<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
Si estás interesado en una **carrera de hacking** y hackear lo imposible - **¡estamos contratando!** (_se requiere dominio del polaco escrito y hablado_).
> En esta metodología vamos a suponer que estás atacando un dominio (o subdominio) y solo eso. Por lo tanto, debes aplicar esta metodología a cada dominio, subdominio o IP descubierto con un servidor web indeterminado dentro del alcance.
* [ ] Comienza por **identificar** las **tecnologías** utilizadas por el servidor web. Busca **trucos** para tener en cuenta durante el resto de la prueba si puedes identificar con éxito la tecnología.
* [ ] Comienza con las **verificaciones iniciales**: **robots**, **sitemap**, error **404** y escaneo de **SSL/TLS** (si es HTTPS).
* [ ] Comienza a **rastrear** la página web: Es hora de **encontrar** todos los posibles **archivos, carpetas** y **parámetros** que se están utilizando. También verifica si hay **hallazgos especiales**.
* [ ]**Verificación de copias de seguridad**: Prueba si puedes encontrar **copias de seguridad** de los **archivos descubiertos** agregando extensiones de copia de seguridad comunes.
* [ ]**Ataque de fuerza bruta a parámetros**: Intenta **encontrar parámetros ocultos**.
* [ ] Una vez que hayas **identificado** todos los posibles **puntos finales** que aceptan **entrada de usuario**, verifica todo tipo de **vulnerabilidades** relacionadas con ellos.
Verifica si hay **vulnerabilidades conocidas** para la **versión** del servidor que está en ejecución.\
Los **encabezados HTTP y cookies de la respuesta** podrían ser muy útiles para **identificar** las **tecnologías** y/o **versión** que se están utilizando. **Nmap scan** puede identificar la versión del servidor, pero también podrían ser útiles las herramientas [**whatweb**](https://github.com/urbanadventurer/WhatWeb)**,** [**webtech** ](https://github.com/ShielderSec/webtech)o [**https://builtwith.com/**](https://builtwith.com)**:**
Si la aplicación web está utilizando alguna **tecnología/plataforma conocida mencionada anteriormente** o **cualquier otra**, no olvides **buscar en Internet** nuevos trucos (¡y házmelo saber!).
Si el **código fuente** de la aplicación está disponible en **github**, además de realizar una **prueba de caja blanca** de la aplicación, hay **información** que podría ser **útil** para la actual **prueba de caja negra**:
* ¿Hay alguna **información interesante en github** (problemas resueltos y no resueltos)? ¿O en el **historial de commits** (quizás alguna **contraseña introducida en un commit antiguo**)?
[**CMSScan**](https://github.com/ajinabraham/CMSScan): Sitios web de [**WordPress**](wordpress.md), [**Drupal**](drupal.md), **Joomla**, **vBulletin** en busca de problemas de seguridad. (GUI)\
> En este punto, deberías tener alguna información sobre el servidor web utilizado por el cliente (si se proporciona algún dato) y algunos trucos para tener en cuenta durante la prueba. Si tienes suerte, incluso podrías haber encontrado un CMS y ejecutar algún escáner.
Los servidores web pueden **comportarse de manera inesperada** cuando se les envían datos extraños. Esto puede abrir **vulnerabilidades** o **divulgar información sensible**.
* **Cargar archivos** a través de WebDav en el **resto** de las **carpetas encontradas** dentro de la página web. Es posible que tengas permisos para cargar archivos en otras carpetas.
Utiliza [**testssl.sh**](https://github.com/drwetter/testssl.sh) para verificar **vulnerabilidades** (en programas de Bug Bounty, probablemente este tipo de vulnerabilidades no serán aceptadas) y utiliza [**a2sv**](https://github.com/hahwul/a2sv) para volver a verificar las vulnerabilidades:
Inicie algún tipo de **araña** dentro de la web. El objetivo de la araña es **encontrar la mayor cantidad de rutas posible** desde la aplicación probada. Por lo tanto, se deben utilizar el rastreo web y fuentes externas para encontrar la mayor cantidad de rutas válidas posible.
* [**meg**](https://github.com/tomnomnom/meg) (go): Esta herramienta no es una araña pero puede ser útil. Simplemente indique un archivo con hosts y un archivo con rutas y meg recuperará cada ruta en cada host y guardará la respuesta.
* [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): Araña HTML con capacidades de renderizado de JS. Sin embargo, parece que no se mantiene, la versión precompilada es antigua y el código actual no se compila.
* [**gau**](https://github.com/lc/gau) (go): Araña HTML que utiliza proveedores externos (wayback, otx, commoncrawl).
* [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): Este script encontrará URLs con parámetros y las listará.
* [**galer**](https://github.com/dwisiswant0/galer) (go): Araña HTML con capacidades de renderizado de JS.
* [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): Araña HTML, con capacidades de embellecimiento de JS capaz de buscar nuevas rutas en archivos JS. También podría valer la pena echar un vistazo a [JSScanner](https://github.com/dark-warlord14/JSScanner), que es un envoltorio de LinkFinder.
* [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Para extraer puntos finales tanto en la fuente HTML como en los archivos javascript incrustados. Útil para cazadores de bugs, equipos de red y ninjas de la ciberseguridad.
* [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): Un script de python 2.7 que utiliza Tornado y JSBeautifier para analizar URLs relativas de archivos JavaScript. Útil para descubrir fácilmente solicitudes AJAX. Parece que no se mantiene.
* [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): Dado un archivo (HTML), extraerá URLs de él utilizando una expresión regular ingeniosa para encontrar y extraer las URLs relativas de archivos feos (minificados).
* [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, varias herramientas): Reúne información interesante de archivos JS utilizando varias herramientas.
* [**subjs**](https://github.com/lc/subjs) (go): Encuentra archivos JS.
* [**page-fetch**](https://github.com/detectify/page-fetch) (go): Carga una página en un navegador sin cabeza e imprime todas las URL cargadas para cargar la página.
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Herramienta de descubrimiento de contenido que combina varias opciones de las herramientas anteriores.
* [**Sourcemapper**](https://github.com/denandz/sourcemapper): Una herramienta que, dada la URL .js.map, obtendrá el código JS embellecido.
* [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Esta es una herramienta utilizada para descubrir puntos finales para un objetivo dado.
* [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Descubre enlaces de la máquina wayback (también descargando las respuestas en wayback y buscando más enlaces).
* [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Rastrea (incluso rellenando formularios) y también encuentra información sensible utilizando expresiones regulares específicas.
* [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite es un avanzado Crawler/Araña de seguridad web GUI multi-función diseñado para profesionales de la ciberseguridad.
* [**jsluice**](https://github.com/BishopFox/jsluice) (go): Es un paquete Go y [herramienta de línea de comandos](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice) para extraer URLs, rutas, secretos y otros datos interesantes del código fuente de JavaScript.
* [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge es una simple **extensión de Burp Suite** para **extraer los parámetros y puntos finales** de la solicitud para crear una lista de palabras personalizada para fuzzing y enumeración.
* [**katana**](https://github.com/projectdiscovery/katana) (go): Herramienta impresionante para esto.
Comience **fuerza bruta** desde la carpeta raíz y asegúrese de realizar la fuerza bruta en **todos** los **directorios encontrados** utilizando **este método** y todos los directorios **descubiertos** por la **Spidering** (puede hacer esta fuerza bruta de forma **recursiva** y agregando al principio de la lista de palabras utilizada los nombres de los directorios encontrados).\
* **Dirb** / **Dirbuster** - Incluido en Kali, **antiguo** (y **lento**) pero funcional. Permite certificados auto-firmados y búsqueda recursiva. Demasiado lento en comparación con las otras opciones.
* [**uro**](https://github.com/s0md3v/uro) (python): Esto no es una araña, sino una herramienta que, dada la lista de URLs encontradas, eliminará las URLs "duplicadas".
* [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Extensión de Burp para crear una lista de directorios del historial de burp de diferentes páginas.
* [**Chamaleon**](https://github.com/iustin24/chameleon): Utiliza wapalyzer para detectar tecnologías utilizadas y seleccionar las listas de palabras a utilizar.
_Nota que cada vez que se descubre un nuevo directorio durante el ataque de fuerza bruta o spidering, se debe realizar un ataque de fuerza bruta sobre él._
* [**Verificador de enlaces rotos**](https://github.com/stevenvachon/broken-link-checker): Encuentra enlaces rotos dentro de los HTML que pueden ser propensos a tomas de control.
* **Copias de seguridad de archivos**: Una vez que hayas encontrado todos los archivos, busca copias de seguridad de todos los archivos ejecutables ("_.php_", "_.aspx_"...). Variaciones comunes para nombrar una copia de seguridad son: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp y file.old._ También puedes usar la herramienta [**bfac**](https://github.com/mazen160/bfac) **o** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**.**
* _Todos los listados de palabras predeterminados de Arjun:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
* Si estás participando en un **CTF**, un truco "común" es **ocultar información** dentro de comentarios al **final** de la **página** (usando **cientos** de **espacios** para que no se vea la información al abrir el código fuente con el navegador). Otra posibilidad es usar **varias líneas nuevas** y **ocultar información** en un comentario en la **parte inferior** de la página web.
* **Claves de API**: Si **encuentras alguna clave de API** hay una guía que indica cómo utilizar claves de API de diferentes plataformas: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**](https://github.com/l4yton/RegHex\)/)**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird)
* Claves de API de Google: Si encuentras alguna clave de API que se parezca a **AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik puedes usar el proyecto [**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner) para verificar a qué APIs puede acceder la clave.
* **Buckets de S3**: Mientras haces spidering, verifica si algún **subdominio** o algún **enlace** está relacionado con algún **bucket de S3**. En ese caso, [**verifica** los **permisos** del bucket](buckets/).
* Si encuentras **puntos finales de API** también [deberías probarlos](web-api-pentesting.md). Estos no son archivos, pero probablemente "se parecerán" a ellos.
* **Archivos JS**: En la sección de spidering se mencionaron varias herramientas que pueden extraer rutas de archivos JS. También sería interesante **monitorear cada archivo JS encontrado**, ya que en algunas ocasiones, un cambio puede indicar que se introdujo una vulnerabilidad potencial en el código. Podrías usar por ejemplo [**JSMon**](https://github.com/robre/jsmon)**.**
* También debes verificar los archivos JS descubiertos con [**RetireJS**](https://github.com/retirejs/retire.js/) o [**JSHole**](https://github.com/callforpapers-source/jshole) para ver si son vulnerables.
* **Desofuscador y desempaquetador de Javascript:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
* **Embellecedor de Javascript:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org)
* También podrías **monitorear los archivos donde se detectaron formularios**, ya que un cambio en el parámetro o la aparición de un nuevo formulario puede indicar una nueva funcionalidad vulnerable potencial.
Si alguna página **responde** con ese **código**, probablemente sea un **proxy mal configurado**. **Si envías una solicitud HTTP como: `GET https://google.com HTTP/1.1`** (con el encabezado del host y otros encabezados comunes), el **proxy** intentará **acceder** a _**google.com**_**y habrás encontrado un** SSRF.
**Autenticación NTLM - Divulgación de información**
Si el servidor en ejecución que solicita autenticación es **Windows** o encuentras un inicio de sesión que solicita tus **credenciales** (y pide un **nombre de dominio**), puedes provocar una **divulgación de información**.\
**Envía** el **encabezado**: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` y debido a cómo funciona la **autenticación NTLM**, el servidor responderá con información interna (versión de IIS, versión de Windows...) dentro del encabezado "WWW-Authenticate".\
Es posible **colocar contenido** dentro de una **redirección**. Este contenido **no se mostrará al usuario** (ya que el navegador ejecutará la redirección) pero algo podría estar **oculto** allí.
### Verificación de Vulnerabilidades Web
Ahora que se ha realizado una enumeración exhaustiva de la aplicación web, es hora de verificar muchas posibles vulnerabilidades. Puedes encontrar la lista de verificación aquí:
Puedes utilizar herramientas como [https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io) para monitorear páginas en busca de modificaciones que puedan introducir vulnerabilidades.
Si estás interesado en una **carrera de hacking** y hackear lo imposible - **¡estamos contratando!** (_se requiere dominio del polaco escrito y hablado_).
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}
<summary><strong>Aprende a hackear AWS de cero a héroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>
* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
