hacktricks/network-services-pentesting/pentesting-web/README.md

445 lines
32 KiB
Markdown
Raw Normal View History

# 80,443 - Metodologia di Pentesting Web
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Impara l'hacking su AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Esperto Red Team AWS di HackTricks)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:03:23 +00:00
Altri modi per supportare HackTricks:
2023-12-31 01:24:39 +00:00
* Se desideri vedere la tua **azienda pubblicizzata su HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
2024-02-10 13:03:23 +00:00
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**La Famiglia PEASS**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT esclusivi**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos di github.
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-04-28 16:01:33 +00:00
Se sei interessato alla **carriera dell'hacking** e vuoi hackerare l'inviolabile - **stiamo assumendo!** (_richiesta competenza polacca scritta e parlata_).
2022-04-30 20:31:18 +00:00
{% embed url="https://www.stmcyber.com/careers" %}
## Informazioni di Base
2024-02-10 13:03:23 +00:00
Il servizio web è il servizio più **comune ed esteso** e esistono molti **tipi diversi di vulnerabilità**.
**Porta predefinita:** 80 (HTTP), 443(HTTPS)
```bash
PORT STATE SERVICE
80/tcp open http
443/tcp open ssl/https
```
```bash
nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0
```
2024-02-10 13:03:23 +00:00
### Guida alle API Web
2021-06-26 15:04:40 +00:00
{% content-ref url="web-api-pentesting.md" %}
[web-api-pentesting.md](web-api-pentesting.md)
{% endcontent-ref %}
2021-06-26 15:04:40 +00:00
2024-02-10 13:03:23 +00:00
## Riassunto della metodologia
> In questa metodologia supponiamo che tu stia per attaccare un dominio (o sottodominio) e solo quello. Quindi, dovresti applicare questa metodologia a ciascun dominio, sottodominio o IP scoperto con un server web non determinato all'interno del perimetro.
2024-02-10 13:03:23 +00:00
* [ ] Inizia **identificando** le **tecnologie** utilizzate dal server web. Cerca **trucchi** da tenere a mente durante il resto del test se riesci a identificare con successo la tecnologia.
* [ ] Ci sono **vulnerabilità conosciute** della versione della tecnologia?
* [ ] Utilizzando una **tecnologia ben nota**? Qualche **trucco utile** per estrarre più informazioni?
* [ ] Qualsiasi **scanner specializzato** da eseguire (come wpscan)?
* [ ] Avvia **scanner a scopo generale**. Non si sa mai se troveranno qualcosa o informazioni interessanti.
2024-02-10 13:03:23 +00:00
* [ ] Inizia con i **controlli iniziali**: **robots**, **sitemap**, errore **404** e scansione **SSL/TLS** (se HTTPS).
* [ ] Inizia a **spiderizzare** la pagina web: È il momento di **trovare** tutti i possibili **file, cartelle** e **parametri in uso**. Controlla anche per **trovare speciali**.
2024-02-10 13:03:23 +00:00
* [ ] _Nota che ogni volta che viene scoperta una nuova directory durante il brute-forcing o lo spidering, dovrebbe essere spiderizzata._
* [ ] **Brute-Forcing delle directory**: Prova a forzare tutte le cartelle scoperte cercando nuovi **file** e **directory**.
2024-02-10 13:03:23 +00:00
* [ ] _Nota che ogni volta che viene scoperta una nuova directory durante il brute-forcing o lo spidering, dovrebbe essere forzata._
* [ ] **Controllo dei backup**: Verifica se puoi trovare **backup** dei **file scoperti** aggiungendo estensioni di backup comuni.
* [ ] **Forza bruta dei parametri**: Cerca di **trovare parametri nascosti**.
* [ ] Una volta che hai **identificato** tutti i possibili **punti di accesso** che accettano **input utente**, controlla tutti i tipi di **vulnerabilità** ad esse correlate.
2024-04-06 18:35:30 +00:00
* [ ] [Segui questa checklist](../../pentesting-web/web-vulnerabilities-methodology.md)
## Versione del Server (Vulnerabile?)
### Identificare
Controlla se ci sono **vulnerabilità conosciute** per la versione del server in esecuzione.\
Gli **intestazioni HTTP e i cookie della risposta** potrebbero essere molto utili per **identificare** le **tecnologie** e/o la **versione** in uso. La scansione **Nmap** può identificare la versione del server, ma potrebbero essere utili anche gli strumenti [**whatweb**](https://github.com/urbanadventurer/WhatWeb)**,** [**webtech** ](https://github.com/ShielderSec/webtech)o [**https://builtwith.com/**](https://builtwith.com)**:**
```bash
whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
2022-05-19 12:02:10 +00:00
webanalyze -host https://google.com -crawl 2
```
Cerca **vulnerabilità dell'applicazione web** **versione**
2024-02-10 13:03:23 +00:00
### **Controlla se c'è un WAF**
2020-12-12 09:50:37 +00:00
2021-02-10 15:19:08 +00:00
* [**https://github.com/EnableSecurity/wafw00f**](https://github.com/EnableSecurity/wafw00f)
* [**https://github.com/Ekultek/WhatWaf.git**](https://github.com/Ekultek/WhatWaf.git)
* [**https://nmap.org/nsedoc/scripts/http-waf-detect.html**](https://nmap.org/nsedoc/scripts/http-waf-detect.html)
2020-12-12 09:50:37 +00:00
### Trucchi tecnologici Web
Alcuni **trucchi** per **trovare vulnerabilità** in diverse **tecnologie** ben note in uso:
2021-07-27 08:34:47 +00:00
* [**AEM - Adobe Experience Cloud**](aem-adobe-experience-cloud.md)
* [**Apache**](apache.md)
* [**Artifactory**](artifactory-hacking-guide.md)
* [**Buckets**](buckets/)
* [**CGI**](cgi.md)
* [**Drupal**](drupal.md)
* [**Flask**](flask.md)
* [**Git**](git.md)
* [**Golang**](golang.md)
* [**GraphQL**](graphql.md)
* [**H2 - Java SQL database**](h2-java-sql-database.md)
2021-02-10 15:19:08 +00:00
* [**IIS tricks**](iis-internet-information-services.md)
2021-07-27 08:34:47 +00:00
* [**JBOSS**](jboss.md)
* [**Jenkins**](https://github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/pentesting-web/broken-reference/README.md)
2021-07-27 08:34:47 +00:00
* [**Jira**](jira.md)
* [**Joomla**](joomla.md)
* [**JSP**](jsp.md)
* [**Laravel**](laravel.md)
* [**Moodle**](moodle.md)
* [**Nginx**](nginx.md)
* [**PHP (php ha molti trucchi interessanti che potrebbero essere sfruttati)**](php-tricks-esp/)
2021-07-27 08:34:47 +00:00
* [**Python**](python.md)
* [**Spring Actuators**](spring-actuators.md)
* [**Symphony**](symphony.md)
2024-04-06 18:35:30 +00:00
* [**Tomcat**](tomcat/)
2021-07-27 08:34:47 +00:00
* [**VMWare**](vmware-esx-vcenter....md)
* [**Web API Pentesting**](web-api-pentesting.md)
* [**WebDav**](put-method-webdav.md)
* [**Werkzeug**](werkzeug.md)
* [**Wordpress**](wordpress.md)
* [**Electron Desktop (XSS to RCE)**](electron-desktop-apps/)
2021-06-26 13:01:09 +00:00
2024-02-10 13:03:23 +00:00
_Tieni presente che lo **stesso dominio** può utilizzare **tecnologie diverse** in **porte**, **cartelle** e **sottodomini** diversi._\
Se l'applicazione web sta utilizzando una **tecnologia/piattaforma nota** o **qualsiasi altra**, non dimenticare di **cercare su Internet** nuovi trucchi (e fammelo sapere!).
2021-06-26 13:01:09 +00:00
2024-02-10 13:03:23 +00:00
### Revisione del codice sorgente
2021-06-26 13:01:09 +00:00
Se il **codice sorgente** dell'applicazione è disponibile su **github**, oltre a eseguire un **test White box** dell'applicazione, ci sono **alcune informazioni** che potrebbero essere **utili** per il **test Black-Box** attuale:
* C'è un **file di registro delle modifiche o Readme o Versione** o qualsiasi cosa con **informazioni sulla versione accessibili** via web?
* Come e dove vengono salvate le **credenziali**? C'è un **file** con credenziali (nomi utente o password) accessibile?
* Le **password** sono in **testo normale**, **criptate** o quale **algoritmo di hash** viene utilizzato?
2024-02-10 13:03:23 +00:00
* Sta utilizzando una **chiave principale** per crittografare qualcosa? Quale **algoritmo** viene utilizzato?
* Puoi **accedere a uno di questi file** sfruttando qualche vulnerabilità?
* Ci sono informazioni **interessanti su github** (risolte e non risolte) **problemi**? O nella **cronologia dei commit** (forse una **password inserita in un vecchio commit**)?
{% content-ref url="code-review-tools.md" %}
[code-review-tools.md](code-review-tools.md)
{% endcontent-ref %}
2024-02-10 13:03:23 +00:00
### Scanner automatici
#### Scanner automatici a scopo generale
```bash
nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
2021-06-27 13:15:35 +00:00
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>
# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"
```
2024-02-10 13:03:23 +00:00
#### Scanner CMS
Se viene utilizzato un CMS, non dimenticare di **eseguire uno scanner**, potresti trovare qualcosa di interessante:
- [**Clusterd**](https://github.com/hatRiot/clusterd)**:** [**JBoss**](jboss.md)**, ColdFusion, WebLogic,** [**Tomcat**](tomcat/)**, Railo, Axis2, Glassfish**\
- [**CMSScan**](https://github.com/ajinabraham/CMSScan): [**WordPress**](wordpress.md), [**Drupal**](drupal.md), **Joomla**, **vBulletin** per problemi di sicurezza. (GUI)\
- [**VulnX**](https://github.com/anouarbensaad/vulnx)**:** [**Joomla**](joomla.md)**,** [**Wordpress**](wordpress.md)**,** [**Drupal**](drupal.md)**, PrestaShop, Opencart**\
- **CMSMap**: [**(W)ordpress**](wordpress.md)**,** [**(J)oomla**](joomla.md)**,** [**(D)rupal**](drupal.md) **o** [**(M)oodle**](moodle.md)\
- [**droopscan**](https://github.com/droope/droopescan)**:** [**Drupal**](drupal.md)**,** [**Joomla**](joomla.md)**,** [**Moodle**](moodle.md)**, Silverstripe,** [**Wordpress**](wordpress.md)
```bash
cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs
```
> A questo punto dovresti già avere alcune informazioni sul server web utilizzato dal cliente (se sono stati forniti dati) e alcuni trucchi da tenere a mente durante il test. Se sei fortunato, potresti aver anche trovato un CMS e eseguito una scansione.
## Scoperta dell'applicazione Web passo dopo passo
2024-02-10 13:03:23 +00:00
> Da questo punto inizieremo a interagire con l'applicazione web.
### Controlli iniziali
2024-02-10 13:03:23 +00:00
**Pagine predefinite con informazioni interessanti:**
* /robots.txt
* /sitemap.xml
2021-06-27 13:15:35 +00:00
* /crossdomain.xml
* /clientaccesspolicy.xml
* /.well-known/
* Controlla anche i commenti nelle pagine principali e secondarie.
2024-02-10 13:03:23 +00:00
**Forzare errori**
2021-06-27 16:17:04 +00:00
2024-02-10 13:03:23 +00:00
I server web possono **comportarsi in modo imprevisto** quando vengono inviati loro dati strani. Ciò potrebbe aprire **vulnerabilità** o **rivelare informazioni sensibili**.
2021-06-27 16:17:04 +00:00
* Accedi a **pagine fittizie** come /whatever\_fake.php (.aspx,.html,.ecc)
* Aggiungi "\[]", "]]" e "\[\[" nei valori dei **cookie** e nei valori dei **parametri** per creare errori
* Genera errori inserendo input come **`/~randomthing/%s`** alla **fine** dell'**URL**
* Prova **diversi verbi HTTP** come PATCH, DEBUG o errati come FAKE
2021-06-27 16:17:04 +00:00
#### **Verifica se puoi caricare file (**[**verbo PUT, WebDav**](put-method-webdav.md)**)**
Se scopri che **WebDav** è **abilitato** ma non hai abbastanza autorizzazioni per **caricare file** nella cartella principale, prova a:
2024-02-10 13:03:23 +00:00
* **Forzare** le credenziali
* **Caricare file** tramite WebDav al **resto delle cartelle trovate** all'interno della pagina web. Potresti avere autorizzazioni per caricare file in altre cartelle.
2024-02-10 13:03:23 +00:00
### **Vulnerabilità SSL/TLS**
2024-02-10 13:03:23 +00:00
* Se l'applicazione **non forza l'uso di HTTPS** in nessuna parte, allora è **vulnerabile a MitM**
* Se l'applicazione **invia dati sensibili (password) tramite HTTP**. Allora è una vulnerabilità elevata.
Utilizza [**testssl.sh**](https://github.com/drwetter/testssl.sh) per controllare le **vulnerabilità** (nei programmi di Bug Bounty probabilmente queste vulnerabilità non saranno accettate) e utilizza [**a2sv**](https://github.com/hahwul/a2sv) per ricontrollare le vulnerabilità:
```bash
./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also
2022-05-01 12:49:36 +00:00
# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>
```
### Vulnerabilità SSL/TLS:
2022-03-17 15:33:23 +00:00
* [https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/](https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/)
* [https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/](https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/)
2022-05-01 16:32:23 +00:00
### Spidering
Lancia qualche tipo di **spider** all'interno del web. L'obiettivo dello spider è **trovare il maggior numero possibile di percorsi** dall'applicazione testata. Pertanto, il crawling web e le fonti esterne dovrebbero essere utilizzati per trovare il maggior numero possibile di percorsi validi.
* [**gospider**](https://github.com/jaeles-project/gospider) (go): Spider HTML, LinkFinder nei file JS e fonti esterne (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com).
* [**hakrawler**](https://github.com/hakluke/hakrawler) (go): Spider HTML, con LinkFinder per i file JS e Archive.org come fonte esterna.
* [**dirhunt**](https://github.com/Nekmo/dirhunt) (python): Spider HTML, indica anche "file juicy".
* [**evine** ](https://github.com/saeeddhqan/evine)(go): Spider HTML interattivo con interfaccia CLI. Cerca anche in Archive.org.
* [**meg**](https://github.com/tomnomnom/meg) (go): Questo strumento non è uno spider ma può essere utile. Puoi semplicemente indicare un file con host e un file con percorsi e meg recupererà ogni percorso su ogni host e salverà la risposta.
* [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): Spider HTML con capacità di rendering JS. Tuttavia, sembra non essere mantenuto, la versione precompilata è vecchia e il codice attuale non si compila.
* [**gau**](https://github.com/lc/gau) (go): Spider HTML che utilizza provider esterni (wayback, otx, commoncrawl).
* [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): Questo script troverà URL con parametri e li elencherà.
* [**galer**](https://github.com/dwisiswant0/galer) (go): Spider HTML con capacità di rendering JS.
* [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): Spider HTML, con capacità di bellezza JS in grado di cercare nuovi percorsi nei file JS. Potrebbe valere la pena dare un'occhiata anche a [JSScanner](https://github.com/dark-warlord14/JSScanner), che è un wrapper di LinkFinder.
* [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Per estrarre endpoint sia dalla sorgente HTML che dai file javascript incorporati. Utile per cacciatori di bug, red teamers, ninja della sicurezza informatica.
* [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): Uno script python 2.7 che utilizza Tornado e JSBeautifier per analizzare URL relativi dai file JavaScript. Utile per scoprire facilmente le richieste AJAX. Sembra non essere mantenuto.
* [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): Dato un file (HTML) estrarrà gli URL da esso utilizzando una nifty espressione regolare per trovare ed estrarre gli URL relativi da file brutti (minify).
* [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, diversi strumenti): Raccogli informazioni interessanti dai file JS utilizzando diversi strumenti.
2024-02-10 13:03:23 +00:00
* [**subjs**](https://github.com/lc/subjs) (go): Trova file JS.
* [**page-fetch**](https://github.com/detectify/page-fetch) (go): Carica una pagina in un browser headless e stampa tutti gli URL caricati per caricare la pagina.
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Strumento di scoperta del contenuto che combina diverse opzioni degli strumenti precedenti.
2024-02-10 13:03:23 +00:00
* [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): Un'estensione di Burp per trovare percorsi e parametri nei file JS.
* [**Sourcemapper**](https://github.com/denandz/sourcemapper): Uno strumento che, dato l'URL .js.map, otterrà il codice JS beatificato.
2024-02-10 13:03:23 +00:00
* [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Questo è uno strumento utilizzato per scoprire endpoint per un determinato target.
* [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Scopri i collegamenti dalla macchina del wayback (scaricando anche le risposte nel wayback e cercando altri collegamenti).
* [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Crawla (anche compilando moduli) e trova anche informazioni sensibili utilizzando espressioni regolari specifiche.
* [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite è un avanzato Crawler/Spider GUI multi-feature progettato per professionisti della sicurezza informatica.
* [**jsluice**](https://github.com/BishopFox/jsluice) (go): È un pacchetto Go e [strumento da riga di comando](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice) per estrarre URL, percorsi, segreti e altri dati interessanti dal codice sorgente JavaScript.
* [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge è una semplice **estensione di Burp Suite** per **estrarre i parametri e gli endpoint** dalla richiesta per creare un elenco di parole personalizzato per fuzzing e enumerazione.
### Forza bruta su directory e file
Inizia a **forzare la ricerca** dalla cartella radice e assicurati di forzare la ricerca su **tutte** le **directory trovate** utilizzando **questo metodo** e tutte le directory **scoperte** dal **Spidering** (puoi fare questa forza bruta in modo **ricorsivo** e aggiungere all'inizio della wordlist utilizzata i nomi delle directory trovate).\
2024-02-10 13:03:23 +00:00
Strumenti:
* **Dirb** / **Dirbuster** - Incluso in Kali, **vecchio** (e **lento**) ma funzionale. Consente certificati auto-firmati e ricerca ricorsiva. Troppo lento rispetto alle altre opzioni.
2024-02-10 13:03:23 +00:00
* [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: Non consente certificati auto-firmati ma** consente la ricerca ricorsiva.
* [**Gobuster**](https://github.com/OJ/gobuster) (go): Consente certificati auto-firmati, non ha la ricerca **ricorsiva**.
2024-02-10 13:03:23 +00:00
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) **- Veloce, supporta la ricerca ricorsiva.**
2021-02-10 13:49:28 +00:00
* [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ`
2024-02-10 13:03:23 +00:00
* [**ffuf** ](https://github.com/ffuf/ffuf)- Veloce: `ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ`
* [**uro**](https://github.com/s0md3v/uro) (python): Questo non è uno spider ma uno strumento che, dato l'elenco degli URL trovati, eliminerà gli URL "duplicati".
* [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Estensione di Burp per creare un elenco di directory dalla cronologia di burp di diverse pagine
* [**TrashCompactor**](https://github.com/michael1026/trashcompactor): Rimuove gli URL con funzionalità duplicate (basato su importazioni js)
* [**Chamaleon**](https://github.com/iustin24/chameleon): Utilizza wapalyzer per rilevare le tecnologie utilizzate e selezionare le wordlist da utilizzare.
**Dizionari consigliati:**
* [https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt](https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt)
* Dizionario incluso in **Dirsearch**
* [http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10](http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10)
* [Wordlists Assetnote](https://wordlists.assetnote.io)
* [https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content)
* raft-large-directories-lowercase.txt
* directory-list-2.3-medium.txt
* RobotsDisallowed/top10000.txt
* [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists)
2021-06-27 14:11:13 +00:00
* [https://github.com/google/fuzzing/tree/master/dictionaries](https://github.com/google/fuzzing/tree/master/dictionaries)
* [https://github.com/six2dez/OneListForAll](https://github.com/six2dez/OneListForAll)
2021-07-27 08:34:47 +00:00
* [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists)
* [https://github.com/ayoubfathi/leaky-paths](https://github.com/ayoubfathi/leaky-paths)
* _/usr/share/wordlists/dirb/common.txt_
* _/usr/share/wordlists/dirb/big.txt_
* _/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt_
_Nota che ogni volta che viene scoperta una nuova directory durante il brute-forcing o lo spidering, dovrebbe essere soggetta a Brute-Force._
2024-02-10 13:03:23 +00:00
### Cosa controllare su ogni file trovato
* [**Verifica dei link rotti**](https://github.com/stevenvachon/broken-link-checker): Trova i link rotti all'interno degli HTML che potrebbero essere vulnerabili agli attacchi di takeover
* **Backup dei file**: Una volta trovati tutti i file, cerca i backup di tutti i file eseguibili ("_.php_", "_.aspx_"...). Le variazioni comuni per nominare un backup sono: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp e file.old._ Puoi anche utilizzare lo strumento [**bfac**](https://github.com/mazen160/bfac) **o** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**.**
* **Scopri nuovi parametri**: Puoi utilizzare strumenti come [**Arjun**](https://github.com/s0md3v/Arjun)**,** [**parameth**](https://github.com/maK-/parameth)**,** [**x8**](https://github.com/sh1yo/x8) **e** [**Param Miner**](https://github.com/PortSwigger/param-miner) **per scoprire parametri nascosti. Se possibile, potresti provare a cercare** parametri nascosti in ogni file web eseguibile.
* _Tutti i wordlist predefiniti di Arjun:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
2024-02-10 13:03:23 +00:00
* _Param-miner "params":_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params)
* _Assetnote "parameters\_top\_1m":_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io)
* _nullenc0de "params.txt":_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773)
* **Commenti:** Controlla i commenti di tutti i file, potresti trovare **credenziali** o **funzionalità nascoste**.
* Se stai giocando a **CTF**, un "trucco" comune è **nascondere informazioni** nei commenti alla **destra** della **pagina** (usando **centinaia** di **spazi** in modo che i dati non siano visibili se apri il codice sorgente con il browser). Un'altra possibilità è utilizzare **diverse nuove righe** e **nascondere informazioni** in un commento in fondo alla pagina web.
* **Chiavi API**: Se trovi **qualche chiave API**, c'è una guida che indica come utilizzare le chiavi API di piattaforme diverse: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**](https://github.com/l4yton/RegHex\)/)**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird)
* Chiavi API Google: Se trovi una chiave API che assomiglia a **AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik puoi utilizzare il progetto [**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner) per verificare a quali API la chiave può accedere.
* **Bucket S3**: Durante lo spidering, controlla se qualche **sottodominio** o qualche **link** è collegato a un **bucket S3**. In tal caso, [**controlla** i **permessi** del bucket](buckets/).
2024-02-10 13:03:23 +00:00
### Scoperte speciali
**Mentre** esegui lo **spidering** e il **brute-forcing** potresti trovare **cose interessanti** che devi **notare**.
2024-02-10 13:03:23 +00:00
**File interessanti**
* Cerca **link** ad altri file all'interno dei file **CSS**.
* [Se trovi un file _**.git**_ è possibile estrarre alcune informazioni](git.md)
* Se trovi un file _**.env**_ potrebbero essere presenti informazioni come chiavi API, password dei database e altre informazioni.
* Se trovi **endpoint API** dovresti [testarli anche](web-api-pentesting.md). Questi non sono file, ma probabilmente "sembreranno" tali.
* **File JS**: Nella sezione di spidering sono stati menzionati diversi strumenti che possono estrarre percorsi dai file JS. Inoltre, sarebbe interessante **monitorare ogni file JS trovato**, poiché in alcune occasioni, una modifica potrebbe indicare l'introduzione di una potenziale vulnerabilità nel codice. Potresti utilizzare ad esempio [**JSMon**](https://github.com/robre/jsmon)**.**
2024-02-10 13:03:23 +00:00
* Dovresti anche controllare i file JS scoperti con [**RetireJS**](https://github.com/retirejs/retire.js/) o [**JSHole**](https://github.com/callforpapers-source/jshole) per verificare se sono vulnerabili.
* **Deobfuscator e Unpacker Javascript:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
2024-02-10 13:03:23 +00:00
* **Javascript Beautifier:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org)
* **Deobfuscation JsFuck** (javascript con caratteri:"\[]!+" [https://ooze.ninja/javascript/poisonjs/](https://ooze.ninja/javascript/poisonjs/))
2024-02-10 13:03:23 +00:00
* [**TrainFuck**](https://github.com/taco-c/trainfuck)**:** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.`
* In diverse occasioni sarà necessario **comprendere le espressioni regolari** utilizzate, questo sarà utile: [https://regex101.com/](https://regex101.com)
* Potresti anche **monitorare i file in cui sono stati rilevati moduli**, poiché una modifica nei parametri o l'aspetto di un nuovo modulo potrebbe indicare una potenziale nuova funzionalità vulnerabile.
2022-04-30 20:31:18 +00:00
**403 Forbidden/Basic Authentication/401 Unauthorized (bypass)**
{% content-ref url="403-and-401-bypasses.md" %}
[403-and-401-bypasses.md](403-and-401-bypasses.md)
{% endcontent-ref %}
2022-04-30 20:31:18 +00:00
**502 Proxy Error**
Se una pagina **risponde** con quel **codice**, probabilmente si tratta di un **proxy mal configurato**. **Se invii una richiesta HTTP come: `GET https://google.com HTTP/1.1`** (con l'intestazione host e altre intestazioni comuni), il **proxy** cercherà di **accedere** a _**google.com**_ **e avrai trovato un** SSRF.
**Autenticazione NTLM - Divulgazione informazioni**
Se il server in esecuzione che richiede l'autenticazione è **Windows** o trovi un login che chiede le tue **credenziali** (e chiede il **nome del dominio**), puoi provocare una **divulgazione di informazioni**.\
**Invia** l'**intestazione**: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` e a causa del funzionamento dell'autenticazione **NTLM**, il server risponderà con informazioni interne (versione di IIS, versione di Windows...) all'interno dell'intestazione "WWW-Authenticate".\
Puoi **automatizzare** questo utilizzando il **plugin nmap** "_http-ntlm-info.nse_".
**Reindirizzamento HTTP (CTF)**
È possibile **inserire contenuti** all'interno di un **reindirizzamento**. Questo contenuto **non verrà mostrato all'utente** (poiché il browser eseguirà il reindirizzamento), ma potrebbe essere **nascosto** al suo interno.
### Verifica delle Vulnerabilità Web
2024-02-10 13:03:23 +00:00
Ora che è stata eseguita un'enumerazione completa dell'applicazione web, è il momento di verificare molte possibili vulnerabilità. Puoi trovare la checklist qui:
2021-06-26 12:28:58 +00:00
2024-04-06 18:35:30 +00:00
{% content-ref url="../../pentesting-web/web-vulnerabilities-methodology.md" %}
[web-vulnerabilities-methodology.md](../../pentesting-web/web-vulnerabilities-methodology.md)
{% endcontent-ref %}
2021-06-26 12:28:58 +00:00
2024-02-10 13:03:23 +00:00
Trova ulteriori informazioni sulle vulnerabilità web in:
2024-02-08 21:36:15 +00:00
* [https://six2dez.gitbook.io/pentest-book/others/web-checklist](https://six2dez.gitbook.io/pentest-book/others/web-checklist)
* [https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html](https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html)
* [https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection](https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection)
2021-06-26 12:28:58 +00:00
### Monitora le Pagine per i Cambiamenti
Puoi utilizzare strumenti come [https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io) per monitorare le pagine per eventuali modifiche che potrebbero introdurre vulnerabilità.
2022-05-19 12:02:10 +00:00
<figure><img src="../../.gitbook/assets/image (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2021-07-27 08:34:47 +00:00
Se sei interessato a una **carriera nell'hacking** e a violare ciò che sembra inviolabile - **stiamo assumendo!** (_richiesta competenza fluente in polacco, scritta e parlata_).
{% embed url="https://www.stmcyber.com/careers" %}
### Comandi Automatici di HackTricks
```
2021-08-12 13:52:57 +00:00
Protocol_Name: Web #Protocol Abbreviation if there is one.
Port_Number: 80,443 #Comma separated if there is more than one.
Protocol_Description: Web #Protocol Abbreviation Spelled out
2021-08-15 18:08:52 +00:00
Entry_1:
2024-02-10 13:03:23 +00:00
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.xyz/pentesting/pentesting-web
2021-08-15 18:08:52 +00:00
Entry_2:
2024-02-10 13:03:23 +00:00
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
2021-08-15 18:08:52 +00:00
Entry_3:
2024-02-10 13:03:23 +00:00
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}
2021-08-15 18:08:52 +00:00
Entry_4:
2024-02-10 13:03:23 +00:00
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}
2021-08-15 18:08:52 +00:00
Entry_5:
2024-02-10 13:03:23 +00:00
Name: Directory Brute Force Non-Recursive
Description: Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
2021-08-15 18:08:52 +00:00
Entry_6:
2024-02-10 13:03:23 +00:00
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10
2021-08-15 18:08:52 +00:00
Entry_7:
2024-02-10 13:03:23 +00:00
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200
2021-08-15 18:08:52 +00:00
Entry_8:
2024-02-10 13:03:23 +00:00
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}
2021-08-15 18:08:52 +00:00
Entry_9:
2024-02-10 13:03:23 +00:00
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration
2021-08-15 18:08:52 +00:00
Entry_10:
2024-02-10 13:03:23 +00:00
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e
2021-09-13 15:37:58 +00:00
Entry_11:
2024-02-10 13:03:23 +00:00
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
Entry_12:
2024-02-10 13:03:23 +00:00
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}
2021-08-15 18:08:52 +00:00
```
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Impara l'hacking AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Esperto Red Team AWS di HackTricks)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:03:23 +00:00
Altri modi per supportare HackTricks:
2023-12-31 01:24:39 +00:00
* Se desideri vedere la tua **azienda pubblicizzata su HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
2024-02-10 13:03:23 +00:00
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**La Famiglia PEASS**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos di github.
2022-04-28 16:01:33 +00:00
</details>