80,443 - Pentesting Web Metodologie

Reading time: 21 minutes

tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Basiese Inligting

Die webdiens is die mees gebruiklike en omvattende diens en baie verskillende tipes kwesbaarhede kom voor.

Standaardpoort: 80 (HTTP), 443(HTTPS)

bash
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  ssl/https
bash
nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0

Web API Riglyne

Web API Pentesting

Metodologie opsomming

In hierdie metodologie gaan ons aanvaar dat jy 'n domain (of subdomain) aanvall en slegs daardie. Dus, jy moet hierdie metodologie toepas op elke ontdekte domain, subdomain of IP met 'n ondubbelsinnige web server binne die scope.

  • Begin deur die identifying van die technologies wat deur die web server gebruik word. Soek vir tricks om in gedagte te hou gedurende die res van die toets indien jy die tech suksesvol kan identifiseer.
  • Enige known vulnerability van die weergawe van die technology?
  • Gebruik jy enige well known tech? Enige useful trick om meer inligting te extract?
  • Enige specialised scanner om te run (soos wpscan)?
  • Lancering van general purposes scanners. Jy weet nooit of hulle iets gaan find of interessante inligting gaan find nie.
  • Begin met die initial checks: robots, sitemap, 404 error en SSL/TLS scan (indien HTTPS).
  • Begin spidering die web page: Dit is tyd om alle moontlike files, folders en parameters being used te find. Kontroleer ook vir special findings.
  • Noteer dat elke keer 'n nuwe directory ontdek word tydens brute-forcing of spidering, dit gespidder moet word.
  • Directory Brute-Forcing: Probeer om alle ontdekte folders te brute-force om na nuwe files en directories te soek.
  • Noteer dat elke keer 'n nuwe directory ontdek word tydens brute-forcing of spidering, dit Brute-Forced moet word.
  • Backups checking: Test of jy backups van discovered files kan find deur algemene backup extensions aan te heg.
  • Brute-Force parameters: Probeer om find hidden parameters.
  • Sodra jy alle moontlike identified endpoints wat user input aanvaar het, kontroleer vir alle tipes vulnerabilities wat daarmee verband hou.
  • Follow this checklist

Server Version (Vulnerable?)

Identify

Kontroleer of daar known vulnerabilities vir die server version wat loop is.
Die HTTP headers and cookies of the response kan baie nuttig wees om die technologies en/of version wat gebruik word te identify. Nmap scan kan die server version identify, maar die tools whatweb, webtech of https://builtwith.com/ kan ook nuttig wees:**

bash
whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2

Soek na kwesbaarhede van die webtoepassing weergawe

Kyk of daar 'n WAF is

Web-tegnologie truuks

Sommige truuks om kwesbaarhede te vind in verskillende bekende tegnologieë wat gebruik word:

Neem in ag dat die same domain verskillende technologies op verskillende ports, folders en subdomains kan gebruik.
As die webtoepassing enige bekende tech/platform listed before of any other gebruik, moenie vergeet om op die Internet na nuwe truuks te soek nie (en laat my weet!).

Source Code Review

As die source code van die toepassing op github beskikbaar is, behalwe om self 'n White box test van die toepassing uit te voer, is daar sekere inligting wat nuttig kan wees vir die huidige Black-Box testing:

  • Is daar 'n Change-log or Readme or Version lĂȘer of enigiets met version info accessible via die web?
  • Hoe en waar word die credentials gestoor? Is daar enige (toeganklike?) file met credentials (usernames of passwords)?
  • Is passwords in plain text, encrypted of watter hashing algorithm word gebruik?
  • Is dit die gebruik van enige master key om iets te enkripteer? Watter algorithm word gebruik?
  • Kan jy access any of these files deur 'n vulnerability te benut?
  • Is daar enige interessante inligting op github (solved and not solved) issues? Of in die commit history (miskien 'n password wat in 'n ou commit ingestel is)?

Source code Review / SAST Tools

Automatic scanners

General purpose automatic scanners

bash
nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>

# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"

CMS-skandeerders

As 'n CMS gebruik word, moenie vergeet om 'n scanner uit te voer nie; dalk word iets sappigs gevind:

Clusterd: JBoss, ColdFusion, WebLogic, Tomcat, Railo, Axis2, Glassfish
CMSScan: WordPress, Drupal, Joomla, vBulletin webwerwe vir sekuriteitsprobleme. (GUI)
VulnX: Joomla, Wordpress, Drupal, PrestaShop, Opencart
CMSMap: (W)ordpress, (J)oomla, (D)rupal of (M)oodle
droopscan: Drupal, Joomla, Moodle, Silverstripe, Wordpress

bash
cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs

Op hierdie punt behoort jy reeds sommige inligting te hĂȘ oor die webbediener wat deur die kliĂ«nt gebruik word (indien enige data gegee is) en 'n paar truuks om in gedagte te hou tydens die toets. As jy gelukkig is het jy selfs 'n CMS gevind en 'n scanner laat loop.

Stap-vir-stap Webtoepassing-ontdekking

Vanaf hierdie punt gaan ons begin om met die webtoepassing te kommunikeer.

Aanvanklike kontroles

Standaardbladsye met interessante inligting:

  • /robots.txt
  • /sitemap.xml
  • /crossdomain.xml
  • /clientaccesspolicy.xml
  • /.well-known/
  • Kyk ook na kommentaar op die hoof- en sekondĂȘre bladsye.

Foute afdwing

Webbedieners kan ongewoon optree wanneer vreemde data na hulle gestuur word. Dit kan vulnerabilities open of sensitiewe inligting openbaar.

  • Toegang tot fake pages soos /whatever_fake.php (.aspx,.html,.etc)
  • Voeg "[]", "]]", en "[[" in cookie values en parameter waardes om foute te skep
  • Genereer 'n fout deur invoer as /~randomthing/%s by die einde van die URL te gee
  • Probeer verskeie HTTP Verbs soos PATCH, DEBUG of foutiewe soos FAKE

Kyk of jy files kan oplaai (PUT verb, WebDav)

As jy agterkom dat WebDav enabled is, maar jy nie genoeg permissies het om uploading files in die root folder te doen nie, probeer die volgende:

  • Brute Force credentials
  • Upload files via WebDav na die res van die gevonde gidse binne die webblad. Jy mag permissies hĂȘ om files in ander gidse te upload.

SSL/TLS vulnerabilites

  • As die toepassing nie gebruikers dwing om HTTPS te gebruik in enige deel nie, is dit vulnerable to MitM
  • As die toepassing sensitiewe data (wagwoorde) via HTTP stuur. Dan is dit 'n hoĂ« vulnerability.

Gebruik testssl.sh om te check vir vulnerabilities (In Bug Bounty programmes sal hierdie tipe vulnerabilities waarskynlik nie aanvaar word nie) en gebruik a2sv om die vulnerabilities te hersien:

bash
./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also

# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>

Inligting oor SSL/TLS kwetsbaarhede:

Spidering

Begin 'n soort spider op die web. Die doel van die spider is om soveel moontlike paaie van die getoetste toepassing te vind. Daarom moet web crawling en eksterne bronne gebruik word om soveel geldige paaie as moontlik te ontdek.

  • gospider (go): HTML spider, LinkFinder in JS files en eksterne bronne (Archive.org, CommonCrawl.org, VirusTotal.com).
  • hakrawler (go): HML spider, met LinkFider vir JS files en Archive.org as eksterne bron.
  • dirhunt (python): HTML spider, wys ook "juicy files".
  • evine (go): Interaktiewe CLI HTML spider. Soek ook in Archive.org
  • meg (go): Hierdie tool is nie 'n spider nie, maar kan handig wees. Jy kan 'n lĂȘer met hosts en 'n lĂȘer met paths aandui en meg sal elke pad op elke host opvra en die response stoor.
  • urlgrab (go): HTML spider met JS rendering vermoĂ«ns. Dit lyk egter ononderhou, die vooraf-gekompileerde weergawe is oud en die huidige kode kompileer nie.
  • gau (go): HTML spider wat eksterne providers gebruik (wayback, otx, commoncrawl)
  • ParamSpider: Hierdie script sal URLs met parameters vind en dit lys.
  • galer (go): HTML spider met JS rendering vermoĂ«ns.
  • LinkFinder (python): HTML spider, met JS beautify vermoĂ«ns wat nuwe paaie in JS files kan soek. Dit kan ook die moeite werd wees om JSScanner na te gaan, wat 'n wrapper van LinkFinder is.
  • goLinkFinder (go): Om endpoints in beide HTML bron en ingebedde javascript files uit te trek. Nuttig vir bug hunters, red teamers, infosec ninjas.
  • JSParser (python2.7): 'n python 2.7 skrip wat Tornado en JSBeautifier gebruik om relatiewe URLs uit JavaScript files te parse. Nuttig om AJAX requests maklik te ontdek. Lyk ononderhou.
  • relative-url-extractor (ruby): Gegee 'n lĂȘer (HTML) sal dit URLs daaruit uittrek deur handige regular expressions te gebruik om relatiewe URLs uit lelike (minified) files te vind en te onttrek.
  • JSFScan (bash, several tools): Versamel interessante inligting uit JS files met verskeie tools.
  • subjs (go): Vind JS files.
  • page-fetch (go): Laai 'n bladsy in 'n headless browser en druk al die urls wat gelaai word om die bladsy te laai.
  • Feroxbuster (rust): Content discovery tool wat verskeie opsies van die vorige tools meng.
  • Javascript Parsing: 'n Burp extension om paaie en params in JS files te vind.
  • Sourcemapper: 'n tool wat gegewe die .js.map URL vir jou die beatified JS kode sal kry.
  • xnLinkFinder: Hierdie tool word gebruik om endpoints vir 'n gegewe target te ontdek.
  • waymore: Ontdek links van die wayback machine (laai ook die responses in die wayback af en soek meer links).
  • HTTPLoot (go): Crawl (selfs deur vorms in te vul) en vind ook sensitiewe inligting met spesifieke regexes.
  • SpiderSuite: Spider Suite is 'n gevorderde multi-feature GUI web security Crawler/Spider ontwerp vir kuberveiligheidsprofessionals.
  • jsluice (go): 'n Go package en command-line tool vir die onttrekking van URLs, paaie, secrets en ander interessante data uit JavaScript bronkode.
  • ParaForge: ParaForge is 'n eenvoudige Burp Suite extension om parameters en endpoints uit requests te onttrek om custom wordlists vir fuzzing en enumerasie te skep.
  • katana (go): 'n uitstekende tool hiervoor.
  • Crawley (go): Druk elke link wat dit kan vind.

Brute Force directories and files

Begin met brute-forcing vanaf die wortelgids en maak seker om alle die direktorieë wat gevind word te brute-force met hierdie metode en al die direktorieë wat deur die Spidering ontdek is (jy kan dit recursief brute-force doen en die name van die gevonde direktorieë aan die begin van die gebruikte wordlist plaas).
Tools:

  • Dirb / Dirbuster - Ingesluit in Kali, oud (en stadig) maar funksioneel. Laat self-ondertekende sertifikate toe en recursiewe soektog. Te stadig vergeleke met die ander opsies.
  • Dirsearch (python): Dit laat nie self-ondertekende sertifikate toe nie maar ondersteun recursiewe soektog.
  • Gobuster (go): Dit laat self-ondertekende sertifikate toe, dit het nie recursiewe soektog nie.
  • Feroxbuster - Fast, supports recursive search.
  • wfuzz wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ
  • ffuf - Fast: ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ
  • uro (python): Dit is nie 'n spider nie maar 'n tool wat, gegewe die lys van gevonde URLs, "gedupliseerde" URLs sal verwyder.
  • Scavenger: Burp Extension om 'n lys van direktorieĂ« te skep uit die burp geskiedenis van verskillende bladsye.
  • TrashCompactor: Verwyder URLs met gedupliseerde funksionaliteite (gebaseer op js imports).
  • Chamaleon: Gebruik wapalyzer om gebruikte tegnologieĂ« te identifiseer en kies die wordlists om te gebruik.

Aanbevole woordlyste:

Let daarop dat enige tyd 'n nuwe direktorie gevind word tydens brute-forcing of spidering, dit brute-forced moet word.

Wat om te kontroleer op elke gevonde lĂȘer

  • Broken link checker: Vind gebroke links binne HTMLs wat vatbaar kan wees vir takeovers.
  • File Backups: Sodra jy al die lĂȘers gevind het, kyk vir backups van alle uitvoerbare lĂȘers (".php", ".aspx"...). Algemene variasies vir die naam van 'n backup is: file.ext~, #file.ext#, ~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp en file.old. Jy kan ook die tool bfac of backup-gen** gebruik.**
  • Ontdek nuwe parameters: Jy kan tools gebruik soos Arjun, parameth, x8 en Param Miner om versteekte parameters te ontdek. Indien moontlik, probeer om versteekte parameters op elke uitvoerbare web-lĂȘer te soek.
  • Arjun all default wordlists: https://github.com/s0md3v/Arjun/tree/master/arjun/db
  • Param-miner “params” : https://github.com/PortSwigger/param-miner/blob/master/resources/params
  • Assetnote “parameters_top_1m”: https://wordlists.assetnote.io/
  • nullenc0de “params.txt”: https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
  • Comments: Kontroleer die kommentaar van alle lĂȘers; jy kan credentials of versteekte funksionaliteit vind.
  • As jy 'n CTF speel, 'n "algemene" truuk is om inligting binne kommentaar aan die regterkant van die bladsy te versteek (deur honderde spasies te gebruik sodat jy die data nie sien as jy die bron in die blaaier oopmaak nie). 'n Ander moontlikheid is om verskeie nuwe lyne te gebruik en inligting in 'n kommentaar aan die onderkant van die webblad te verberg.
  • API keys: As jy enige API key vind, bestaan daar gidse wat aandui hoe om API keys van verskeie platforms te gebruik: keyhacks, zile, truffleHog, SecretFinder, RegHex, DumpsterDive, EarlyBird
  • Google API keys: As jy 'n API key vind wat soos AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik lyk, kan jy die projek gmapapiscanner gebruik om te kontroleer watter apis die sleutel kan toegang gee.
  • S3 Buckets: Terwyl jy spidering doen, kyk of enige subdomain of skakel verwant is aan 'n S3 bucket. In daardie geval, kontroleer die permissions van die bucket.

Spesiale bevindings

Terwyl jy die spidering en brute-forcing uitvoer, kan jy interessante items vind wat jy moet opmerk.

Interessante lĂȘers

403 Forbidden/Basic Authentication/401 Unauthorized (bypass)

403 & 401 Bypasses

502 Proxy Error

As enige bladsy met daardie kode antwoord, is dit waarskynlik 'n sleg gekonfigureerde proxy. As jy 'n HTTP versoek soos: GET https://google.com HTTP/1.1 stuur (met die host header en ander algemene headers), sal die proxy probeer om google.com te bereik en jy het 'n SSRF gevind.

NTLM Authentication - Info disclosure

As die bediener wat vir authentication vra 'n Windows bediener is of jy vind 'n login wat vir jou credentials vra (en vra vir domain name), kan jy 'n information disclosure veroorsaak.
Stuur die header: “Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=” en weens hoe NTLM authentication werk, sal die bediener interne inligting (IIS version, Windows version...) binne die header "WWW-Authenticate" teruggee.
Jy kan dit outomatiseer met die nmap plugin "http-ntlm-info.nse".

HTTP Redirect (CTF)

Dit is moontlik om inhoud binne 'n Redirection te plaas. Hierdie inhoud sal nie aan die gebruiker gewys word nie (aangesien die blaaier die redirection sal uitvoer) maar iets kan daarin versteek wees.

Web Vulnerabilities Checking

Nou dat 'n omvattende enumerasie van die web toepassing uitgevoer is, is dit tyd om vir baie moontlike kwesbaarhede te toets. Jy kan die checklist hier vind:

Web Vulnerabilities Methodology

Vind meer inligting oor web kwesbaarhede by:

Monitor Pages for changes

Jy kan tools gebruik soos https://github.com/dgtlmoon/changedetection.io om bladsye te monitor vir wysigings wat kwesbaarhede kan inbring.

HackTricks Automatic Commands

Protocol_Name: Web    #Protocol Abbreviation if there is one.
Port_Number:  80,443     #Comma separated if there is more than one.
Protocol_Description: Web         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-web/index.html

Entry_2:
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_3:
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}

Entry_4:
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}

Entry_5:
Name: Directory Brute Force Non-Recursive
Description:  Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_6:
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10

Entry_7:
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200

Entry_8:
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}

Entry_9:
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration

Entry_10:
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e

Entry_11:
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

Entry_12:
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}

tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks