hacktricks/network-services-pentesting/pentesting-web/README.md

444 lines
31 KiB
Markdown
Raw Normal View History

# 80,443 - Metodologija testiranja penetracije veb servisa
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 13:11:20 +00:00
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:11:20 +00:00
Drugi načini podrške HackTricks-u:
2023-12-31 01:24:39 +00:00
* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJATELJSTVO**](https://github.com/sponsors/carlospolop)!
2024-02-10 13:11:20 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-04-28 16:01:33 +00:00
Ako ste zainteresovani za **karijeru u hakovanju** i hakovanje onoga što se ne može hakovati - **zapošljavamo!** (_potrebno je tečno poznavanje poljskog jezika, pisano i govorno_).
2022-04-30 20:31:18 +00:00
{% embed url="https://www.stmcyber.com/careers" %}
## Osnovne informacije
Veb servis je naj**češći i najopsežniji servis** i postoji mnogo **različitih vrsta ranjivosti**.
**Podrazumevani port:** 80 (HTTP), 443(HTTPS)
```bash
PORT STATE SERVICE
80/tcp open http
443/tcp open ssl/https
```
```bash
nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0
```
2024-02-10 13:11:20 +00:00
### Vodič za Web API
2021-06-26 15:04:40 +00:00
{% content-ref url="web-api-pentesting.md" %}
[web-api-pentesting.md](web-api-pentesting.md)
{% endcontent-ref %}
2021-06-26 15:04:40 +00:00
## Sažetak metodologije
> U ovoj metodologiji pretpostavljamo da ćete napasti domen (ili poddomen) i samo to. Stoga, trebalo bi primeniti ovu metodologiju na svaki otkriveni domen, poddomen ili IP sa nepoznatim web serverom unutar opsega.
* [ ] Počnite sa **identifikacijom** korišćenih **tehnologija** web servera. Potražite **tričarije** koje treba imati na umu tokom ostatka testa ako uspešno identifikujete tehnologiju.
2024-02-10 13:11:20 +00:00
* [ ] Da li postoji **poznata ranjivost** verzije te tehnologije?
* [ ] Korišćenje neke **dobro poznate tehnologije**? Bilo kakva **korisna tričarija** za izvlačenje više informacija?
* [ ] Da li postoji **specijalizovani skener** za pokretanje (poput wpscan-a)?
* [ ] Pokrenite **skenere opšte namene**. Nikad ne znate da li će pronaći nešto ili neku zanimljivu informaciju.
* [ ] Počnite sa **početnim proverama**: **robots**, **sitemap**, **404** greška i **SSL/TLS sken** (ako je HTTPS).
* [ ] Počnite sa **spideringom** web stranice: Vreme je da **pronađete** sve moguće **datoteke, fascikle** i **parametre koji se koriste**. Takođe, proverite **specijalna otkrića**.
* [ ] _Imajte na umu da svaki put kada se otkrije nova fascikla tokom brute-forcinga ili spideringa, treba je spiderovati._
* [ ] **Brute-Force direktorijuma**: Pokušajte da brute force-ujete sve otkrivene fascikle tražeći nove **datoteke** i **direktorijume**.
* [ ] _Imajte na umu da svaki put kada se otkrije nova fascikla tokom brute-forcinga ili spideringa, treba je Brute-Force-ovati._
* [ ] **Provera rezervnih kopija**: Testirajte da li možete pronaći **rezervne kopije** otkrivenih datoteka dodavanjem uobičajenih ekstenzija za rezervne kopije.
2024-02-10 13:11:20 +00:00
* [ ] **Brute-Force parametara**: Pokušajte da **pronađete skrivene parametre**.
* [ ] Kada ste **identifikovali** sve moguće **krajnje tačke** koje prihvataju **korisnički unos**, proverite sve vrste **ranjivosti** povezane sa tim.
2024-04-06 19:39:21 +00:00
* [ ] [Pratite ovu listu za proveru](../../pentesting-web/web-vulnerabilities-methodology.md)
2024-02-10 13:11:20 +00:00
## Verzija servera (Ranjiva?)
2024-02-10 13:11:20 +00:00
### Identifikacija
2024-02-10 13:11:20 +00:00
Proverite da li postoje **poznate ranjivosti** za verziju servera koja se koristi.\
**HTTP zaglavlja i kolačići odgovora** mogu biti veoma korisni za **identifikaciju** korišćenih **tehnologija** i/ili **verzije**. **Nmap skeniranje** može identifikovati verziju servera, ali mogu biti korisni i alati [**whatweb**](https://github.com/urbanadventurer/WhatWeb)**,** [**webtech** ](https://github.com/ShielderSec/webtech)ili [**https://builtwith.com/**](https://builtwith.com)**:**
```bash
whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
2022-05-19 12:02:10 +00:00
webanalyze -host https://google.com -crawl 2
```
Pretraga **za** [**ranjivosti veb aplikacije** **verzije**](../../generic-methodologies-and-resources/search-exploits.md)
2024-02-10 13:11:20 +00:00
### **Provera da li postoji WAF**
2020-12-12 09:50:37 +00:00
2021-02-10 15:19:08 +00:00
* [**https://github.com/EnableSecurity/wafw00f**](https://github.com/EnableSecurity/wafw00f)
* [**https://github.com/Ekultek/WhatWaf.git**](https://github.com/Ekultek/WhatWaf.git)
* [**https://nmap.org/nsedoc/scripts/http-waf-detect.html**](https://nmap.org/nsedoc/scripts/http-waf-detect.html)
2020-12-12 09:50:37 +00:00
### Trikovi za veb tehnologije
2024-02-10 13:11:20 +00:00
Neki **trikovi** za **pronalaženje ranjivosti** u različitim dobro poznatim **tehnologijama** koje se koriste:
2021-07-27 08:34:47 +00:00
* [**AEM - Adobe Experience Cloud**](aem-adobe-experience-cloud.md)
* [**Apache**](apache.md)
* [**Artifactory**](artifactory-hacking-guide.md)
* [**Buckets**](buckets/)
* [**CGI**](cgi.md)
* [**Drupal**](drupal.md)
* [**Flask**](flask.md)
* [**Git**](git.md)
* [**Golang**](golang.md)
* [**GraphQL**](graphql.md)
2024-02-10 13:11:20 +00:00
* [**H2 - Java SQL baza podataka**](h2-java-sql-database.md)
* [**IIS trikovi**](iis-internet-information-services.md)
2021-07-27 08:34:47 +00:00
* [**JBOSS**](jboss.md)
* [**Jenkins**](https://github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/pentesting-web/broken-reference/README.md)
2021-07-27 08:34:47 +00:00
* [**Jira**](jira.md)
* [**Joomla**](joomla.md)
* [**JSP**](jsp.md)
* [**Laravel**](laravel.md)
* [**Moodle**](moodle.md)
* [**Nginx**](nginx.md)
* [**PHP (php ima mnogo zanimljivih trikova koji mogu biti iskorišćeni)**](php-tricks-esp/)
2021-07-27 08:34:47 +00:00
* [**Python**](python.md)
* [**Spring Actuators**](spring-actuators.md)
* [**Symphony**](symphony.md)
2024-04-06 19:39:21 +00:00
* [**Tomcat**](tomcat/)
2021-07-27 08:34:47 +00:00
* [**VMWare**](vmware-esx-vcenter....md)
* [**Web API Pentesting**](web-api-pentesting.md)
* [**WebDav**](put-method-webdav.md)
* [**Werkzeug**](werkzeug.md)
* [**Wordpress**](wordpress.md)
* [**Electron Desktop (XSS to RCE)**](electron-desktop-apps/)
2021-06-26 13:01:09 +00:00
2024-02-10 13:11:20 +00:00
_Uzmite u obzir da **isti domen** može koristiti **različite tehnologije** na različitim **portovima**, **folderima** i **poddomenima**._\
Ako veb aplikacija koristi neku od dobro poznatih **tehnologija/platformi navedenih ranije** ili **bilo koju drugu**, ne zaboravite da **pretražite Internet** za nove trikove (i obavestite me!).
2021-06-26 13:01:09 +00:00
2024-02-10 13:11:20 +00:00
### Pregled izvornog koda
2021-06-26 13:01:09 +00:00
Ako je **izvorni kod** aplikacije dostupan na **githubu**, osim što ćete izvršiti **White box testiranje** aplikacije, postoji **neke informacije** koje mogu biti **korisne** za trenutno **Black-Box testiranje**:
* Da li postoji **Change-log ili Readme ili fajl sa verzijom** ili bilo šta sa **informacijama o verziji dostupno** putem veba?
* Kako i gde su sačuvani **kredencijali**? Postoji li (dostupan?) **fajl** sa kredencijalima (korisnička imena ili lozinke)?
* Da li su **lozinke** u **čistom tekstu**, **šifrovane** ili koji **algoritam za heširanje** se koristi?
2024-02-10 13:11:20 +00:00
* Da li se koristi neki **master ključ** za šifrovanje nečega? Koji **algoritam** se koristi?
* Možete li **pristupiti nekom od ovih fajlova** iskorišćavanjem neke ranjivosti?
* Da li postoji neka **zanimljiva informacija na githubu** (rešeni i nerešeni) **problemi**? Ili u **istoriji commitova** (možda neka **lozinka uneta unutar starog commita**)?
{% content-ref url="code-review-tools.md" %}
[code-review-tools.md](code-review-tools.md)
{% endcontent-ref %}
2024-02-10 13:11:20 +00:00
### Automatski skeneri
2024-02-10 13:11:20 +00:00
#### Automatski skeneri opšte namene
```bash
nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
2021-06-27 13:15:35 +00:00
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>
# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"
```
#### Skeneri CMS-a
Ako se koristi CMS, ne zaboravite **pokrenuti skener**, možda pronađete nešto zanimljivo:
2024-04-06 19:39:21 +00:00
[**Clusterd**](https://github.com/hatRiot/clusterd)**:** [**JBoss**](jboss.md)**, ColdFusion, WebLogic,** [**Tomcat**](tomcat/)**, Railo, Axis2, Glassfish**\
[**CMSScan**](https://github.com/ajinabraham/CMSScan): [**WordPress**](wordpress.md), [**Drupal**](drupal.md), **Joomla**, **vBulletin** web sajtove zbog sigurnosnih problema. (GUI)\
2022-03-17 15:33:23 +00:00
[**VulnX**](https://github.com/anouarbensaad/vulnx)**:** [**Joomla**](joomla.md)**,** [**Wordpress**](wordpress.md)**,** [**Drupal**](drupal.md)**, PrestaShop, Opencart**\
2024-02-10 13:11:20 +00:00
**CMSMap**: [**(W)ordpress**](wordpress.md)**,** [**(J)oomla**](joomla.md)**,** [**(D)rupal**](drupal.md) **ili** [**(M)oodle**](moodle.md)\
2022-03-17 15:33:23 +00:00
[**droopscan**](https://github.com/droope/droopescan)**:** [**Drupal**](drupal.md)**,** [**Joomla**](joomla.md)**,** [**Moodle**](moodle.md)**, Silverstripe,** [**Wordpress**](wordpress.md)
```bash
cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs
```
> U ovom trenutku već biste trebali imati neke informacije o web serveru koji koristi klijent (ako su dostupni podaci) i neke trikove na umu tokom testa. Ako imate sreće, možda ste čak pronašli CMS i pokrenuli neki skener.
## Korak-po-korak otkrivanje web aplikacije
> Od ovog trenutka počinjemo interakciju sa web aplikacijom.
2024-02-10 13:11:20 +00:00
### Početne provere
2024-02-10 13:11:20 +00:00
**Podrazumevane stranice sa zanimljivim informacijama:**
* /robots.txt
* /sitemap.xml
2021-06-27 13:15:35 +00:00
* /crossdomain.xml
* /clientaccesspolicy.xml
* /.well-known/
2024-02-10 13:11:20 +00:00
* Takođe proverite komentare na glavnim i sekundarnim stranicama.
2021-06-27 16:17:04 +00:00
2024-02-10 13:11:20 +00:00
**Prisiljavanje grešaka**
2021-06-27 16:17:04 +00:00
2024-02-10 13:11:20 +00:00
Veb serveri se mogu **neočekivano ponašati** kada im se šalju čudni podaci. To može otvoriti **ranjivosti** ili **otkriti osetljive informacije**.
2021-06-27 16:17:04 +00:00
* Pristupite **lažnim stranicama** poput /bilo\_šta\_lažno.php (.aspx,.html,.itd)
* Dodajte "\[]", "]]" i "\[\[" u vrednosti **kolačića** i vrednosti **parametara** da biste izazvali greške
* Generišite grešku dajući unos kao **`/~slučajnost/%s`** na **kraju** **URL-a**
2024-02-10 13:11:20 +00:00
* Pokušajte sa **različitim HTTP glagolima** poput PATCH, DEBUG ili pogrešnim poput FAKE
#### **Proverite da li možete da otpremite fajlove (**[**PUT glagol, WebDav**](put-method-webdav.md)**)**
Ako otkrijete da je **WebDav** **omogućen** ali nemate dovoljno dozvola za **otpemljivanje fajlova** u osnovnom folderu, pokušajte:
* **Bruteforce** pristupne podatke
* **Otpremite fajlove** putem WebDav-a u **ostale** pronađene foldere unutar web stranice. Možda imate dozvole za otpremanje fajlova u drugim folderima.
### **Ranjivosti SSL/TLS**
2021-06-27 13:15:35 +00:00
* Ako aplikacija **ne zahteva korišćenje HTTPS** od korisnika ni u jednom trenutku, onda je **ranjiva na MitM** napade
* Ako aplikacija **šalje osetljive podatke (šifre) putem HTTP-a**. Tada je to visoka ranjivost.
2024-04-06 19:39:21 +00:00
Koristite [**testssl.sh**](https://github.com/drwetter/testssl.sh) za provere **ranjivosti** (U programima za Bug Bounty verovatno ove vrste ranjivosti neće biti prihvaćene) i koristite [**a2sv** ](https://github.com/hahwul/a2sv) za ponovnu proveru ranjivosti:
```bash
./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also
2022-05-01 12:49:36 +00:00
# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>
```
Informacije o ranjivostima SSL/TLS protokola:
2022-03-17 15:33:23 +00:00
* [https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/](https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/)
* [https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/](https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/)
2022-05-01 16:32:23 +00:00
### Spidering
Pokrenite neku vrstu **spidera** unutar veba. Cilj spajdera je da **pronađe što više putanja** kao moguće iz testirane aplikacije. Stoga, pretraživanje veba i spoljni izvori treba da se koriste kako bi se pronašlo što više validnih putanja.
2024-02-10 13:11:20 +00:00
* [**gospider**](https://github.com/jaeles-project/gospider) (go): HTML spider, LinkFinder u JS fajlovima i spoljni izvori (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com).
* [**hakrawler**](https://github.com/hakluke/hakrawler) (go): HTML spider, sa LinkFinder-om za JS fajlove i Archive.org kao spoljni izvor.
2024-02-10 13:11:20 +00:00
* [**dirhunt**](https://github.com/Nekmo/dirhunt) (python): HTML spider, takođe pokazuje "sočne fajlove".
* [**evine** ](https://github.com/saeeddhqan/evine)(go): Interaktivni CLI HTML spider. Takođe pretražuje u Archive.org.
* [**meg**](https://github.com/tomnomnom/meg) (go): Ovaj alat nije spider ali može biti koristan. Možete samo naznačiti fajl sa hostovima i fajl sa putanjama i meg će dohvatiti svaku putanju na svakom hostu i sačuvati odgovor.
* [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): HTML spider sa mogućnostima JS renderovanja. Međutim, izgleda da nije održavan, prekompajlirana verzija je stara i trenutni kod se ne kompajlira.
* [**gau**](https://github.com/lc/gau) (go): HTML spider koji koristi spoljne provajdere (wayback, otx, commoncrawl)
2024-02-10 13:11:20 +00:00
* [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): Ovaj skript će pronaći URL-ove sa parametrima i izlistati ih.
* [**galer**](https://github.com/dwisiswant0/galer) (go): HTML spider sa mogućnostima JS renderovanja.
* [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): HTML spider, sa mogućnostima JS lepote sposoban da traži nove putanje u JS fajlovima. Takođe bi bilo vredno pogledati i [JSScanner](https://github.com/dark-warlord14/JSScanner), koji je omotač za LinkFinder.
* [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Za izdvajanje krajnjih tačaka u HTML izvornom kodu i ugrađenim JS fajlovima. Korisno za lovce na bagove, timove crvenih šešira, infosec ninje.
* [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): Python 2.7 skript koji koristi Tornado i JSBeautifier za parsiranje relativnih URL-ova iz JavaScript fajlova. Korisno za lako otkrivanje AJAX zahteva. Izgleda da nije održavan.
* [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): Dajući fajl (HTML) izvući će URL-ove iz njega koristeći pametne regularne izraze za pronalaženje i izdvajanje relativnih URL-ova iz ružnih (minifikovanih) fajlova.
* [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, nekoliko alata): Sakupljanje interesantnih informacija iz JS fajlova koristeći nekoliko alata.
* [**subjs**](https://github.com/lc/subjs) (go): Pronalaženje JS fajlova.
* [**page-fetch**](https://github.com/detectify/page-fetch) (go): Učitajte stranicu u headless pretraživaču i ispišite sve učitane URL-ove za učitavanje stranice.
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Alat za otkrivanje sadržaja koji kombinuje nekoliko opcija prethodnih alata
2024-02-10 13:11:20 +00:00
* [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): Burp ekstenzija za pronalaženje putanja i parametara u JS fajlovima.
* [**Sourcemapper**](https://github.com/denandz/sourcemapper): Alat koji će vam dati beatificirani JS kod dajući .js.map URL
* [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Ovo je alat koji se koristi za otkrivanje krajnjih tačaka za određenu metu.
* [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Otkrijte linkove sa wayback mašine (takođe preuzimajući odgovore u wayback-u i tražeći više linkova
* [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Pretražujte (čak i popunjavanjem formi) i takođe pronađite osetljive informacije koristeći specifične regexe.
* [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite je napredni višefunkcionalni GUI web sigurnosni Crawler/Spider dizajniran za profesionalce u oblasti sajber sigurnosti.
* [**jsluice**](https://github.com/BishopFox/jsluice) (go): To je Go paket i [komandno-linijski alat](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice) za izdvajanje URL-ova, putanja, tajni i drugih interesantnih podataka iz izvornog koda JavaScript-a.
* [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge je jednostavno **Burp Suite proširenje** za **izdvajanje parametara i krajnjih tačaka** iz zahteva kako bi se kreirala prilagođena lista reči za fuzzing i enumeraciju.
2024-02-10 13:11:20 +00:00
### Brute Force direktorijuma i fajlova
2024-02-10 13:11:20 +00:00
Počnite **brute-forcing** od korenskog foldera i budite sigurni da brute-force-ujete **sve** **pronađene direktorijume** koristeći **ovu metodu** i sve direktorijume **otkrivene** pomoću **Spidering-a** (možete ovo brute-force-ovati **rekurzivno** i dodavati na početak korišćene liste reči imena pronađenih direktorijuma).\
2024-02-10 13:11:20 +00:00
Alati:
* **Dirb** / **Dirbuster** - Uključen u Kali, **star** (i **spor**) ali funkcionalan. Dozvoljava auto-potpisane sertifikate i rekurzivnu pretragu. Previše spor u poređenju sa drugim opcijama.
* [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: Ne dozvoljava auto-potpisane sertifikate ali** dozvoljava rekurzivnu pretragu.
* [**Gobuster**](https://github.com/OJ/gobuster) (go): Dozvoljava auto-potpisane sertifikate, **nema** rekurzivnu pretragu.
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) **- Brz, podržava rekurzivnu pretragu.**
* [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ`
* [**ffuf** ](https://github.com/ffuf/ffuf)- Brz: `ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ`
* [**uro**](https://github.com/s0md3v/uro) (python): Ovo nije spider već alat koji će, dajući listu pronađenih URL-ova, obrisati "duplirane" URL-ove.
* [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Burp ekstenzija za kreiranje liste direktorijuma iz burp istorije različitih stranica
* [**TrashCompactor**](https://github.com/michael1026/trashcompactor): Uklonite URL-ove sa dupliciranim funkcionalnostima (bazirano na js importima)
* [**Chamaleon**](https://github.com/iustin24/chameleon): Koristi wapalyzer za otkrivanje korišćenih tehnologija i odabir rečnika za korišćenje.
**Preporučeni rečnici:**
* [https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt](https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt)
* [**Dirsearch** uključeni rečnik](https://github.com/maurosoria/dirsearch/blob/master/db/dicc.txt)
* [http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10](http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10)
* [Assetnote rečnici](https://wordlists.assetnote.io)
* [https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content)
* raft-large-directories-lowercase.txt
* directory-list-2.3-medium.txt
* RobotsDisallowed/top10000.txt
* [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists)
2021-06-27 14:11:13 +00:00
* [https://github.com/google/fuzzing/tree/master/dictionaries](https://github.com/google/fuzzing/tree/master/dictionaries)
* [https://github.com/six2dez/OneListForAll](https://github.com/six2dez/OneListForAll)
2021-07-27 08:34:47 +00:00
* [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists)
* _/usr/share/wordlists/dirb/common.txt_
* _/usr/share/wordlists/dirb/big.txt_
* _/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt_
_Napomena da svaki put kada se otkrije nova direktorijum tokom brute-forcinga ili spideringa, treba ga Brute-Forcovati._
2024-02-10 13:11:20 +00:00
### Šta proveriti kod svake pronađene datoteke
2024-02-10 13:11:20 +00:00
* [**Provera pokvarenih linkova**](https://github.com/stevenvachon/broken-link-checker): Pronađite pokvarene linkove unutar HTML-a koji mogu biti podložni preuzimanju
* **Rezervne kopije datoteka**: Kada pronađete sve datoteke, potražite rezervne kopije svih izvršnih datoteka ("_.php_", "_.aspx_"...). Uobičajene varijacije za nazivanje rezervne kopije su: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp i file.old._ Možete koristiti alatke [**bfac**](https://github.com/mazen160/bfac) **ili** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**.**
* **Otkrijte nove parametre**: Možete koristiti alatke poput [**Arjun**](https://github.com/s0md3v/Arjun)**,** [**parameth**](https://github.com/maK-/parameth)**,** [**x8**](https://github.com/sh1yo/x8) **i** [**Param Miner**](https://github.com/PortSwigger/param-miner) **za otkrivanje skrivenih parametara. Ako možete, možete pokušati da pronađete** skrivene parametre u svakoj izvršnoj web datoteci.
* _Arjun sve podrazumevane wordlist-e:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
* _Param-miner “params” :_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params)
* _Assetnote “parameters\_top\_1m”:_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io)
* _nullenc0de “params.txt”:_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773)
* **Komentari:** Proverite komentare svih datoteka, možete pronaći **poverljive informacije** ili **skrivene funkcionalnosti**.
* Ako igrate **CTF**, "obična" prevara je **sakriti informacije** unutar komentara na **desnoj** strani **stranice** (koristeći **stotine** **razmaka** kako ne biste videli podatke ako otvorite izvorni kod pretraživačem). Druga mogućnost je koristiti **nekoliko novih linija** i **sakriti informacije** u komentaru na **dnu** web stranice.
* **API ključevi**: Ako **pronađete bilo koji API ključ** postoji vodič koji pokazuje kako koristiti API ključeve različitih platformi: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**](https://github.com/l4yton/RegHex\)/)**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird)
* Google API ključevi: Ako pronađete bilo koji API ključ koji izgleda kao **AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik možete koristiti projekat [**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner) da proverite koje API-je ključ može pristupiti.
* **S3 Bucketi**: Dok spideringa, proverite da li je bilo koji **poddomen** ili bilo koji **link** povezan sa nekim **S3 bucketom**. U tom slučaju, [**proverite** dozvole **bucket-a**](buckets/).
2024-02-10 13:11:20 +00:00
### Posebna otkrića
**Tokom** spideringa i **brute-forcinga** možete pronaći **interesantne** **stvari** koje treba **primetiti**.
2024-02-10 13:11:20 +00:00
**Interesantne datoteke**
2024-02-10 13:11:20 +00:00
* Potražite **linkove** ka drugim datotekama unutar **CSS** datoteka.
* [Ako pronađete _**.git**_ datoteku, neke informacije se mogu izvući](git.md)
* Ako pronađete _**.env**_ informacije poput API ključeva, lozinki za baze podataka i druge informacije mogu biti pronađene.
* Ako pronađete **API endpointe** trebalo bi ih [testirati](web-api-pentesting.md). Ovo nisu datoteke, ali će verovatno "izgledati kao" njih.
* **JS datoteke**: U delu o spideringu pomenute su neke alatke koje mogu izvući putanje iz JS datoteka. Takođe, bilo bi interesantno **pratiti svaku pronađenu JS datoteku**, jer u nekim situacijama, promena može ukazivati na potencijalnu ranjivost u kodu. Možete koristiti na primer [**JSMon**](https://github.com/robre/jsmon)**.**
* Takođe biste trebali proveriti pronađene JS datoteke sa [**RetireJS**](https://github.com/retirejs/retire.js/) ili [**JSHole**](https://github.com/callforpapers-source/jshole) da biste videli da li su ranjive.
* **Deobfuskator i dekoder JavaScript-a:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
* **Ulepšivač JavaScript-a:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org)
* **JsFuck deobfuskacija** (JavaScript sa karakterima:"\[]!+" [https://ooze.ninja/javascript/poisonjs/](https://ooze.ninja/javascript/poisonjs/))
2024-02-10 13:11:20 +00:00
* [**TrainFuck**](https://github.com/taco-c/trainfuck)**:** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.`
* U nekoliko situacija će vam biti potrebno da **razumete regularne izraze** koji se koriste, ovo će biti korisno: [https://regex101.com/](https://regex101.com)
* Takođe biste mogli **pratiti datoteke gde su otkrivene forme**, jer promena u parametru ili pojava nove forme može ukazivati na potencijalnu novu ranjivu funkcionalnost.
**403 Forbidden/Basic Authentication/401 Unauthorized (bypass)**
{% content-ref url="403-and-401-bypasses.md" %}
[403-and-401-bypasses.md](403-and-401-bypasses.md)
{% endcontent-ref %}
**502 Proxy Error**
Ako bilo koja stranica **odgovori** tim **kodom**, verovatno je loše konfigurisan proxy. **Ako pošaljete HTTP zahtev poput: `GET https://google.com HTTP/1.1`** (sa host zaglavljem i ostalim uobičajenim zaglavljima), **proxy** će pokušati da **pristupi _google.com_** i otkrićete SSRF.
**NTLM Autentikacija - Otkrivanje informacija**
2024-02-10 13:11:20 +00:00
Ako pokrenuti server traži autentikaciju **Windows**-a ili pronađete prijavu koja traži vaše **poverljive informacije** (i traži **ime domena**), možete izazvati **otkrivanje informacija**.\
**Pošaljite** zaglavlje: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` i zbog toga kako **NTLM autentikacija funkcioniše**, server će odgovoriti internim informacijama (verzija IIS-a, verzija Windows-a...) unutar zaglavlja "WWW-Authenticate".\
Ovo možete **automatizovati** koristeći **nmap plugin** "_http-ntlm-info.nse_".
**HTTP Preusmeravanje (CTF)**
2024-04-06 19:39:21 +00:00
Moguće je **ubaciti sadržaj** unutar **Preusmeravanja**. Taj sadržaj **neće biti prikazan korisniku** (jer će pretraživač izvršiti preusmeravanje), ali nešto bi moglo biti **sakriveno** unutra.
### Provera ranjivosti veb stranica
Sada kada je obavljena sveobuhvatna enumeracija veb aplikacije, vreme je da se provere mnoge moguće ranjivosti. Možete pronaći listu za proveru ovde:
2021-06-26 12:28:58 +00:00
2024-04-06 19:39:21 +00:00
{% content-ref url="../../pentesting-web/web-vulnerabilities-methodology.md" %}
[web-vulnerabilities-methodology.md](../../pentesting-web/web-vulnerabilities-methodology.md)
{% endcontent-ref %}
2021-06-26 12:28:58 +00:00
Pronađite više informacija o ranjivostima veb stranica na:
2024-02-08 21:36:15 +00:00
* [https://six2dez.gitbook.io/pentest-book/others/web-checklist](https://six2dez.gitbook.io/pentest-book/others/web-checklist)
* [https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html](https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html)
* [https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection](https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection)
2021-06-26 12:28:58 +00:00
### Praćenje stranica za promene
Možete koristiti alate poput [https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io) da biste pratili stranice za modifikacije koje bi mogle uneti ranjivosti.
2022-05-19 12:02:10 +00:00
<figure><img src="../../.gitbook/assets/image (1) (1).png" alt=""><figcaption></figcaption></figure>
2021-07-27 08:34:47 +00:00
Ako vas zanima **hakerska karijera** i hakovanje neuhvatljivog - **zapošljavamo!** (_potrebno je tečno poznavanje poljskog jezika u pisanju i govoru_).
{% embed url="https://www.stmcyber.com/careers" %}
### Automatske komande HackTricks
```
2021-08-12 13:52:57 +00:00
Protocol_Name: Web #Protocol Abbreviation if there is one.
Port_Number: 80,443 #Comma separated if there is more than one.
Protocol_Description: Web #Protocol Abbreviation Spelled out
2021-08-15 18:08:52 +00:00
Entry_1:
2024-02-10 13:11:20 +00:00
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.xyz/pentesting/pentesting-web
2021-08-15 18:08:52 +00:00
Entry_2:
2024-02-10 13:11:20 +00:00
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
2021-08-15 18:08:52 +00:00
Entry_3:
2024-02-10 13:11:20 +00:00
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}
2021-08-15 18:08:52 +00:00
Entry_4:
2024-02-10 13:11:20 +00:00
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}
2021-08-15 18:08:52 +00:00
Entry_5:
2024-02-10 13:11:20 +00:00
Name: Directory Brute Force Non-Recursive
Description: Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
2021-08-15 18:08:52 +00:00
Entry_6:
2024-02-10 13:11:20 +00:00
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10
2021-08-15 18:08:52 +00:00
Entry_7:
2024-02-10 13:11:20 +00:00
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200
2021-08-15 18:08:52 +00:00
Entry_8:
2024-02-10 13:11:20 +00:00
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}
2021-08-15 18:08:52 +00:00
Entry_9:
2024-02-10 13:11:20 +00:00
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration
2021-08-15 18:08:52 +00:00
Entry_10:
2024-02-10 13:11:20 +00:00
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e
2021-09-13 15:37:58 +00:00
Entry_11:
2024-02-10 13:11:20 +00:00
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
Entry_12:
2024-02-10 13:11:20 +00:00
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}
2021-08-15 18:08:52 +00:00
```
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 13:11:20 +00:00
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
Drugi načini podrške HackTricks-u:
2023-12-31 01:24:39 +00:00
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJATELJSTVO**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
2024-02-10 13:11:20 +00:00
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
2022-04-28 16:01:33 +00:00
</details>