80,443 - Pentesting Web Methodology
Se você está interessado em uma carreira de hacking e hackear o inquebrável - estamos contratando! (fluência em polonês escrita e falada necessária).
Informações Básicas
O serviço web é o serviço mais comum e extenso e existem muitos tipos diferentes de vulnerabilidades.
Porta padrão: 80 (HTTP), 443(HTTPS)
Orientação sobre Web API
pageWeb API PentestingResumo da Metodologia
Nesta metodologia, vamos supor que você está atacando um domínio (ou subdomínio) e apenas isso. Portanto, você deve aplicar esta metodologia a cada domínio, subdomínio ou IP descoberto com um servidor web indeterminado dentro do escopo.
Versão do Servidor (Vulnerável?)
Identificar
Verifique se existem vulnerabilidades conhecidas para a versão do servidor que está em execução. Os cabeçalhos HTTP e cookies da resposta podem ser muito úteis para identificar as tecnologias e/ou versão sendo usadas. A varredura Nmap pode identificar a versão do servidor, mas também podem ser úteis as ferramentas whatweb, webtech ou https://builtwith.com/:
Pesquise por vulnerabilidades da versão da aplicação web
Verifique se há algum WAF
Truques de tecnologia web
Alguns truques para encontrar vulnerabilidades em diferentes tecnologias bem conhecidas sendo usadas:
Leve em consideração que o mesmo domínio pode estar usando tecnologias diferentes em portas, pastas e subdomínios diferentes. Se a aplicação web estiver usando alguma tecnologia/plataforma conhecida listada anteriormente ou qualquer outra, não se esqueça de pesquisar na Internet novos truques (e me avise!).
Revisão de Código Fonte
Se o código fonte da aplicação estiver disponível no github, além de realizar um teste White box da aplicação por conta própria, há algumas informações que podem ser úteis para o atual teste Black-Box:
Existe um arquivo de Change-log ou Readme ou Versão ou qualquer coisa com informações de versão acessíveis via web?
Como e onde estão salvadas as credenciais? Existe algum arquivo (acessível?) com credenciais (nomes de usuário ou senhas)?
As senhas estão em texto simples, criptografadas ou qual algoritmo de hashing é usado?
Está usando alguma chave mestra para criptografar algo? Qual algoritmo é usado?
Você pode acessar algum desses arquivos explorando alguma vulnerabilidade?
Há alguma informação interessante no github (resolvida e não resolvida) issues? Ou no histórico de commits (talvez alguma senha introduzida em um commit antigo)?
Scanners automáticos
Scanners automáticos de propósito geral
Scanners de CMS
Se um CMS for usado, não se esqueça de executar um scanner, talvez algo interessante seja encontrado:
Clusterd: JBoss, ColdFusion, WebLogic, Tomcat, Railo, Axis2, Glassfish CMSScan: WordPress, Drupal, Joomla, vBulletin websites para problemas de segurança. (GUI) VulnX: Joomla, Wordpress, Drupal, PrestaShop, Opencart CMSMap: (W)ordpress, (J)oomla, (D)rupal ou (M)oodle droopscan: Drupal, Joomla, Moodle, Silverstripe, Wordpress
Neste ponto, você já deve ter alguma informação sobre o servidor web usado pelo cliente (se houver dados disponíveis) e alguns truques a ter em mente durante o teste. Se tiver sorte, pode até ter encontrado um CMS e executado algum scanner.
Descoberta de Aplicativos da Web Passo a Passo
A partir deste ponto, vamos começar a interagir com o aplicativo da web.
Verificações Iniciais
Páginas padrão com informações interessantes:
/robots.txt
/sitemap.xml
/crossdomain.xml
/clientaccesspolicy.xml
/.well-known/
Verifique também os comentários nas páginas principal e secundárias.
Forçando erros
Os servidores web podem comportar-se de forma inesperada quando dados estranhos são enviados a eles. Isso pode abrir vulnerabilidades ou divulgar informações sensíveis.
Acesse páginas falsas como /qualquer_falso.php (.aspx,.html,.etc)
Adicione "[]", "]]" e "[[" nos valores de cookie e nos valores de parâmetro para criar erros
Gere erro fornecendo entrada como
/~coisarandom/%s
no final da URLExperimente diferentes Verbos HTTP como PATCH, DEBUG ou incorretos como FAKE
Verifique se é possível fazer upload de arquivos (verbo PUT, WebDav)
Se você descobrir que o WebDav está habilitado, mas não tem permissões suficientes para fazer upload de arquivos na pasta raiz, tente:
Força Bruta de credenciais
Faça upload de arquivos via WebDav para o restante das pastas encontradas dentro da página da web. Você pode ter permissões para fazer upload de arquivos em outras pastas.
Vulnerabilidades SSL/TLS
Se a aplicação não estiver forçando o uso de HTTPS em nenhuma parte, então está vulnerável a MitM
Se a aplicação estiver enviando dados sensíveis (senhas) usando HTTP. Então é uma vulnerabilidade alta.
Use testssl.sh para verificar vulnerabilidades (em programas de Bug Bounty, provavelmente esses tipos de vulnerabilidades não serão aceitos) e use a2sv para reavaliar as vulnerabilidades:
Informações sobre vulnerabilidades do SSL/TLS:
Spidering
Inicie algum tipo de spider na web. O objetivo do spider é encontrar o máximo de caminhos possível na aplicação testada. Portanto, a rastreabilidade da web e fontes externas devem ser usadas para encontrar o máximo de caminhos válidos possível.
gospider (go): Spider HTML, LinkFinder em arquivos JS e fontes externas (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com).
hakrawler (go): Spider HTML, com LinkFinder para arquivos JS e Archive.org como fonte externa.
dirhunt (python): Spider HTML, também indica "arquivos suculentos".
evine (go): Spider HTML interativo com CLI. Também pesquisa no Archive.org.
meg (go): Esta ferramenta não é um spider, mas pode ser útil. Você pode indicar um arquivo com hosts e um arquivo com caminhos e o meg buscará cada caminho em cada host e salvará a resposta.
urlgrab (go): Spider HTML com capacidades de renderização JS. No entanto, parece estar desatualizado, a versão pré-compilada é antiga e o código atual não compila.
gau (go): Spider HTML que usa provedores externos (wayback, otx, commoncrawl).
ParamSpider: Este script encontrará URLs com parâmetros e as listará.
galer (go): Spider HTML com capacidades de renderização JS.
LinkFinder (python): Spider HTML, com capacidades de embelezamento JS capaz de buscar novos caminhos em arquivos JS. Também vale a pena dar uma olhada no JSScanner, que é um wrapper do LinkFinder.
goLinkFinder (go): Para extrair endpoints tanto na fonte HTML quanto em arquivos javascript incorporados. Útil para caçadores de bugs, equipes de red team, ninjas de segurança da informação.
JSParser (python2.7): Um script python 2.7 usando Tornado e JSBeautifier para analisar URLs relativas de arquivos JavaScript. Útil para descobrir facilmente solicitações AJAX. Parece estar desatualizado.
relative-url-extractor (ruby): Dado um arquivo (HTML), ele extrairá URLs dele usando uma expressão regular engenhosa para encontrar e extrair os URLs relativos de arquivos feios (minify).
JSFScan (bash, várias ferramentas): Reúna informações interessantes de arquivos JS usando várias ferramentas.
subjs (go): Encontre arquivos JS.
page-fetch (go): Carregue uma página em um navegador sem cabeça e imprima todos os URLs carregados para carregar a página.
Feroxbuster (rust): Ferramenta de descoberta de conteúdo que combina várias opções das ferramentas anteriores.
Javascript Parsing: Uma extensão do Burp para encontrar caminhos e parâmetros em arquivos JS.
Sourcemapper: Uma ferramenta que, dado o URL .js.map, fornecerá o código JS beatificado.
xnLinkFinder: Esta é uma ferramenta usada para descobrir endpoints para um determinado alvo.
waymore: Descubra links do wayback machine (também baixando as respostas no wayback e procurando mais links).
HTTPLoot (go): Rastreie (mesmo preenchendo formulários) e também encontre informações sensíveis usando regex específicas.
SpiderSuite: Spider Suite é um avançado Crawler/Spider de segurança web GUI multi-feature projetado para profissionais de segurança cibernética.
jsluice (go): É um pacote Go e ferramenta de linha de comando para extrair URLs, caminhos, segredos e outros dados interessantes do código fonte JavaScript.
ParaForge: ParaForge é uma simples extensão do Burp Suite para extrair os parâmetros e endpoints da solicitação para criar uma lista de palavras personalizada para fuzzing e enumeração.
katana (go): Ferramenta incrível para isso.
Força Bruta em diretórios e arquivos
Inicie a força bruta a partir da pasta raiz e certifique-se de forçar todos os diretórios encontrados usando este método e todos os diretórios descobertos pelo Spidering (você pode fazer essa força bruta de forma recursiva e acrescentar no início da lista de palavras usada os nomes dos diretórios encontrados). Ferramentas:
Dirb / Dirbuster - Incluído no Kali, antigo (e lento) mas funcional. Permite certificados autoassinados e pesquisa recursiva. Muito lento em comparação com as outras opções.
Dirsearch (python): Não permite certificados autoassinados, mas permite pesquisa recursiva.
Gobuster (go): Permite certificados autoassinados, não possui pesquisa recursiva.
Feroxbuster - Rápido, suporta pesquisa recursiva.
wfuzz
wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ
ffuf - Rápido:
ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ
uro (python): Isso não é um spider, mas uma ferramenta que, dada a lista de URLs encontrados, irá excluir URLs "duplicados".
Scavenger: Extensão do Burp para criar uma lista de diretórios do histórico do burp de diferentes páginas.
TrashCompactor: Remova URLs com funcionalidades duplicadas (com base em importações de js).
Chamaleon: Usa wapalyzer para detectar tecnologias usadas e selecionar as listas de palavras a serem usadas.
Dicionários recomendados:
Dicionário incluído no Dirsearch
raft-large-directories-lowercase.txt
directory-list-2.3-medium.txt
RobotsDisallowed/top10000.txt
/usr/share/wordlists/dirb/common.txt
/usr/share/wordlists/dirb/big.txt
/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
Observe que sempre que um novo diretório for descoberto durante a força bruta ou spidering, ele deve ser forçado.
O que verificar em cada arquivo encontrado
Verificador de links quebrados: Encontre links quebrados dentro de HTMLs que podem ser propensos a tomadas de controle
Backups de arquivos: Depois de encontrar todos os arquivos, procure por backups de todos os arquivos executáveis (".php", ".aspx"...). Variações comuns para nomear um backup são: file.ext~, #file.ext#, ~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp e file.old. Você também pode usar a ferramenta bfac ou backup-gen.
Descobrir novos parâmetros: Você pode usar ferramentas como Arjun, parameth, x8 e Param Miner para descobrir parâmetros ocultos. Se possível, você pode tentar procurar parâmetros ocultos em cada arquivo web executável.
Todos os wordlists padrão do Arjun: https://github.com/s0md3v/Arjun/tree/master/arjun/db
Param-miner “params” : https://github.com/PortSwigger/param-miner/blob/master/resources/params
Assetnote “parameters_top_1m”: https://wordlists.assetnote.io/
nullenc0de “params.txt”: https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
Comentários: Verifique os comentários de todos os arquivos, você pode encontrar credenciais ou funcionalidades ocultas.
Se você está participando de um CTF, um "truque" comum é esconder informações dentro de comentários no final da página (usando centenas de espaços para que você não veja os dados ao abrir o código-fonte com o navegador). Outra possibilidade é usar várias novas linhas e esconder informações em um comentário na parte inferior da página da web.
Chaves de API: Se você encontrar alguma chave de API, há um guia que indica como usar chaves de API de diferentes plataformas: keyhacks, zile, truffleHog, SecretFinder, RegHex, DumpsterDive, EarlyBird
Chaves de API do Google: Se você encontrar alguma chave de API parecida com AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik, você pode usar o projeto gmapapiscanner para verificar quais APIs a chave pode acessar.
Buckets S3: Enquanto spidering, verifique se algum subdomínio ou algum link está relacionado a algum bucket S3. Nesse caso, verifique as permissões do bucket.
Descobertas especiais
Enquanto realiza o spidering e a força bruta, você pode encontrar coisas interessantes que precisa observar.
Arquivos interessantes
Procure por links para outros arquivos dentro dos arquivos CSS.
Se encontrar um arquivo .env, informações como chaves de API, senhas de bancos de dados e outras informações podem ser encontradas.
Se encontrar pontos de extremidade de API, você também deve testá-los. Estes não são arquivos, mas provavelmente "se parecerão" com eles.
Arquivos JS: Na seção de spidering, foram mencionadas várias ferramentas que podem extrair caminhos de arquivos JS. Também seria interessante monitorar cada arquivo JS encontrado, pois em algumas ocasiões, uma alteração pode indicar a introdução de uma vulnerabilidade potencial no código. Você poderia usar, por exemplo, JSMon.
Desofuscador e descompactador de Javascript: https://lelinhtinh.github.io/de4js/, https://www.dcode.fr/javascript-unobfuscator
Embelezador de Javascript: http://jsbeautifier.org/, http://jsnice.org/
Desofuscação JsFuck (javascript com caracteres:"[]!+" https://ooze.ninja/javascript/poisonjs/)
TrainFuck:
+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.
Em várias ocasiões, você precisará entender as expressões regulares usadas, isso será útil: https://regex101.com/
Você também pode monitorar os arquivos onde formulários foram detectados, pois uma alteração no parâmetro ou a aparição de um novo formulário pode indicar uma nova funcionalidade vulnerável potencial.
403 Forbidden/Basic Authentication/401 Unauthorized (bypass)
page403 & 401 Bypasses502 Proxy Error
Se alguma página responder com esse código, provavelmente é um proxy mal configurado. Se você enviar uma solicitação HTTP como: GET https://google.com HTTP/1.1
(com o cabeçalho host e outros cabeçalhos comuns), o proxy tentará acessar google.com e você terá encontrado um SSRF.
Autenticação NTLM - Divulgação de informações
Se o servidor em execução que solicita autenticação for Windows ou se você encontrar um login solicitando suas credenciais (e pedindo o nome do domínio), você pode provocar uma divulgação de informações.
Envie o cabeçalho: “Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”
e devido ao funcionamento da autenticação NTLM, o servidor responderá com informações internas (versão do IIS, versão do Windows...) dentro do cabeçalho "WWW-Authenticate".
Você pode automatizar isso usando o plugin nmap "http-ntlm-info.nse".
Redirecionamento HTTP (CTF)
É possível inserir conteúdo dentro de um redirecionamento. Esse conteúdo não será mostrado ao usuário (pois o navegador executará o redirecionamento), mas algo poderia estar oculto lá.
Verificação de Vulnerabilidades Web
Agora que foi realizada uma enumeração abrangente da aplicação web, é hora de verificar muitas possíveis vulnerabilidades. Você pode encontrar a lista de verificação aqui:
pageWeb Vulnerabilities MethodologyEncontre mais informações sobre vulnerabilidades web em:
Monitorar Páginas para Alterações
Você pode usar ferramentas como https://github.com/dgtlmoon/changedetection.io para monitorar páginas em busca de modificações que possam inserir vulnerabilidades.
Se você está interessado em uma carreira em hacking e hackear o inquebrável - estamos contratando! (fluência em polonês escrita e falada é necessária).
Comandos Automáticos do HackTricks
Last updated