wolne w porównaniu do innych opcji.
Dirsearch (python): Nie pozwala na automatycznie podpisane certyfikaty, ale pozwala na przeszukiwanie rekursywne.
Gobuster (go): Pozwala na automatycznie podpisane certyfikaty, nie ma przeszukiwania rekursywnego.
Feroxbuster - Szybki, wspiera przeszukiwanie rekursywne.
wfuzz wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ
ffuf - Szybki: ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ
uro (python): To nie jest pająk, ale narzędzie, które, podając listę znalezionych adresów URL, usunie "zduplikowane" adresy URL.
Scavenger: Rozszerzenie Burp do tworzenia listy katalogów z historii burp różnych stron.
TrashCompactor: Usuwa adresy URL z zduplikowanymi funkcjonalnościami (na podstawie importów js).
Chamaleon: Używa wapalyzer do wykrywania używanych technologii i wybierania list słów do użycia.
Zalecane słowniki:
raft-large-directories-lowercase.txt
directory-list-2.3-medium.txt
RobotsDisallowed/top10000.txt
/usr/share/wordlists/dirb/common.txt
/usr/share/wordlists/dirb/big.txt
/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
Uwaga, że za każdym razem, gdy nowy katalog zostanie odkryty podczas brute-forcingu lub spideringu, powinien być on Brute-Forced.
Broken link checker: Znajdź uszkodzone linki w HTML, które mogą być podatne na przejęcia.
Kopie zapasowe plików: Gdy znajdziesz wszystkie pliki, poszukaj kopii zapasowych wszystkich plików wykonywalnych (".php", ".aspx"...). Typowe warianty nazewnictwa kopii zapasowej to: file.ext~, #file.ext#, ~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp i file.old. Możesz również użyć narzędzia bfac lub backup-gen.
Odkryj nowe parametry: Możesz użyć narzędzi takich jak Arjun, parameth, x8 i Param Miner do odkrywania ukrytych parametrów. Jeśli możesz, spróbuj wyszukać ukryte parametry w każdym wykonywalnym pliku webowym.
Arjun wszystkie domyślne listy słów: https://github.com/s0md3v/Arjun/tree/master/arjun/db
Param-miner “params” : https://github.com/PortSwigger/param-miner/blob/master/resources/params
Assetnote “parameters_top_1m”: https://wordlists.assetnote.io/
nullenc0de “params.txt”: https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
Komentarze: Sprawdź komentarze wszystkich plików, możesz znaleźć dane uwierzytelniające lub ukrytą funkcjonalność.
Jeśli grasz w CTF, "powszechnym" trikiem jest ukrywanie informacji w komentarzach po prawej stronie strony (używając setek spacji, aby nie widzieć danych, jeśli otworzysz kod źródłowy w przeglądarce). Inną możliwością jest użycie kilku nowych linii i ukrycie informacji w komentarzu na dole strony internetowej.
Klucze API: Jeśli znajdziesz jakikolwiek klucz API, istnieje przewodnik, który wskazuje, jak używać kluczy API różnych platform: keyhacks, zile, truffleHog, SecretFinder, RegHex, DumpsterDive, EarlyBird.
Klucze API Google: Jeśli znajdziesz jakikolwiek klucz API wyglądający jak AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik, możesz użyć projektu gmapapiscanner, aby sprawdzić, do jakich API klucz ma dostęp.
S3 Buckets: Podczas spideringu sprawdź, czy jakikolwiek subdomen lub jakikolwiek link jest związany z jakimś S3 bucket. W takim przypadku, sprawdź uprawnienia bucketu.
Podczas wykonywania spideringu i brute-forcingu możesz znaleźć interesujące rzeczy, na które musisz zwrócić uwagę.
Interesujące pliki
Szukaj linków do innych plików w plikach CSS.
Jeśli znajdziesz .env, można znaleźć takie informacje jak klucze API, hasła do baz danych i inne informacje.
Jeśli znajdziesz punkty końcowe API, powinieneś je również przetestować. To nie są pliki, ale prawdopodobnie "wyglądają jak" one.
Pliki JS: W sekcji spideringu wspomniano o kilku narzędziach, które mogą wyodrębnić ścieżki z plików JS. Również, interesujące byłoby monitorowanie każdego znalezionego pliku JS, ponieważ w niektórych przypadkach zmiana może wskazywać, że potencjalna luka została wprowadzona w kodzie. Możesz użyć na przykład JSMon.
Deobfuscator i Unpacker JavaScript: https://lelinhtinh.github.io/de4js/, https://www.dcode.fr/javascript-unobfuscator.
Beautifier JavaScript: http://jsbeautifier.org/, http://jsnice.org/.
Deobfuskacja JsFuck (javascript z znakami:"[]!+" https://enkhee-osiris.github.io/Decoder-JSFuck/).
TrainFuck: +72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.
W wielu przypadkach będziesz musiał zrozumieć wyrażenia regularne używane. To będzie przydatne: https://regex101.com/ lub https://pythonium.net/regex.
Możesz również monitorować pliki, w których wykryto formularze, ponieważ zmiana w parametrze lub pojawienie się nowego formularza może wskazywać na potencjalnie nową podatną funkcjonalność.
403 Forbidden/Basic Authentication/401 Unauthorized (obejście)
403 & 401 Bypasses502 Proxy Error
Jeśli jakakolwiek strona odpowiada tym kodem, prawdopodobnie jest to źle skonfigurowany proxy. Jeśli wyślesz żądanie HTTP takie jak: GET https://google.com HTTP/1.1
(z nagłówkiem hosta i innymi typowymi nagłówkami), proxy spróbuje uzyskać dostęp do google.com i znajdziesz SSRF.
NTLM Authentication - Ujawnienie informacji
Jeśli działający serwer prosi o uwierzytelnienie i jest Windows lub znajdziesz logowanie proszące o Twoje dane uwierzytelniające (i pytające o nazwa domeny), możesz wywołać ujawnienie informacji.
Wyślij nagłówek: “Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”
i z powodu tego, jak działa uwierzytelnianie NTLM, serwer odpowie wewnętrznymi informacjami (wersja IIS, wersja Windows...) w nagłówku "WWW-Authenticate".
Możesz zautomatyzować to, używając pluginu nmap "http-ntlm-info.nse".
HTTP Redirect (CTF)
Możliwe jest umieszczenie treści wewnątrz przekierowania. Ta treść nie będzie widoczna dla użytkownika (ponieważ przeglądarka wykona przekierowanie), ale coś może być ukryte w środku.
Teraz, gdy przeprowadzono kompleksową enumerację aplikacji webowej, czas sprawdzić wiele możliwych luk. Możesz znaleźć listę kontrolną tutaj:
Web Vulnerabilities MethodologyWięcej informacji o lukach w sieci znajdziesz na:
Możesz użyć narzędzi takich jak https://github.com/dgtlmoon/changedetection.io, aby monitorować strony pod kątem modyfikacji, które mogą wprowadzać luki.
Uzyskaj perspektywę hakera na swoje aplikacje webowe, sieć i chmurę
Znajdź i zgłoś krytyczne, wykorzystywalne luki z rzeczywistym wpływem na biznes. Użyj naszych 20+ niestandardowych narzędzi, aby zmapować powierzchnię ataku, znaleźć problemy z bezpieczeństwem, które pozwalają na eskalację uprawnień, i użyj zautomatyzowanych exploitów, aby zebrać niezbędne dowody, przekształcając swoją ciężką pracę w przekonujące raporty.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)