# 80,443 - Metodología de Pentesting Web
Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)! Otras formas de apoyar a HackTricks: * Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com) * Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
Si estás interesado en una **carrera de hacking** y hackear lo imposible - **¡estamos contratando!** (_se requiere dominio del polaco escrito y hablado_). {% embed url="https://www.stmcyber.com/careers" %} ## Información Básica El servicio web es el servicio más **común y extenso** y existen muchos **tipos diferentes de vulnerabilidades**. **Puerto predeterminado:** 80 (HTTP), 443(HTTPS) ```bash PORT STATE SERVICE 80/tcp open http 443/tcp open ssl/https ``` ```bash nc -v domain.com 80 # GET / HTTP/1.0 openssl s_client -connect domain.com:443 # GET / HTTP/1.0 ``` ### Guía de API web {% content-ref url="web-api-pentesting.md" %} [web-api-pentesting.md](web-api-pentesting.md) {% endcontent-ref %} ## Resumen de la metodología > En esta metodología vamos a suponer que estás atacando un dominio (o subdominio) y solo eso. Por lo tanto, debes aplicar esta metodología a cada dominio, subdominio o IP descubierto con un servidor web indeterminado dentro del alcance. * [ ] Comienza por **identificar** las **tecnologías** utilizadas por el servidor web. Busca **trucos** para tener en cuenta durante el resto de la prueba si puedes identificar con éxito la tecnología. * [ ] ¿Hay alguna **vulnerabilidad conocida** de la versión de la tecnología? * [ ] ¿Se está utilizando alguna **tecnología conocida**? ¿Algún **truco útil** para extraer más información? * [ ] ¿Hay algún **escáner especializado** para ejecutar (como wpscan)? * [ ] Ejecuta **escáneres de propósitos generales**. Nunca se sabe si van a encontrar algo interesante. * [ ] Comienza con las **verificaciones iniciales**: **robots**, **sitemap**, error **404** y escaneo de **SSL/TLS** (si es HTTPS). * [ ] Comienza a **rastrear** la página web: Es hora de **encontrar** todos los posibles **archivos, carpetas** y **parámetros** que se están utilizando. También verifica si hay **hallazgos especiales**. * [ ] _Ten en cuenta que cada vez que se descubre un nuevo directorio durante el ataque de fuerza bruta o el rastreo, se debe rastrear._ * [ ] **Ataque de fuerza bruta a directorios**: Intenta forzar todos los directorios descubiertos buscando nuevos **archivos** y **directorios**. * [ ] _Ten en cuenta que cada vez que se descubre un nuevo directorio durante el ataque de fuerza bruta o el rastreo, se debe atacar de fuerza bruta._ * [ ] **Verificación de copias de seguridad**: Prueba si puedes encontrar **copias de seguridad** de los **archivos descubiertos** agregando extensiones de copia de seguridad comunes. * [ ] **Ataque de fuerza bruta a parámetros**: Intenta **encontrar parámetros ocultos**. * [ ] Una vez que hayas **identificado** todos los posibles **puntos finales** que aceptan **entrada de usuario**, verifica todo tipo de **vulnerabilidades** relacionadas con ellos. * [ ] [Sigue esta lista de verificación](../../pentesting-web/web-vulnerabilities-methodology.md) ## Versión del servidor (¿Vulnerable?) ### Identificar Verifica si hay **vulnerabilidades conocidas** para la **versión** del servidor que está en ejecución.\ Los **encabezados HTTP y cookies de la respuesta** podrían ser muy útiles para **identificar** las **tecnologías** y/o **versión** que se están utilizando. **Nmap scan** puede identificar la versión del servidor, pero también podrían ser útiles las herramientas [**whatweb**](https://github.com/urbanadventurer/WhatWeb)**,** [**webtech** ](https://github.com/ShielderSec/webtech)o [**https://builtwith.com/**](https://builtwith.com)**:** ```bash whatweb -a 1 #Stealthy whatweb -a 3 #Aggresive webtech -u webanalyze -host https://google.com -crawl 2 ``` Busca **vulnerabilidades de la versión de la aplicación web** [**aquí**](../../generic-methodologies-and-resources/search-exploits.md) ### **Verifica si hay algún WAF** * [**https://github.com/EnableSecurity/wafw00f**](https://github.com/EnableSecurity/wafw00f) * [**https://github.com/Ekultek/WhatWaf.git**](https://github.com/Ekultek/WhatWaf.git) * [**https://nmap.org/nsedoc/scripts/http-waf-detect.html**](https://nmap.org/nsedoc/scripts/http-waf-detect.html) ### Trucos tecnológicos web Algunos **trucos** para **encontrar vulnerabilidades** en diferentes **tecnologías** conocidas que se están utilizando: * [**AEM - Adobe Experience Cloud**](aem-adobe-experience-cloud.md) * [**Apache**](apache.md) * [**Artifactory**](artifactory-hacking-guide.md) * [**Buckets**](buckets/) * [**CGI**](cgi.md) * [**Drupal**](drupal.md) * [**Flask**](flask.md) * [**Git**](git.md) * [**Golang**](golang.md) * [**GraphQL**](graphql.md) * [**H2 - Base de datos SQL de Java**](h2-java-sql-database.md) * [**Trucos de IIS**](iis-internet-information-services.md) * [**JBOSS**](jboss.md) * [**Jenkins**](https://github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/pentesting-web/broken-reference/README.md) * [**Jira**](jira.md) * [**Joomla**](joomla.md) * [**JSP**](jsp.md) * [**Laravel**](laravel.md) * [**Moodle**](moodle.md) * [**Nginx**](nginx.md) * [**PHP (php tiene muchos trucos interesantes que podrían ser explotados)**](php-tricks-esp/) * [**Python**](python.md) * [**Spring Actuators**](spring-actuators.md) * [**Symphony**](symphony.md) * [**Tomcat**](tomcat/) * [**VMWare**](vmware-esx-vcenter....md) * [**Web API Pentesting**](web-api-pentesting.md) * [**WebDav**](put-method-webdav.md) * [**Werkzeug**](werkzeug.md) * [**Wordpress**](wordpress.md) * [**Electron Desktop (XSS a RCE)**](electron-desktop-apps/) _Ten en cuenta que el **mismo dominio** puede estar utilizando **diferentes tecnologías** en diferentes **puertos**, **carpetas** y **subdominios**._\ Si la aplicación web está utilizando alguna **tecnología/plataforma conocida mencionada anteriormente** o **cualquier otra**, no olvides **buscar en Internet** nuevos trucos (¡y házmelo saber!). ### Revisión del código fuente Si el **código fuente** de la aplicación está disponible en **github**, además de realizar una **prueba de caja blanca** de la aplicación, hay **información** que podría ser **útil** para la actual **prueba de caja negra**: * ¿Hay un archivo de **registro de cambios o Readme o versión** u otra información de **versión accesible** a través de la web? * ¿Cómo y dónde se guardan las **credenciales**? ¿Hay algún archivo (¿accesible?) con credenciales (nombres de usuario o contraseñas)? * ¿Las **contraseñas** están en **texto plano**, **encriptadas** o qué algoritmo de **hashing** se utiliza? * ¿Está utilizando alguna **clave maestra** para encriptar algo? ¿Qué **algoritmo** se utiliza? * ¿Puedes **acceder a alguno de estos archivos** explotando alguna vulnerabilidad? * ¿Hay alguna **información interesante en github** (problemas resueltos y no resueltos)? ¿O en el **historial de commits** (quizás alguna **contraseña introducida en un commit antiguo**)? {% content-ref url="code-review-tools.md" %} [code-review-tools.md](code-review-tools.md) {% endcontent-ref %} ### Escáneres automáticos #### Escáneres automáticos de propósito general ```bash nikto -h whatweb -a 4 wapiti -u W3af zaproxy #You can use an API nuclei -ut && nuclei -target # https://github.com/ignis-sec/puff (client side vulns fuzzer) node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ" ``` #### Escáneres de CMS Si se utiliza un CMS, no olvides **ejecutar un escáner**, tal vez encuentres algo interesante: [**Clusterd**](https://github.com/hatRiot/clusterd)**:** [**JBoss**](jboss.md)**, ColdFusion, WebLogic,** [**Tomcat**](tomcat/)**, Railo, Axis2, Glassfish**\ [**CMSScan**](https://github.com/ajinabraham/CMSScan): Sitios web de [**WordPress**](wordpress.md), [**Drupal**](drupal.md), **Joomla**, **vBulletin** en busca de problemas de seguridad. (GUI)\ [**VulnX**](https://github.com/anouarbensaad/vulnx)**:** [**Joomla**](joomla.md)**,** [**Wordpress**](wordpress.md)**,** [**Drupal**](drupal.md)**, PrestaShop, Opencart**\ **CMSMap**: [**(W)ordpress**](wordpress.md)**,** [**(J)oomla**](joomla.md)**,** [**(D)rupal**](drupal.md) **o** [**(M)oodle**](moodle.md)\ [**droopscan**](https://github.com/droope/droopescan)**:** [**Drupal**](drupal.md)**,** [**Joomla**](joomla.md)**,** [**Moodle**](moodle.md)**, Silverstripe,** [**Wordpress**](wordpress.md) ```bash cmsmap [-f W] -F -d wpscan --force update -e --url joomscan --ec -u joomlavs.rb #https://github.com/rastating/joomlavs ``` > En este punto, deberías tener alguna información sobre el servidor web utilizado por el cliente (si se proporciona algún dato) y algunos trucos para tener en cuenta durante la prueba. Si tienes suerte, incluso podrías haber encontrado un CMS y ejecutar algún escáner. ## Descubrimiento de la aplicación web paso a paso > A partir de este punto, vamos a comenzar a interactuar con la aplicación web. ### Verificaciones iniciales **Páginas predeterminadas con información interesante:** * /robots.txt * /sitemap.xml * /crossdomain.xml * /clientaccesspolicy.xml * /.well-known/ * También revisa los comentarios en las páginas principales y secundarias. **Forzando errores** Los servidores web pueden **comportarse de manera inesperada** cuando se les envían datos extraños. Esto puede abrir **vulnerabilidades** o **divulgar información sensible**. * Accede a **páginas falsas** como /whatever\_fake.php (.aspx,.html,.etc) * Agrega "\[]", "]]" y "\[\[" en los valores de **cookies** y valores de **parámetros** para crear errores * Genera un error al ingresar **`/~randomthing/%s`** al **final** de la **URL** * Prueba con **diferentes verbos HTTP** como PATCH, DEBUG o incorrectos como FAKE #### **Verifica si puedes cargar archivos (**[**verbo PUT, WebDav**](put-method-webdav.md)**)** Si descubres que **WebDav** está **habilitado** pero no tienes suficientes permisos para **cargar archivos** en la carpeta raíz, intenta: * Realizar un **ataque de fuerza bruta** a las credenciales * **Cargar archivos** a través de WebDav en el **resto** de las **carpetas encontradas** dentro de la página web. Es posible que tengas permisos para cargar archivos en otras carpetas. ### **Vulnerabilidades de SSL/TLS** * Si la aplicación **no obliga al uso de HTTPS** en ninguna parte, entonces es **vulnerable a MitM** * Si la aplicación está **enviando datos sensibles (contraseñas) mediante HTTP**. Entonces es una vulnerabilidad alta. Utiliza [**testssl.sh**](https://github.com/drwetter/testssl.sh) para verificar **vulnerabilidades** (en programas de Bug Bounty, probablemente este tipo de vulnerabilidades no serán aceptadas) y utiliza [**a2sv**](https://github.com/hahwul/a2sv) para volver a verificar las vulnerabilidades: ```bash ./testssl.sh [--htmlfile] 10.10.10.10:443 #Use the --htmlfile to save the output inside an htmlfile also # You can also use other tools, by testssl.sh at this momment is the best one (I think) sslscan sslyze --regular ``` ### Spidering Inicie algún tipo de **araña** dentro de la web. El objetivo de la araña es **encontrar la mayor cantidad de rutas posible** desde la aplicación probada. Por lo tanto, se deben utilizar el rastreo web y fuentes externas para encontrar la mayor cantidad de rutas válidas posible. * [**gospider**](https://github.com/jaeles-project/gospider) (go): Araña HTML, LinkFinder en archivos JS y fuentes externas (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com). * [**hakrawler**](https://github.com/hakluke/hakrawler) (go): Araña HML, con LinkFider para archivos JS y Archive.org como fuente externa. * [**dirhunt**](https://github.com/Nekmo/dirhunt) (python): Araña HTML, también indica "archivos jugosos". * [**evine** ](https://github.com/saeeddhqan/evine)(go): Araña HTML interactiva en CLI. También busca en Archive.org. * [**meg**](https://github.com/tomnomnom/meg) (go): Esta herramienta no es una araña pero puede ser útil. Simplemente indique un archivo con hosts y un archivo con rutas y meg recuperará cada ruta en cada host y guardará la respuesta. * [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): Araña HTML con capacidades de renderizado de JS. Sin embargo, parece que no se mantiene, la versión precompilada es antigua y el código actual no se compila. * [**gau**](https://github.com/lc/gau) (go): Araña HTML que utiliza proveedores externos (wayback, otx, commoncrawl). * [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): Este script encontrará URLs con parámetros y las listará. * [**galer**](https://github.com/dwisiswant0/galer) (go): Araña HTML con capacidades de renderizado de JS. * [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): Araña HTML, con capacidades de embellecimiento de JS capaz de buscar nuevas rutas en archivos JS. También podría valer la pena echar un vistazo a [JSScanner](https://github.com/dark-warlord14/JSScanner), que es un envoltorio de LinkFinder. * [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Para extraer puntos finales tanto en la fuente HTML como en los archivos javascript incrustados. Útil para cazadores de bugs, equipos de red y ninjas de la ciberseguridad. * [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): Un script de python 2.7 que utiliza Tornado y JSBeautifier para analizar URLs relativas de archivos JavaScript. Útil para descubrir fácilmente solicitudes AJAX. Parece que no se mantiene. * [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): Dado un archivo (HTML), extraerá URLs de él utilizando una expresión regular ingeniosa para encontrar y extraer las URLs relativas de archivos feos (minificados). * [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, varias herramientas): Reúne información interesante de archivos JS utilizando varias herramientas. * [**subjs**](https://github.com/lc/subjs) (go): Encuentra archivos JS. * [**page-fetch**](https://github.com/detectify/page-fetch) (go): Carga una página en un navegador sin cabeza e imprime todas las URL cargadas para cargar la página. * [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Herramienta de descubrimiento de contenido que combina varias opciones de las herramientas anteriores. * [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): Una extensión de Burp para encontrar rutas y parámetros en archivos JS. * [**Sourcemapper**](https://github.com/denandz/sourcemapper): Una herramienta que, dada la URL .js.map, obtendrá el código JS embellecido. * [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Esta es una herramienta utilizada para descubrir puntos finales para un objetivo dado. * [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Descubre enlaces de la máquina wayback (también descargando las respuestas en wayback y buscando más enlaces). * [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Rastrea (incluso rellenando formularios) y también encuentra información sensible utilizando expresiones regulares específicas. * [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite es un avanzado Crawler/Araña de seguridad web GUI multi-función diseñado para profesionales de la ciberseguridad. * [**jsluice**](https://github.com/BishopFox/jsluice) (go): Es un paquete Go y [herramienta de línea de comandos](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice) para extraer URLs, rutas, secretos y otros datos interesantes del código fuente de JavaScript. * [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge es una simple **extensión de Burp Suite** para **extraer los parámetros y puntos finales** de la solicitud para crear una lista de palabras personalizada para fuzzing y enumeración. * [**katana**](https://github.com/projectdiscovery/katana) (go): Herramienta impresionante para esto. ### Fuerza bruta en directorios y archivos Comience **fuerza bruta** desde la carpeta raíz y asegúrese de realizar la fuerza bruta en **todos** los **directorios encontrados** utilizando **este método** y todos los directorios **descubiertos** por la **Spidering** (puede hacer esta fuerza bruta de forma **recursiva** y agregando al principio de la lista de palabras utilizada los nombres de los directorios encontrados).\ Herramientas: * **Dirb** / **Dirbuster** - Incluido en Kali, **antiguo** (y **lento**) pero funcional. Permite certificados auto-firmados y búsqueda recursiva. Demasiado lento en comparación con las otras opciones. * [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: No permite certificados auto-firmados pero** permite búsqueda recursiva. * [**Gobuster**](https://github.com/OJ/gobuster) (go): Permite certificados auto-firmados, **no** tiene búsqueda **recursiva**. * [**Feroxbuster**](https://github.com/epi052/feroxbuster) **- Rápido, compatible con búsqueda recursiva.** * [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ` * [**ffuf** ](https://github.com/ffuf/ffuf)- Rápido: `ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ` * [**uro**](https://github.com/s0md3v/uro) (python): Esto no es una araña, sino una herramienta que, dada la lista de URLs encontradas, eliminará las URLs "duplicadas". * [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Extensión de Burp para crear una lista de directorios del historial de burp de diferentes páginas. * [**TrashCompactor**](https://github.com/michael1026/trashcompactor): Elimina URLs con funcionalidades duplicadas (basado en importaciones de js). * [**Chamaleon**](https://github.com/iustin24/chameleon): Utiliza wapalyzer para detectar tecnologías utilizadas y seleccionar las listas de palabras a utilizar. **Diccionarios recomendados:** * [https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt](https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt) * Diccionario incluido en **Dirsearch**. * [http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10](http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10) * [Listas de palabras de Assetnote](https://wordlists.assetnote.io) * [https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content) * raft-large-directories-lowercase.txt * directory-list-2.3-medium.txt * RobotsDisallowed/top10000.txt * [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists) * [https://github.com/google/fuzzing/tree/master/dictionaries](https://github.com/google/fuzzing/tree/master/dictionaries) * [https://github.com/six2dez/OneListForAll](https://github.com/six2dez/OneListForAll) * [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists) * [https://github.com/ayoubfathi/leaky-paths](https://github.com/ayoubfathi/leaky-paths) * _/usr/share/wordlists/dirb/common.txt_ * _/usr/share/wordlists/dirb/big.txt_ * _/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt_ _Nota que cada vez que se descubre un nuevo directorio durante el ataque de fuerza bruta o spidering, se debe realizar un ataque de fuerza bruta sobre él._ ### Qué verificar en cada archivo encontrado * [**Verificador de enlaces rotos**](https://github.com/stevenvachon/broken-link-checker): Encuentra enlaces rotos dentro de los HTML que pueden ser propensos a tomas de control. * **Copias de seguridad de archivos**: Una vez que hayas encontrado todos los archivos, busca copias de seguridad de todos los archivos ejecutables ("_.php_", "_.aspx_"...). Variaciones comunes para nombrar una copia de seguridad son: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp y file.old._ También puedes usar la herramienta [**bfac**](https://github.com/mazen160/bfac) **o** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**.** * **Descubrir nuevos parámetros**: Puedes utilizar herramientas como [**Arjun**](https://github.com/s0md3v/Arjun)**,** [**parameth**](https://github.com/maK-/parameth)**,** [**x8**](https://github.com/sh1yo/x8) **y** [**Param Miner**](https://github.com/PortSwigger/param-miner) **para descubrir parámetros ocultos. Si puedes, podrías intentar buscar** parámetros ocultos en cada archivo web ejecutable. * _Todos los listados de palabras predeterminados de Arjun:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db) * _Param-miner “params” :_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params) * _Assetnote “parameters\_top\_1m”:_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io) * _nullenc0de “params.txt”:_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773) * **Comentarios:** Revisa los comentarios de todos los archivos, puedes encontrar **credenciales** o **funcionalidades ocultas**. * Si estás participando en un **CTF**, un truco "común" es **ocultar información** dentro de comentarios al **final** de la **página** (usando **cientos** de **espacios** para que no se vea la información al abrir el código fuente con el navegador). Otra posibilidad es usar **varias líneas nuevas** y **ocultar información** en un comentario en la **parte inferior** de la página web. * **Claves de API**: Si **encuentras alguna clave de API** hay una guía que indica cómo utilizar claves de API de diferentes plataformas: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**](https://github.com/l4yton/RegHex\)/)**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird) * Claves de API de Google: Si encuentras alguna clave de API que se parezca a **AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik puedes usar el proyecto [**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner) para verificar a qué APIs puede acceder la clave. * **Buckets de S3**: Mientras haces spidering, verifica si algún **subdominio** o algún **enlace** está relacionado con algún **bucket de S3**. En ese caso, [**verifica** los **permisos** del bucket](buckets/). ### Hallazgos especiales **Mientras** realizas el **spidering** y el **ataque de fuerza bruta** podrías encontrar **cosas interesantes** que debes **notar**. **Archivos interesantes** * Busca **enlaces** a otros archivos dentro de los archivos **CSS**. * [Si encuentras un archivo _**.git**_ se puede extraer información](git.md) * Si encuentras un archivo _**.env**_ se pueden encontrar información como claves de API, contraseñas de bases de datos y otra información. * Si encuentras **puntos finales de API** también [deberías probarlos](web-api-pentesting.md). Estos no son archivos, pero probablemente "se parecerán" a ellos. * **Archivos JS**: En la sección de spidering se mencionaron varias herramientas que pueden extraer rutas de archivos JS. También sería interesante **monitorear cada archivo JS encontrado**, ya que en algunas ocasiones, un cambio puede indicar que se introdujo una vulnerabilidad potencial en el código. Podrías usar por ejemplo [**JSMon**](https://github.com/robre/jsmon)**.** * También debes verificar los archivos JS descubiertos con [**RetireJS**](https://github.com/retirejs/retire.js/) o [**JSHole**](https://github.com/callforpapers-source/jshole) para ver si son vulnerables. * **Desofuscador y desempaquetador de Javascript:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator) * **Embellecedor de Javascript:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org) * **Desofuscación de JsFuck** (javascript con caracteres:"\[]!+" [https://ooze.ninja/javascript/poisonjs/](https://ooze.ninja/javascript/poisonjs/)) * [**TrainFuck**](https://github.com/taco-c/trainfuck)**:** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.` * En varias ocasiones necesitarás **entender las expresiones regulares** utilizadas, esto será útil: [https://regex101.com/](https://regex101.com) * También podrías **monitorear los archivos donde se detectaron formularios**, ya que un cambio en el parámetro o la aparición de un nuevo formulario puede indicar una nueva funcionalidad vulnerable potencial. **403 Forbidden/Basic Authentication/401 Unauthorized (bypass)** {% content-ref url="403-and-401-bypasses.md" %} [403-and-401-bypasses.md](403-and-401-bypasses.md) {% endcontent-ref %} **502 Proxy Error** Si alguna página **responde** con ese **código**, probablemente sea un **proxy mal configurado**. **Si envías una solicitud HTTP como: `GET https://google.com HTTP/1.1`** (con el encabezado del host y otros encabezados comunes), el **proxy** intentará **acceder** a _**google.com**_ **y habrás encontrado un** SSRF. **Autenticación NTLM - Divulgación de información** Si el servidor en ejecución que solicita autenticación es **Windows** o encuentras un inicio de sesión que solicita tus **credenciales** (y pide un **nombre de dominio**), puedes provocar una **divulgación de información**.\ **Envía** el **encabezado**: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` y debido a cómo funciona la **autenticación NTLM**, el servidor responderá con información interna (versión de IIS, versión de Windows...) dentro del encabezado "WWW-Authenticate".\ Puedes **automatizar** esto usando el plugin de **nmap** "_http-ntlm-info.nse_". **Redirección HTTP (CTF)** Es posible **colocar contenido** dentro de una **redirección**. Este contenido **no se mostrará al usuario** (ya que el navegador ejecutará la redirección) pero algo podría estar **oculto** allí. ### Verificación de Vulnerabilidades Web Ahora que se ha realizado una enumeración exhaustiva de la aplicación web, es hora de verificar muchas posibles vulnerabilidades. Puedes encontrar la lista de verificación aquí: {% content-ref url="../../pentesting-web/web-vulnerabilities-methodology.md" %} [web-vulnerabilities-methodology.md](../../pentesting-web/web-vulnerabilities-methodology.md) {% endcontent-ref %} Encuentra más información sobre vulnerabilidades web en: * [https://six2dez.gitbook.io/pentest-book/others/web-checklist](https://six2dez.gitbook.io/pentest-book/others/web-checklist) * [https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html](https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html) * [https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection](https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection) ### Monitorear Páginas para cambios Puedes utilizar herramientas como [https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io) para monitorear páginas en busca de modificaciones que puedan introducir vulnerabilidades.
Si estás interesado en una **carrera de hacking** y hackear lo imposible - **¡estamos contratando!** (_se requiere dominio del polaco escrito y hablado_). {% embed url="https://www.stmcyber.com/careers" %} ### Comandos Automáticos de HackTricks ``` Protocol_Name: Web #Protocol Abbreviation if there is one. Port_Number: 80,443 #Comma separated if there is more than one. Protocol_Description: Web #Protocol Abbreviation Spelled out Entry_1: Name: Notes Description: Notes for Web Note: | https://book.hacktricks.xyz/pentesting/pentesting-web Entry_2: Name: Quick Web Scan Description: Nikto and GoBuster Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} Entry_3: Name: Nikto Description: Basic Site Info via Nikto Command: nikto -host {Web_Proto}://{IP}:{Web_Port} Entry_4: Name: WhatWeb Description: General purpose auto scanner Command: whatweb -a 4 {IP} Entry_5: Name: Directory Brute Force Non-Recursive Description: Non-Recursive Directory Brute Force Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} Entry_6: Name: Directory Brute Force Recursive Description: Recursive Directory Brute Force Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10 Entry_7: Name: Directory Brute Force CGI Description: Common Gateway Interface Brute Force Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200 Entry_8: Name: Nmap Web Vuln Scan Description: Tailored Nmap Scan for web Vulnerabilities Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP} Entry_9: Name: Drupal Description: Drupal Enumeration Notes Note: | git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration Entry_10: Name: WordPress Description: WordPress Enumeration with WPScan Command: | ?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e Entry_11: Name: WordPress Hydra Brute Force Description: Need User (admin is default) Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location' Entry_12: Name: Ffuf Vhost Description: Simple Scan with Ffuf for discovering additional vhosts Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters} ```
Aprende a hackear AWS de cero a héroe con htARTE (Experto en Red Team de AWS de HackTricks)! Otras formas de apoyar a HackTricks: * Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com) * Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.