<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
**Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje mesmo e comece a ganhar recompensas de até **$100,000**!
> Nesta metodologia, vamos supor que você vai atacar um domínio (ou subdomínio) e apenas isso. Portanto, você deve aplicar esta metodologia a cada domínio, subdomínio ou IP com servidor web indeterminado dentro do escopo.
* [ ] Comece **identificando** as **tecnologias** usadas pelo servidor web. Procure por **truques** para ter em mente durante o resto do teste, se você conseguir identificar a tecnologia com sucesso.
* [ ] Alguma **vulnerabilidade conhecida** da versão da tecnologia?
* [ ] Usando alguma **tecnologia bem conhecida**? Algum **truque útil** para extrair mais informações?
* [ ] Lance **scanners de propósitos gerais**. Nunca se sabe se eles vão encontrar algo ou se vão descobrir alguma informação interessante.
* [ ] Comece com as **verificações iniciais**: **robots**, **sitemap**, erro **404** e **varredura SSL/TLS** (se HTTPS).
* [ ] Comece o **spidering** da página web: É hora de **encontrar** todos os possíveis **arquivos, pastas** e **parâmetros sendo usados.** Além disso, verifique por **descobertas especiais**.
* [ ]_Observe que sempre que um novo diretório for descoberto durante o brute-forcing ou spidering, ele deve ser spidered._
* [ ]**Brute-Forcing de Diretórios**: Tente forçar bruscamente todas as pastas descobertas em busca de novos **arquivos** e **diretórios**.
* [ ]_Observe que sempre que um novo diretório for descoberto durante o brute-forcing ou spidering, ele deve ser Brute-Forced._
* [ ]**Verificação de Backups**: Teste se você consegue encontrar **backups** de **arquivos descobertos** anexando extensões comuns de backup.
* [ ]**Brute-Force em parâmetros**: Tente **encontrar parâmetros ocultos**.
* [ ] Uma vez que você tenha **identificado** todos os possíveis **endpoints** aceitando **entrada de usuário**, verifique todos os tipos de **vulnerabilidades** relacionadas a isso.
* [ ] [Siga esta checklist](../../pentesting-web/web-vulnerabilities-methodology/)
Verifique se há **vulnerabilidades conhecidas** para a **versão** do servidor que está em execução.\
Os **cabeçalhos HTTP e cookies da resposta** podem ser muito úteis para **identificar** as **tecnologias** e/ou **versão** em uso. A **varredura Nmap** pode identificar a versão do servidor, mas também podem ser úteis as ferramentas [**whatweb**](https://github.com/urbanadventurer/WhatWeb)**,** [**webtech**](https://github.com/ShielderSec/webtech) ou [**https://builtwith.com/**](https://builtwith.com)**:**
* [**PHP (php tem muitos truques interessantes que podem ser explorados)**](php-tricks-esp/)
* [**Python**](python.md)
* [**Spring Actuators**](spring-actuators.md)
* [**Symphony**](symphony.md)
* [**Tomcat**](tomcat.md)
* [**VMWare**](vmware-esx-vcenter....md)
* [**Pentesting de API Web**](web-api-pentesting.md)
* [**WebDav**](put-method-webdav.md)
* [**Werkzeug**](werkzeug.md)
* [**Wordpress**](wordpress.md)
* [**Electron Desktop (XSS para RCE)**](electron-desktop-apps/)
_Leve em conta que o **mesmo domínio** pode estar usando **diferentes tecnologias** em diferentes **portas**, **pastas** e **subdomínios**._\
Se a aplicação web estiver usando qualquer **tecnologia/plataforma listada anteriormente** ou **qualquer outra**, não esqueça de **pesquisar na Internet** novos truques (e me avise!).
### Revisão de Código Fonte
Se o **código fonte** da aplicação estiver disponível no **github**, além de realizar **por conta própria um teste de Caixa Branca** da aplicação, há **algumas informações** que podem ser **úteis** para o atual **teste de Caixa Preta**:
* Há um arquivo de **Change-log ou Readme ou Versão** ou algo com **informações de versão acessíveis** via web?
* Como e onde são salvos os **credenciais**? Há algum **arquivo** (acessível?) com credenciais (nomes de usuário ou senhas)?
* As **senhas** estão em **texto puro**, **criptografadas** ou qual **algoritmo de hash** é usado?
* Está usando alguma **chave mestra** para criptografar algo? Qual **algoritmo** é usado?
* Você pode **acessar algum desses arquivos** explorando alguma vulnerabilidade?
* Há alguma **informação interessante no github** (problemas resolvidos e não resolvidos)? Ou no **histórico de commits** (talvez alguma **senha introduzida em um commit antigo**)?
Servidores web podem **comportar-se de maneira inesperada** quando dados estranhos são enviados a eles. Isso pode abrir **vulnerabilidades** ou **divulgar informações sensíveis**.
* **Faça upload de arquivos** via WebDav para o **resto** das **pastas encontradas** dentro da página web. Você pode ter permissões para fazer upload de arquivos em outras pastas.
Use [**testssl.sh**](https://github.com/drwetter/testssl.sh) para verificar **vulnerabilidades** (em programas de Bug Bounty provavelmente esses tipos de vulnerabilidades não serão aceitos) e use [**a2sv**](https://github.com/hahwul/a2sv) para rechecar as vulnerabilidades:
Lance algum tipo de **spider** na web. O objetivo do spider é **encontrar o máximo de caminhos possíveis** a partir da aplicação testada. Portanto, deve-se usar rastreamento web e fontes externas para encontrar o máximo de caminhos válidos possíveis.
* [**gospider**](https://github.com/jaeles-project/gospider) (go): Spider HTML, LinkFinder em arquivos JS e fontes externas (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com).
* [**hakrawler**](https://github.com/hakluke/hakrawler) (go): Spider HML, com LinkFider para arquivos JS e Archive.org como fonte externa.
* [**dirhunt**](https://github.com/Nekmo/dirhunt) (python): Spider HTML, também indica "arquivos suculentos".
* [**evine**](https://github.com/saeeddhqan/evine) (go): Spider HTML interativo CLI. Também pesquisa no Archive.org
* [**meg**](https://github.com/tomnomnom/meg) (go): Esta ferramenta não é um spider, mas pode ser útil. Você pode apenas indicar um arquivo com hosts e um arquivo com caminhos e o meg buscará cada caminho em cada host e salvará a resposta.
* [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): Spider HTML com capacidades de renderização JS. No entanto, parece que está sem manutenção, a versão pré-compilada é antiga e o código atual não compila
* [**gau**](https://github.com/lc/gau) (go): Spider HTML que usa provedores externos (wayback, otx, commoncrawl)
* [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): Este script encontrará URLs com parâmetro e as listará.
* [**galer**](https://github.com/dwisiswant0/galer) (go): Spider HTML com capacidades de renderização JS.
* [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): Spider HTML, com capacidades de embelezamento JS capaz de buscar novos caminhos em arquivos JS. Também vale a pena dar uma olhada no [JSScanner](https://github.com/dark-warlord14/JSScanner), que é um wrapper do LinkFinder.
* [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Para extrair endpoints em arquivos HTML e javascript embutidos. Útil para caçadores de bugs, equipes vermelhas, ninjas de infosec.
* [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): Um script python 2.7 usando Tornado e JSBeautifier para analisar URLs relativas de arquivos JavaScript. Útil para descobrir facilmente solicitações AJAX. Parece sem manutenção.
* [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): Dado um arquivo (HTML), ele extrairá URLs dele usando uma expressão regular inteligente para encontrar e extrair URLs relativas de arquivos feios (minificados).
* [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, várias ferramentas): Coletar informações interessantes de arquivos JS usando várias ferramentas.
* [**page-fetch**](https://github.com/detectify/page-fetch) (go): Carrega uma página em um navegador sem cabeça e imprime todas as URLs carregadas para carregar a página.
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Ferramenta de descoberta de conteúdo misturando várias opções das ferramentas anteriores
* [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): Uma extensão Burp para encontrar caminho e parâmetros em arquivos JS.
* [**Sourcemapper**](https://github.com/denandz/sourcemapper): Uma ferramenta que, dado o URL .js.map, fornecerá o código JS embelezado
* [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Esta é uma ferramenta usada para descobrir endpoints para um alvo dado.
* [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Descobrir links do wayback machine (também baixando as respostas no wayback e procurando mais links
* [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Rastrear (até preenchendo formulários) e também encontrar informações sensíveis usando regexes específicos.
* [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite é um Crawler/Spider de segurança web GUI avançado com múltiplas funcionalidades projetado para profissionais de segurança cibernética.
* [**jsluice**](https://github.com/BishopFox/jsluice) (go): É um pacote Go e [ferramenta de linha de comando](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice) para extrair URLs, caminhos, segredos e outros dados interessantes de código fonte JavaScript.
* [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge é uma simples **extensão Burp Suite** para **extrair os parâmetros e endpoints** da solicitação para criar uma lista de palavras personalizada para fuzzing e enumeração.
### Força Bruta em diretórios e arquivos
Comece a **força bruta** a partir da pasta raiz e certifique-se de forçar bruta **todos** os **diretórios encontrados** usando **este método** e todos os diretórios **descobertos** pelo **Spidering** (você pode fazer isso de forma **recursiva** e adicionando no início da lista de palavras usada os nomes dos diretórios encontrados).\
* **Dirb** / **Dirbuster** - Incluído no Kali, **antigo** (e **lento**) mas funcional. Permite certificados autoassinados e busca recursiva. Muito lento comparado com as outras opções.
* [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: Não permite certificados autoassinados, mas** permite busca recursiva.
* [**Gobuster**](https://github.com/OJ/gobuster) (go): Permite certificados autoassinados, **não** possui busca **recursiva**.
* [**uro**](https://github.com/s0md3v/uro) (python): Esta não é uma spider, mas uma ferramenta que, dada a lista de URLs encontradas, irá deletar URLs "duplicadas".
* [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Extensão Burp para criar uma lista de diretórios a partir do histórico burp de diferentes páginas
* [**TrashCompactor**](https://github.com/michael1026/trashcompactor): Remover URLs com funcionalidades duplicadas (baseado em importações js)
* [**Chamaleon**](https://github.com/iustin24/chameleon): Usa wapalyzer para detectar tecnologias usadas e selecionar as listas de palavras a usar.
* [**Verificador de links quebrados**](https://github.com/stevenvachon/broken-link-checker): Encontrar links quebrados dentro de HTMLs que podem estar propensos a takeovers
* **Backups de Arquivos**: Uma vez que você encontrou todos os arquivos, procure por backups de todos os arquivos executáveis ("_.php_", "_.aspx_"...). Variações comuns para nomear um backup são: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp e file.old._ Você também pode usar a ferramenta [**bfac**](https://github.com/mazen160/bfac) **ou** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**.**
* **Descobrir novos parâmetros**: Você pode usar ferramentas como [**Arjun**](https://github.com/s0md3v/Arjun)**,** [**parameth**](https://github.com/maK-/parameth)**,** [**x8**](https://github.com/sh1yo/x8) **e** [**Param Miner**](https://github.com/PortSwigger/param-miner) **para descobrir parâmetros ocultos. Se puder, tente buscar** parâmetros ocultos em cada arquivo web executável.
* _Todas as listas de palavras padrão do Arjun:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
* Se você está jogando **CTF**, um truque "comum" é **esconder****informações** dentro de comentários à **direita** da **página** (usando **centenas** de **espaços** para que você não veja os dados se abrir o código fonte com o navegador). Outra possibilidade é usar **várias novas linhas** e **esconder informações** em um comentário no **fundo** da página web.
* **Chaves de API**: Se você **encontrar alguma chave de API** há um guia que indica como usar chaves de API de diferentes plataformas: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**](https://github.com/l4yton/RegHex\)/)**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird)
* Chaves de API do Google: Se você encontrar alguma chave de API parecida com **AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik você pode usar o projeto [**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner) para verificar quais APIs a chave pode acessar.
* **S3 Buckets**: Durante o spidering, veja se algum **subdomínio** ou **link** está relacionado com algum **S3 bucket**. Nesse caso, [**verifique** as **permissões** do bucket](buckets/).
### Descobertas Especiais
**Durante** a realização do **spidering** e **força bruta**, você pode encontrar **coisas****interessantes** que deve **notar**.
**Arquivos Interessantes**
* Procure por **links** para outros arquivos dentro dos **arquivos CSS**.
* [Se você encontrar um arquivo _**.git**_ algumas informações podem ser extraídas](git.md)
* Se você encontrar um arquivo _**.env**_ informações como chaves de API, senhas de bancos de dados e outras informações podem ser encontradas.
* Se você encontrar **endpoints de API** você [também deve testá-los](web-api-pentesting.md). Estes não são arquivos, mas provavelmente "parecerão" com eles.
* **Arquivos JS**: Na seção spidering, várias ferramentas que podem extrair caminhos de arquivos JS foram mencionadas. Além disso, seria interessante **monitorar cada arquivo JS encontrado**, pois em algumas ocasiões, uma mudança pode indicar que uma vulnerabilidade potencial foi introduzida no código. Você poderia usar, por exemplo, [**JSMon**](https://github.com/robre/jsmon)**.**
* Você também deve verificar arquivos JS descobertos com [**RetireJS**](https://github.com/retirejs/retire.js/) ou [**JSHole**](https://github.com/callforpapers-source/jshole) para encontrar se é vulnerável.
* **Desofuscador e Descompactador de Javascript:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
* **Embelezador de Javascript:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org)
* **Desofuscação de JsFuck** (javascript com chars:"\[]!+" [https://ooze.ninja/javascript/poisonjs/](https://ooze.ninja/javascript/poisonjs/))
* Em várias ocasiões você precisará **entender expressões regulares** usadas, isso será útil: [https://regex101.com/](https://regex101.com)
* Você também pode **monitorar os arquivos onde foram detectados formulários**, pois uma mudança no parâmetro ou o aparecimento de um novo formulário pode indicar uma nova funcionalidade potencialmente vulnerável.
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}
**Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma premium de bug bounty **criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje mesmo e comece a ganhar recompensas de até **$100,000**!
<summary><strong>Aprenda a hackear AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).