mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-27 07:01:09 +00:00
| .. | ||
| buckets | ||
| electron-desktop-apps | ||
| php-tricks-esp | ||
| tomcat | ||
| xss-to-rce-electron-desktop-apps | ||
| 403-and-401-bypasses.md | ||
| aem-adobe-experience-cloud.md | ||
| angular.md | ||
| apache.md | ||
| artifactory-hacking-guide.md | ||
| bolt-cms.md | ||
| cgi.md | ||
| code-review-tools.md | ||
| dotnetnuke-dnn.md | ||
| drupal.md | ||
| flask.md | ||
| git.md | ||
| golang.md | ||
| grafana.md | ||
| graphql.md | ||
| gwt-google-web-toolkit.md | ||
| h2-java-sql-database.md | ||
| iis-internet-information-services.md | ||
| imagemagick-security.md | ||
| jboss.md | ||
| jira.md | ||
| joomla.md | ||
| jsp.md | ||
| laravel.md | ||
| moodle.md | ||
| nginx.md | ||
| nodejs-express.md | ||
| put-method-webdav.md | ||
| python.md | ||
| README.md | ||
| rocket-chat.md | ||
| special-http-headers.md | ||
| spring-actuators.md | ||
| symphony.md | ||
| tomcat.md | ||
| uncovering-cloudflare.md | ||
| vmware-esx-vcenter....md | ||
| waf-bypass.md | ||
| web-api-pentesting.md | ||
| werkzeug.md | ||
| wordpress.md | ||
80,443 - 网络方法测试
从零开始学习AWS黑客攻击直到成为专家 htARTE (HackTricks AWS 红队专家)!
支持HackTricks的其他方式:
- 如果您想在 HackTricks中看到您的公司广告 或 下载HackTricks的PDF版本,请查看订阅计划!
- 获取官方的PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
Bug赏金提示:注册 Intigriti,一个由黑客创建的高级bug赏金平台!今天就加入我们 https://go.intigriti.com/hacktricks,开始赚取高达 $100,000 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
基本信息
网络服务是最常见和广泛的服务,存在许多不同类型的漏洞。
默认端口: 80 (HTTP), 443(HTTPS)
PORT STATE SERVICE
80/tcp open http
443/tcp open ssl/https
nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0
Web API 指南
{% content-ref url="web-api-pentesting.md" %} web-api-pentesting.md {% endcontent-ref %}
方法论总结
在这个方法论中,我们假设你将攻击一个域名(或子域名),仅此而已。因此,你应该将这个方法论应用于每个发现的域名、子域名或范围内未确定的 web 服务器的 IP。
- 首先识别 web 服务器使用的技术。如果你能成功识别技术,寻找在测试其余部分时要记住的技巧。
- 该技术版本的已知漏洞?
- 使用任何知名技术?有没有有用的技巧来提取更多信息?
- 有没有专业扫描器可以运行(比如 wpscan)?
- 启动通用扫描器。你永远不知道它们是否会发现一些东西,或者是否会找到一些有趣的信息。
- 从初始检查开始:robots、sitemap、404 错误和 SSL/TLS 扫描(如果是 HTTPS)。
- 开始爬网页面:现在是时候找到所有可能使用的文件、文件夹和参数。同时,检查特殊发现。
- 注意,任何时候在暴力破解或爬网过程中发现新目录,都应该对其进行爬网。
- 目录暴力破解:尝试暴力破解所有发现的文件夹,寻找新的文件和目录。
- 注意,任何时候在暴力破解或爬网过程中发现新目录,都应该进行暴力破解。
- 备份检查:测试是否可以通过追加常见的备份扩展名找到发现文件的备份。
- 暴力破解参数:尝试找到隐藏参数。
- 一旦你识别了所有可能接受用户输入的端点,检查与之相关的所有类型的漏洞。
- 遵循此清单
服务器版本(有漏洞?)
识别
检查是否有针对正在运行的服务器版本的已知漏洞。
响应的 HTTP 头和 cookies 可能对识别正在使用的技术和/或版本非常有用。Nmap 扫描可以识别服务器版本,但使用工具 whatweb, webtech 或 https://builtwith.com/ 也可能很有用**:**
whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2
检查是否有WAF
- https://github.com/EnableSecurity/wafw00f
- https://github.com/Ekultek/WhatWaf.git
- https://nmap.org/nsedoc/scripts/http-waf-detect.html
Web技术技巧
在使用的不同知名技术中找到漏洞的一些技巧:
- AEM - Adobe Experience Cloud
- Apache
- Artifactory
- Buckets
- CGI
- Drupal
- Flask
- Git
- Golang
- GraphQL
- H2 - Java SQL数据库
- IIS技巧
- JBOSS
- Jenkins
- Jira
- Joomla
- JSP
- Laravel
- Moodle
- Nginx
- PHP(php有很多有趣的技巧可以被利用)
- Python
- Spring Actuators
- Symphony
- Tomcat
- VMWare
- Web API渗透测试
- WebDav
- Werkzeug
- Wordpress
- Electron桌面(XSS到RCE)
请注意,相同域名可能在不同的端口、文件夹和子域名中使用不同技术。
如果web应用使用了上述或其他任何知名技术/平台,不要忘记在互联网上搜索新技巧(并告诉我!)。
源代码审查
如果应用的源代码在github上可用,除了自己进行白盒测试外,以下信息对当前的黑盒测试可能有用:
- 是否有通过web可以访问的变更日志、自述文件或版本文件或任何带有版本信息的内容?
- 凭据保存在哪里?是否有任何带有凭据(用户名或密码)的(可访问的?)文件?
- 密码是明文、加密还是使用了哪种哈希算法?
- 它是否使用任何主密钥来加密某些内容?使用了哪种算法?
- 你能否利用某些漏洞访问这些文件?
- github上是否有任何有趣的信息(已解决和未解决的)问题?或在提交历史中(也许某个旧提交中引入了一些密码)?
{% content-ref url="code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}
自动扫描器
通用自动扫描器
nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>
# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"
CMS 扫描器
如果使用了 CMS,不要忘记运行扫描器,可能会发现一些有价值的信息:
Clusterd: JBoss, ColdFusion, WebLogic, Tomcat, Railo, Axis2, Glassfish
CMSScan:WordPress, Drupal, Joomla, vBulletin 网站的安全问题。(图形界面)
VulnX: Joomla, Wordpress, Drupal, PrestaShop, Opencart
CMSMap:(W)ordpress, (J)oomla, (D)rupal 或 (M)oodle
droopscan: Drupal, Joomla, Moodle, Silverstripe, Wordpress
cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs
在这个阶段,你应该已经获取了一些客户端使用的web服务器的信息(如果有数据提供的话),以及在测试期间需要记住的一些技巧。如果你幸运的话,你甚至可能找到了一个CMS并运行了一些扫描器。
逐步发现Web应用程序
从这里开始,我们将开始与web应用程序交互。
初始检查
默认页面中有趣的信息:
- /robots.txt
- /sitemap.xml
- /crossdomain.xml
- /clientaccesspolicy.xml
- /.well-known/
- 同时检查主要和次要页面中的注释。
强制错误
当向Web服务器发送奇怪的数据时,服务器可能会表现出意料之外的行为。这可能会打开漏洞或泄露敏感信息。
- 访问像 /whatever_fake.php (.aspx,.html,.etc) 这样的假页面
- 在cookie值和参数值中添加"[]", "]]", 和 "[[" 来产生错误
- 通过在URL的末尾输入**
/~randomthing/%s** 来生成错误 - 尝试不同的HTTP动词,如PATCH, DEBUG或错误的动词如FAKE
检查是否可以上传文件(PUT动词,WebDav)
如果你发现WebDav已启用,但你没有足够的权限在根文件夹中上传文件,尝试:
- 暴力破解凭证
- 通过WebDav向网页内其余已发现的文件夹中上传文件。你可能有权限在其他文件夹中上传文件。
SSL/TLS漏洞
- 如果应用程序没有强制用户使用HTTPS,那么它就容易受到中间人攻击
- 如果应用程序通过HTTP发送敏感数据(密码)。那么这是一个高风险的漏洞。
使用 testssl.sh 来检查漏洞(在Bug Bounty程序中,这类漏洞可能不会被接受),并使用 a2sv 来重新检查漏洞:
./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also
# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>
关于SSL/TLS漏洞的信息:
- https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/
- https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/
网络爬虫
在网站内启动某种网络爬虫。网络爬虫的目标是从被测试的应用程序中找到尽可能多的路径。因此,应使用网络爬取和外部资源来找到尽可能多的有效路径。
- gospider (go): HTML爬虫,JS文件中的LinkFinder以及外部资源(Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com)。
- hakrawler (go): HML爬虫,带有JS文件的LinkFinder和Archive.org作为外部资源。
- dirhunt (python): HTML爬虫,还指出了“有价值的文件”。
- evine(go): 交互式CLI HTML爬虫。它也在Archive.org中搜索。
- meg (go): 这个工具不是爬虫,但它可能有用。你可以只指定一个包含主机的文件和一个包含路径的文件,meg会获取每个主机上的每个路径并保存响应。
- urlgrab (go): 具有JS渲染能力的HTML爬虫。但是,它似乎没有维护,预编译版本很旧,当前代码无法编译。
- gau (go): 使用外部提供商(wayback, otx, commoncrawl)的HTML爬虫。
- ParamSpider: 这个脚本会找到带参数的URL并列出它们。
- galer (go): 具有JS渲染能力的HTML爬虫。
- LinkFinder (python): HTML爬虫,具有JS美化功能,能够在JS文件中搜索新路径。也值得看看JSScanner,它是LinkFinder的包装器。
- goLinkFinder (go): 提取HTML源代码和嵌入式javascript文件中的端点。对于漏洞猎人、红队成员、信息安全忍者很有用。
- JSParser (python2.7): 使用Tornado和JSBeautifier的python 2.7脚本,用于从JavaScript文件中解析相对URL。便于轻松发现AJAX请求。看起来没有维护。
- relative-url-extractor (ruby): 给定一个文件(HTML),它将使用巧妙的正则表达式从中提取URL,从丑陋的(压缩的)文件中找到并提取相对URL。
- JSFScan (bash, 多个工具): 使用多个工具从JS文件中收集有趣的信息。
- subjs (go): 查找JS文件。
- page-fetch (go): 在无头浏览器中加载页面,并打印出加载页面所需的所有url。
- Feroxbuster (rust): 结合了前面工具的多个选项的内容发现工具。
- Javascript Parsing: 一个Burp扩展,用于在JS文件中找到路径和参数。
- Sourcemapper: 一个工具,给定.js.map URL,将为您提供美化的JS代码。
- xnLinkFinder: 这是一个用于发现给定目标端点的工具。
- waymore: 从时光机器中发现链接(也下载时光机器中的响应并寻找更多链接)。
- HTTPLoot (go): 爬取(甚至通过填写表单)并使用特定的正则表达式查找敏感信息。
- SpiderSuite: Spider Suite是一个为网络安全专业人士设计的高级多功能GUI网络安全爬虫/蜘蛛。
- jsluice (go): 它是一个Go包和命令行工具,用于从JavaScript源代码中提取URL、路径、秘密和其他有趣的数据。
- ParaForge: ParaForge是一个简单的Burp Suite扩展,用于从请求中提取参数和端点,以创建用于模糊测试和枚举的自定义词表。
暴力破解目录和文件
从根文件夹开始暴力破解,确保使用此方法暴力破解所有找到的目录,以及通过网络爬虫(你可以递归地进行暴力破解,并在使用的词表开头添加找到的目录名称)发现的所有目录。
工具:
- Dirb / Dirbuster - 包含在Kali中,旧(和慢)但功能齐全。允许自动签名证书和递归搜索。与其他选项相比太慢。
- Dirsearch (python):它不允许自动签名证书,但允许递归搜索。
- Gobuster (go): 它允许自动签名证书,它不具有递归搜索。
- Feroxbuster - 快速,支持递归搜索。
- wfuzz
wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ - ffuf- 快速:
ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ - uro (python): 这不是一个爬虫,而是一个工具,给定找到的URL列表,将删除“重复”的URL。
- Scavenger: Burp扩展,用于从不同页面的burp历史记录中创建目录列表。
- TrashCompactor: 删除具有重复功能的URL(基于js导入)。
- Chamaleon: 它使用wapalyzer检测使用的技术并选择要使用的词表。
推荐字典:
- https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/bf_directories.txt
- Dirsearch包含的字典
- http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10
- Assetnote字典
- https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content
- raft-large-directories-lowercase.txt
- directory-list-2.3-medium.txt
- RobotsDisallowed/top10000.txt
- https://github.com/random-robbie/bruteforce-lists
- https://github.com/google/fuzzing/tree/master/dictionaries
- https://github.com/six2dez/OneListForAll
- https://github.com/random-robbie/bruteforce-lists
- /usr/share/wordlists/dirb/common.txt
- /usr/share/wordlists/dirb/big.txt
- /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
注意,每当在暴力破解或网络爬虫过程中发现新目录时,都应该进行暴力破解。
检查每个找到的文件
- Broken link checker: 在HTML中找到可能容易被接管的断链
- 文件备份:一旦找到所有文件,寻找所有可执行文件的备份(".php",".aspx"...)。命名备份的常见变体包括:file.ext~,#file.ext#,~file.ext,file.ext.bak,file.ext.tmp,file.ext.old,file.bak,file.tmp和file.old. 你也可以使用工具bfac 或 backup-gen。
- 发现新参数:你可以使用工具如Arjun, parameth, x8 和 Param Miner 来发现隐藏参数。如果可以,你应该尝试在每个可执行的web文件上搜索隐藏参数。
- Arjun所有默认字典: https://github.com/s0md3v/Arjun/tree/master/arjun/db
- Param-miner “params” : https://github.com/PortSwigger/param-miner/blob/master/resources/params
- Assetnote “parameters_top_1m”: https://wordlists.assetnote.io/
- nullenc0de “params.txt”: https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
- 注释:检查所有文件的注释,你可能会找到凭证或隐藏功能。
- 如果你在玩CTF,一个“常见”的技巧是在页面右侧的注释中隐藏信息(使用数百个空格,所以如果你用浏览器打开源代码,你看不到数据)。另一种可能性是使用几个新行并在网页底部的注释中隐藏信息。
- API密钥:如果你发现任何API密钥,有指南指出如何使用不同平台的API密钥:keyhacks, zile, truffleHog, SecretFinder, RegHex, DumpsterDive, EarlyBird
- Google API密钥:如果你发现任何看起来像AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik的API密钥,你可以使用项目gmapapiscanner来检查密钥可以访问哪些api。
- S3 Buckets:在网络爬虫过程中,看看是否有任何子域名或任何链接与某些S3 bucket相关。在这种情况下,检查bucket的权限。
特殊发现
在执行网络爬虫和暴力破解时,你可能会发现一些有趣的事情,你必须注意。
有趣的文件
- 在CSS文件中寻找指向其他文件的链接。
- 如果你发现一个_.git_文件,可以提取一些信息
- 如果你发现一个_.env_文件,可以找到如api密钥、数据库密码和其他信息。
- 如果你发现API端点,你也应该测试它们。这些不是文件,但可能会“看起来”像文件。
- JS文件:在网络爬虫部分提到了几个可以从JS文件中提取路径的工具。此外,监控每个发现的JS文件也很有趣,因为在某些情况下,更改可能表明代码中引入了潜在的漏洞。例如,你可以使用JSMon。
- 你还应该使用RetireJS或JSHole检查发现的JS文件是否存在漏洞。
- Javascript反混淆和解包器:https://lelinhtinh.github.io/de4js/,https://www.dcode.fr/javascript-unobfuscator
- Javascript美化器:http://jsbeautifier.org/,http://jsnice.org/
- JsFuck反混淆(只用字符"[]!+"的javascript)https://ooze.ninja/javascript/poisonjs/)
- TrainFuck: `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-
Protocol_Name: Web #Protocol Abbreviation if there is one.
Port_Number: 80,443 #Comma separated if there is more than one.
Protocol_Description: Web #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.xyz/pentesting/pentesting-web
Entry_2:
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
Entry_3:
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}
Entry_4:
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}
Entry_5:
Name: Directory Brute Force Non-Recursive
Description: Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
Entry_6:
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10
Entry_7:
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200
Entry_8:
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}
Entry_9:
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration
Entry_10:
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e
Entry_11:
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
Entry_12:
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}
Bug bounty tip:注册 Intigriti,一个由黑客创建,为黑客服务的优质bug bounty平台!立即加入我们 https://go.intigriti.com/hacktricks,开始赚取高达**$100,000**的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
从零开始学习AWS黑客技术,成为英雄,通过 htARTE (HackTricks AWS Red Team Expert)!
其他支持HackTricks的方式:
- 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF,请查看订阅计划!
- 获取官方PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。