mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
434 lines
34 KiB
Markdown
434 lines
34 KiB
Markdown
# 80,443 - Metodología de Pentesting Web
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
|
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
|
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
|
|
<img src="../../.gitbook/assets/i3.png" alt="" data-size="original">
|
|
|
|
**Consejo para recompensas por errores**: **regístrate** en **Intigriti**, una plataforma premium de **recompensas por errores creada por hackers, para hackers**. ¡Únete a nosotros en [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoy mismo y comienza a ganar recompensas de hasta **$100,000**!
|
|
|
|
{% embed url="https://go.intigriti.com/hacktricks" %}
|
|
|
|
## Información básica
|
|
|
|
El servicio web es el servicio más **común y extenso** y existen muchos **tipos diferentes de vulnerabilidades**.
|
|
|
|
**Puerto predeterminado:** 80 (HTTP), 443 (HTTPS)
|
|
```bash
|
|
PORT STATE SERVICE
|
|
80/tcp open http
|
|
443/tcp open ssl/https
|
|
```
|
|
|
|
```bash
|
|
nc -v domain.com 80 # GET / HTTP/1.0
|
|
openssl s_client -connect domain.com:443 # GET / HTTP/1.0
|
|
```
|
|
### Guía para Web API
|
|
|
|
{% content-ref url="web-api-pentesting.md" %}
|
|
[web-api-pentesting.md](web-api-pentesting.md)
|
|
{% endcontent-ref %}
|
|
|
|
## Resumen de la metodología
|
|
|
|
> En esta metodología vamos a suponer que vas a atacar un dominio (o subdominio) y solo eso. Por lo tanto, debes aplicar esta metodología a cada dominio, subdominio o IP descubiertos con un servidor web indeterminado dentro del alcance.
|
|
|
|
* [ ] Comienza por **identificar** las **tecnologías** utilizadas por el servidor web. Busca **trucos** para tener en cuenta durante el resto de la prueba si puedes identificar con éxito la tecnología.
|
|
* [ ] ¿Hay alguna **vulnerabilidad conocida** de la versión de la tecnología?
|
|
* [ ] ¿Usando alguna **tecnología conocida**? ¿Algún **truco útil** para extraer más información?
|
|
* [ ] ¿Algún **escáner especializado** para ejecutar (como wpscan)?
|
|
* [ ] Ejecuta **escáneres de propósito general**. Nunca se sabe si van a encontrar algo o si van a encontrar alguna información interesante.
|
|
* [ ] Comienza con las **verificaciones iniciales**: **robots**, **sitemap**, error **404** y análisis de **SSL/TLS** (si es HTTPS).
|
|
* [ ] Comienza a **rastrear** la página web: Es hora de **encontrar** todos los posibles **archivos, carpetas** y **parámetros que se están utilizando**. También verifica si hay **hallazgos especiales**.
|
|
* [ ] _Ten en cuenta que cada vez que se descubra un nuevo directorio durante la fuerza bruta o el rastreo, se debe rastrear._
|
|
* [ ] **Fuerza bruta de directorios**: Intenta forzar la fuerza bruta en todas las carpetas descubiertas buscando nuevos **archivos** y **directorios**.
|
|
* [ ] _Ten en cuenta que cada vez que se descubra un nuevo directorio durante la fuerza bruta o el rastreo, se debe forzar la fuerza bruta._
|
|
* [ ] **Verificación de copias de seguridad**: Prueba si puedes encontrar **copias de seguridad** de los **archivos descubiertos** agregando extensiones de copia de seguridad comunes.
|
|
* [ ] **Fuerza bruta de parámetros**: Intenta **encontrar parámetros ocultos**.
|
|
* [ ] Una vez que hayas **identificado** todos los posibles **puntos finales** que aceptan **entrada de usuario**, verifica todo tipo de **vulnerabilidades** relacionadas con ellos.
|
|
* [ ] [Sigue esta lista de verificación](../../pentesting-web/web-vulnerabilities-methodology/)
|
|
|
|
## Versión del servidor (¿Vulnerable?)
|
|
|
|
### Identificar
|
|
|
|
Verifica si hay **vulnerabilidades conocidas** para la **versión** del servidor que se está ejecutando.\
|
|
Los **encabezados HTTP y las cookies de la respuesta** pueden ser muy útiles para **identificar** las **tecnologías** y/o **versión** que se están utilizando. El escaneo de **Nmap** puede identificar la versión del servidor, pero también pueden ser útiles las herramientas [**whatweb**](https://github.com/urbanadventurer/WhatWeb)**,** [**webtech** ](https://github.com/ShielderSec/webtech)o [**https://builtwith.com/**](https://builtwith.com)**:**
|
|
```bash
|
|
whatweb -a 1 <URL> #Stealthy
|
|
whatweb -a 3 <URL> #Aggresive
|
|
webtech -u <URL>
|
|
webanalyze -host https://google.com -crawl 2
|
|
```
|
|
Buscar **vulnerabilidades de la versión de la aplicación web**.
|
|
|
|
### **Verificar si hay algún WAF**
|
|
|
|
* [**https://github.com/EnableSecurity/wafw00f**](https://github.com/EnableSecurity/wafw00f)
|
|
* [**https://github.com/Ekultek/WhatWaf.git**](https://github.com/Ekultek/WhatWaf.git)
|
|
* [**https://nmap.org/nsedoc/scripts/http-waf-detect.html**](https://nmap.org/nsedoc/scripts/http-waf-detect.html)
|
|
|
|
### Trucos de tecnología web
|
|
|
|
Algunos **trucos** para **encontrar vulnerabilidades** en diferentes **tecnologías** conocidas que se están utilizando:
|
|
|
|
* [**AEM - Adobe Experience Cloud**](aem-adobe-experience-cloud.md)
|
|
* [**Apache**](apache.md)
|
|
* [**Artifactory**](artifactory-hacking-guide.md)
|
|
* [**Buckets**](buckets/)
|
|
* [**CGI**](cgi.md)
|
|
* [**Drupal**](drupal.md)
|
|
* [**Flask**](flask.md)
|
|
* [**Git**](git.md)
|
|
* [**Golang**](golang.md)
|
|
* [**GraphQL**](graphql.md)
|
|
* [**H2 - Base de datos SQL de Java**](h2-java-sql-database.md)
|
|
* [**Trucos de IIS**](iis-internet-information-services.md)
|
|
* [**JBOSS**](jboss.md)
|
|
* [**Jenkins**](broken-reference/)
|
|
* [**Jira**](jira.md)
|
|
* [**Joomla**](joomla.md)
|
|
* [**JSP**](jsp.md)
|
|
* [**Laravel**](laravel.md)
|
|
* [**Moodle**](moodle.md)
|
|
* [**Nginx**](nginx.md)
|
|
* [**PHP (php tiene muchos trucos interesantes que se pueden explotar)**](php-tricks-esp/)
|
|
* [**Python**](python.md)
|
|
* [**Spring Actuators**](spring-actuators.md)
|
|
* [**Symphony**](symphony.md)
|
|
* [**Tomcat**](tomcat.md)
|
|
* [**VMWare**](vmware-esx-vcenter....md)
|
|
* [**Pentesting de API web**](web-api-pentesting.md)
|
|
* [**WebDav**](put-method-webdav.md)
|
|
* [**Werkzeug**](werkzeug.md)
|
|
* [**Wordpress**](wordpress.md)
|
|
* [**Electron Desktop (XSS a RCE)**](xss-to-rce-electron-desktop-apps/)
|
|
|
|
_Tenga en cuenta que el **mismo dominio** puede estar utilizando **diferentes tecnologías** en diferentes **puertos**, **carpetas** y **subdominios**._\
|
|
Si la aplicación web está utilizando alguna **tecnología/plataforma conocida mencionada anteriormente** o **cualquier otra**, no olvide **buscar en Internet** nuevos trucos (¡y avíseme!).
|
|
|
|
### Revisión del código fuente
|
|
|
|
Si el **código fuente** de la aplicación está disponible en **github**, además de realizar una **prueba de caja blanca** de la aplicación por su cuenta, hay **alguna información** que podría ser **útil** para la **prueba de caja negra** actual:
|
|
|
|
* ¿Hay un archivo de **registro de cambios o readme o versión** o cualquier cosa con **información de versión accesible** a través de la web?
|
|
* ¿Cómo y dónde se guardan las **credenciales**? ¿Hay algún archivo (accesible?) con credenciales (nombres de usuario o contraseñas)?
|
|
* ¿Las **contraseñas** están en **texto plano**, **encriptadas** o qué **algoritmo de hash** se utiliza?
|
|
* ¿Está utilizando alguna **clave maestra** para encriptar algo? ¿Qué **algoritmo** se utiliza?
|
|
* ¿Puede **acceder a alguno de estos archivos** explotando alguna vulnerabilidad?
|
|
* ¿Hay alguna **información interesante en github** (problemas resueltos y no resueltos)? ¿O en el **historial de confirmaciones** (tal vez alguna **contraseña introducida en una confirmación antigua**)?
|
|
|
|
{% content-ref url="code-review-tools.md" %}
|
|
[code-review-tools.md](code-review-tools.md)
|
|
{% endcontent-ref %}
|
|
|
|
### Escáneres automáticos
|
|
|
|
#### Escáneres automáticos de propósito general
|
|
```bash
|
|
nikto -h <URL>
|
|
whatweb -a 4 <URL>
|
|
wapiti -u <URL>
|
|
W3af
|
|
zaproxy #You can use an API
|
|
nuclei -ut && nuclei -target <URL>
|
|
|
|
# https://github.com/ignis-sec/puff (client side vulns fuzzer)
|
|
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"
|
|
```
|
|
#### Escáneres de CMS
|
|
|
|
Si se utiliza un CMS, no olvides **ejecutar un escáner**, tal vez encuentres algo interesante:
|
|
|
|
[**Clusterd**](https://github.com/hatRiot/clusterd)**:** [**JBoss**](jboss.md)**, ColdFusion, WebLogic,** [**Tomcat**](tomcat.md)**, Railo, Axis2, Glassfish**\
|
|
[**CMSScan**](https://github.com/ajinabraham/CMSScan): Sitios web de [**WordPress**](wordpress.md), [**Drupal**](drupal.md), **Joomla**, **vBulletin** en busca de problemas de seguridad. (GUI)\
|
|
[**VulnX**](https://github.com/anouarbensaad/vulnx)**:** [**Joomla**](joomla.md)**,** [**Wordpress**](wordpress.md)**,** [**Drupal**](drupal.md)**, PrestaShop, Opencart**\
|
|
**CMSMap**: [**(W)ordpress**](wordpress.md)**,** [**(J)oomla**](joomla.md)**,** [**(D)rupal**](drupal.md) **o** [**(M)oodle**](moodle.md)\
|
|
[**droopscan**](https://github.com/droope/droopescan)**:** [**Drupal**](drupal.md)**,** [**Joomla**](joomla.md)**,** [**Moodle**](moodle.md)**, Silverstripe,** [**Wordpress**](wordpress.md)
|
|
```bash
|
|
cmsmap [-f W] -F -d <URL>
|
|
wpscan --force update -e --url <URL>
|
|
joomscan --ec -u <URL>
|
|
joomlavs.rb #https://github.com/rastating/joomlavs
|
|
```
|
|
> En este punto, ya deberías tener alguna información sobre el servidor web utilizado por el cliente (si se proporciona algún dato) y algunos trucos a tener en cuenta durante la prueba. Si tienes suerte, incluso has encontrado un CMS y ejecutado algún escáner.
|
|
|
|
## Descubrimiento paso a paso de aplicaciones web
|
|
|
|
> A partir de este punto, vamos a comenzar a interactuar con la aplicación web.
|
|
|
|
### Verificaciones iniciales
|
|
|
|
**Páginas predeterminadas con información interesante:**
|
|
|
|
* /robots.txt
|
|
* /sitemap.xml
|
|
* /crossdomain.xml
|
|
* /clientaccesspolicy.xml
|
|
* /.well-known/
|
|
* También verifica los comentarios en las páginas principales y secundarias.
|
|
|
|
**Forzar errores**
|
|
|
|
Los servidores web pueden **comportarse de manera inesperada** cuando se les envían datos extraños. Esto puede abrir **vulnerabilidades** o **divulgar información sensible**.
|
|
|
|
* Accede a **páginas falsas** como /whatever\_fake.php (.aspx,.html,.etc)
|
|
* Agrega "\[]", "]]" y "\[\[" en los valores de las **cookies** y los valores de los **parámetros** para crear errores
|
|
* Genera un error al ingresar **`/~randomthing/%s`** al **final** de la **URL**
|
|
* Prueba con **diferentes verbos HTTP** como PATCH, DEBUG o incorrectos como FAKE
|
|
|
|
#### **Verificar si se pueden cargar archivos (**[**verbo PUT, WebDav**](put-method-webdav.md)**)**
|
|
|
|
Si descubres que **WebDav** está **habilitado** pero no tienes suficientes permisos para **cargar archivos** en la carpeta raíz, intenta:
|
|
|
|
* **Atacar por fuerza bruta** las credenciales
|
|
* **Cargar archivos** a través de WebDav en el **resto de las carpetas** encontradas dentro de la página web. Es posible que tengas permisos para cargar archivos en otras carpetas.
|
|
|
|
### **Vulnerabilidades de SSL/TLS**
|
|
|
|
* Si la aplicación **no obliga al uso de HTTPS** en ninguna parte, entonces es **vulnerable a ataques de MitM**
|
|
* Si la aplicación **envía datos sensibles (contraseñas) utilizando HTTP**, entonces es una vulnerabilidad grave.
|
|
|
|
Utiliza [**testssl.sh**](https://github.com/drwetter/testssl.sh) para verificar **vulnerabilidades** (en programas de recompensas por errores probablemente no se aceptarán este tipo de vulnerabilidades) y utiliza [**a2sv**](https://github.com/hahwul/a2sv) para volver a verificar las vulnerabilidades:
|
|
```bash
|
|
./testssl.sh [--htmlfile] 10.10.10.10:443
|
|
#Use the --htmlfile to save the output inside an htmlfile also
|
|
|
|
# You can also use other tools, by testssl.sh at this momment is the best one (I think)
|
|
sslscan <host:port>
|
|
sslyze --regular <ip:port>
|
|
```
|
|
Información sobre vulnerabilidades de SSL/TLS:
|
|
|
|
* [https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/](https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/)
|
|
* [https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/](https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/)
|
|
|
|
### Spidering
|
|
|
|
Lanza algún tipo de **spider** dentro de la web. El objetivo del spider es **encontrar tantas rutas como sea posible** en la aplicación probada. Por lo tanto, se deben utilizar rastreo web y fuentes externas para encontrar tantas rutas válidas como sea posible.
|
|
|
|
* [**gospider**](https://github.com/jaeles-project/gospider) (go): Spider HTML, LinkFinder en archivos JS y fuentes externas (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com).
|
|
* [**hakrawler**](https://github.com/hakluke/hakrawler) (go): Spider HTML, con LinkFinder para archivos JS y Archive.org como fuente externa.
|
|
* [**dirhunt**](https://github.com/Nekmo/dirhunt) (python): Spider HTML, también indica "archivos jugosos".
|
|
* [**evine** ](https://github.com/saeeddhqan/evine)(go): Spider HTML interactivo en la línea de comandos. También busca en Archive.org.
|
|
* [**meg**](https://github.com/tomnomnom/meg) (go): Esta herramienta no es un spider, pero puede ser útil. Solo tienes que indicar un archivo con hosts y un archivo con rutas, y meg buscará cada ruta en cada host y guardará la respuesta.
|
|
* [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): Spider HTML con capacidades de renderizado de JS. Sin embargo, parece que no se mantiene, la versión precompilada es antigua y el código actual no se compila.
|
|
* [**gau**](https://github.com/lc/gau) (go): Spider HTML que utiliza proveedores externos (wayback, otx, commoncrawl).
|
|
* [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): Este script encontrará URLs con parámetros y las enumerará.
|
|
* [**galer**](https://github.com/dwisiswant0/galer) (go): Spider HTML con capacidades de renderizado de JS.
|
|
* [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): Spider HTML, con capacidades de embellecimiento de JS capaz de buscar nuevas rutas en archivos JS. También podría valer la pena echar un vistazo a [JSScanner](https://github.com/dark-warlord14/JSScanner), que es un envoltorio de LinkFinder.
|
|
* [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Para extraer puntos finales tanto en la fuente HTML como en los archivos JavaScript incrustados. Útil para cazadores de errores, equipos de red y ninjas de la seguridad de la información.
|
|
* [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): Un script de Python 2.7 que utiliza Tornado y JSBeautifier para analizar URLs relativas de archivos JavaScript. Útil para descubrir fácilmente solicitudes AJAX. Parece que no se mantiene.
|
|
* [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): Dado un archivo (HTML), extraerá las URLs utilizando una expresión regular ingeniosa para encontrar y extraer las URLs relativas de archivos "feos" (minificados).
|
|
* [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, varias herramientas): Recopila información interesante de archivos JS utilizando varias herramientas.
|
|
* [**subjs**](https://github.com/lc/subjs) (go): Encuentra archivos JS.
|
|
* [**page-fetch**](https://github.com/detectify/page-fetch) (go): Carga una página en un navegador sin cabeza e imprime todas las URLs cargadas para cargar la página.
|
|
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Herramienta de descubrimiento de contenido que combina varias opciones de las herramientas anteriores.
|
|
* [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): Una extensión de Burp para encontrar rutas y parámetros en archivos JS.
|
|
* [**Sourcemapper**](https://github.com/denandz/sourcemapper): Una herramienta que, dada la URL .js.map, obtendrá el código JS embellecido.
|
|
* [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Esta es una herramienta utilizada para descubrir puntos finales para un objetivo dado.
|
|
* [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Descubre enlaces de la máquina del pasado (también descargando las respuestas en el pasado y buscando más enlaces).
|
|
* [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Rastrea (incluso rellenando formularios) y también encuentra información sensible utilizando expresiones regulares específicas.
|
|
* [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite es una avanzada herramienta de rastreo/araña de seguridad web con múltiples funciones diseñada para profesionales de la ciberseguridad.
|
|
* [**jsluice**](https://github.com/BishopFox/jsluice) (go): Es un paquete de Go y una herramienta de línea de comandos para extraer URLs, rutas, secretos y otros datos interesantes del código fuente de JavaScript.
|
|
* [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge es una sencilla extensión de **Burp Suite** para extraer los parámetros y puntos finales de la solicitud y crear una lista personalizada de palabras para el fuzzing y la enumeración.
|
|
|
|
### Fuerza bruta de directorios y archivos
|
|
|
|
Comienza la **fuerza bruta** desde la carpeta raíz y asegúrate de realizar la fuerza bruta en **todos** los **directorios encontrados** utilizando **este método** y todos los directorios **descubiertos** por el **Spidering** (puedes hacer esta fuerza bruta de forma **recursiva** y agregar al principio de la lista de palabras utilizada los nombres de los directorios encontrados).\
|
|
Herramientas:
|
|
|
|
* **Dirb** / **Dirbuster** - Incluido en Kali, **antiguo** (y **lento**) pero funcional. Permite certificados auto-firmados y búsqueda recursiva. Demasiado lento en comparación con las otras opciones.
|
|
* [**Dirsearch**](https://github.com/maurosoria/dirsearch) (python)**: No permite certificados auto-firmados pero** permite búsqueda recursiva.
|
|
* [**Gobuster**](https://github.com/OJ/gobuster) (go): Permite certificados auto-firmados, **no** tiene búsqueda **recursiva**.
|
|
* [**Feroxbuster**](https://github.com/epi052/feroxbuster) **- Rápido, compatible con búsqueda recursiva.**
|
|
* [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ`
|
|
* [**ffuf** ](https://github.com/ffuf/ffuf)- Rápido: `ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ`
|
|
* [**uro**](https://github.com/s0md3v/uro) (python): Esto no es un spider, sino una herramienta que, dada la lista de URLs encontradas, eliminará las URLs "duplicadas".
|
|
* [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Extensión de Burp para crear una lista de directorios a partir del historial de Burp de diferentes páginas.
|
|
* [**TrashCompactor**](https://github.com/michael1026/trashcompactor): Elimina URLs con funcionalidades duplicadas (basado en importaciones de JS).
|
|
* [**Chamaleon**](https://github.com/iustin24/chameleon): Utiliza wapalyzer para detectar las tecnologías utilizadas y seleccionar las listas de palabras a utilizar.
|
|
|
|
**Diccionarios recomendados:**
|
|
* [https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt](https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/bf\_directories.txt)
|
|
* [Diccionario incluido en **Dirsearch**](https://github.com/maurosoria/dirsearch/blob/master/db/dicc.txt)
|
|
* [http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10](http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10)
|
|
* [Wordlists de Assetnote](https://wordlists.assetnote.io)
|
|
* [https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content](https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content)
|
|
* raft-large-directories-lowercase.txt
|
|
* directory-list-2.3-medium.txt
|
|
* RobotsDisallowed/top10000.txt
|
|
* [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists)
|
|
* [https://github.com/google/fuzzing/tree/master/dictionaries](https://github.com/google/fuzzing/tree/master/dictionaries)
|
|
* [https://github.com/six2dez/OneListForAll](https://github.com/six2dez/OneListForAll)
|
|
* [https://github.com/random-robbie/bruteforce-lists](https://github.com/random-robbie/bruteforce-lists)
|
|
* _/usr/share/wordlists/dirb/common.txt_
|
|
* _/usr/share/wordlists/dirb/big.txt_
|
|
* _/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt_
|
|
|
|
_Ten en cuenta que cada vez que se descubra un nuevo directorio durante el ataque de fuerza bruta o el rastreo, se debe realizar un ataque de fuerza bruta._
|
|
|
|
### Qué verificar en cada archivo encontrado
|
|
|
|
* [**Comprobador de enlaces rotos**](https://github.com/stevenvachon/broken-link-checker): Busca enlaces rotos dentro de los archivos HTML que pueden ser propensos a ser tomados.
|
|
* **Copias de seguridad de archivos**: Una vez que hayas encontrado todos los archivos, busca copias de seguridad de todos los archivos ejecutables ("_.php_", "_.aspx_"...). Algunas variaciones comunes para nombrar una copia de seguridad son: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp y file.old._ También puedes usar la herramienta [**bfac**](https://github.com/mazen160/bfac).
|
|
* **Descubrir nuevos parámetros**: Puedes usar herramientas como [**Arjun**](https://github.com/s0md3v/Arjun)**,** [**parameth**](https://github.com/maK-/parameth)**,** [**x8**](https://github.com/sh1yo/x8) **y** [**Param Miner**](https://github.com/PortSwigger/param-miner) **para descubrir parámetros ocultos. Si puedes, también puedes intentar buscar** parámetros ocultos en cada archivo web ejecutable.
|
|
* _Arjun todas las listas de palabras por defecto:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db)
|
|
* _Param-miner “params” :_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params)
|
|
* _Assetnote “parameters\_top\_1m”:_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io)
|
|
* _nullenc0de “params.txt”:_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773)
|
|
* **Comentarios:** Revisa los comentarios de todos los archivos, puedes encontrar **credenciales** o **funcionalidades ocultas**.
|
|
* Si estás jugando un **CTF**, un truco "común" es **ocultar** **información** dentro de los comentarios en el **lado derecho** de la **página** (usando **cientos** de **espacios** para que no veas los datos si abres el código fuente con el navegador). Otra posibilidad es usar **varias líneas nuevas** y **ocultar información** en un comentario en la **parte inferior** de la página web.
|
|
* **Claves de API**: Si encuentras alguna **clave de API**, hay una guía que indica cómo usar claves de API de diferentes plataformas: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**](https://github.com/l4yton/RegHex\)/)**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird)
|
|
* Claves de API de Google: Si encuentras alguna clave de API que se parezca a **AIza**SyA-qLheq6xjDiEIRisP\_ujUseYLQCHUjik, puedes usar el proyecto [**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner) para verificar a qué APIs puede acceder la clave.
|
|
* **Buckets de S3**: Mientras haces el rastreo, verifica si algún **subdominio** o algún **enlace** está relacionado con algún **bucket de S3**. En ese caso, [**verifica** los **permisos** del bucket](buckets/).
|
|
|
|
### Hallazgos especiales
|
|
|
|
**Mientras** realizas el **rastreo** y la **fuerza bruta**, podrías encontrar **cosas interesantes** que debes **tener en cuenta**.
|
|
|
|
**Archivos interesantes**
|
|
|
|
* Busca **enlaces** a otros archivos dentro de los archivos **CSS**.
|
|
* [Si encuentras un archivo **.git** se puede extraer información](git.md)
|
|
* Si encuentras un archivo **.env**, se pueden encontrar información como claves de API, contraseñas de bases de datos y otra información.
|
|
* Si encuentras **puntos finales de API**, también [deberías probarlos](web-api-pentesting.md). Estos no son archivos, pero probablemente "se parecerán" a ellos.
|
|
* **Archivos JS**: En la sección de rastreo se mencionaron varias herramientas que pueden extraer rutas de archivos JS. Además, sería interesante **monitorear cada archivo JS encontrado**, ya que en algunas ocasiones, un cambio puede indicar que se introdujo una posible vulnerabilidad en el código. Puedes usar, por ejemplo, [**JSMon**](https://github.com/robre/jsmon)**.**
|
|
* También debes verificar los archivos JS descubiertos con [**RetireJS**](https://github.com/retirejs/retire.js/) o [**JSHole**](https://github.com/callforpapers-source/jshole) para ver si son vulnerables.
|
|
* **Desofuscador y desempaquetador de JavaScript:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator)
|
|
* **Embellecedor de JavaScript:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org)
|
|
* **Desofuscación de JsFuck** (javascript con caracteres:"\[]!+" [https://ooze.ninja/javascript/poisonjs/](https://ooze.ninja/javascript/poisonjs/))
|
|
* [**TrainFuck**](https://github.com/taco-c/trainfuck)**:** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.`
|
|
* En varias ocasiones necesitarás **entender las expresiones regulares** utilizadas, esto será útil: [https://regex101.com/](https://regex101.com)
|
|
* También podrías **monitorizar los archivos donde se detectaron formularios**, ya que un cambio en el parámetro o la aparición de un nuevo formulario puede indicar una nueva funcionalidad potencialmente vulnerable.
|
|
|
|
**403 Forbidden/Basic Authentication/401 Unauthorized (bypass)**
|
|
|
|
{% content-ref url="403-and-401-bypasses.md" %}
|
|
[403-and-401-bypasses.md](403-and-401-bypasses.md)
|
|
{% endcontent-ref %}
|
|
|
|
**502 Proxy Error**
|
|
|
|
Si alguna página **responde** con ese **código**, probablemente sea un **proxy mal configurado**. **Si envías una solicitud HTTP como: `GET https://google.com HTTP/1.1`** (con la cabecera del host y otras cabeceras comunes), el **proxy** intentará **acceder** a _**google.com**_ **y habrás encontrado un** SSRF.
|
|
|
|
**Autenticación NTLM - Divulgación de información**
|
|
|
|
Si el servidor en ejecución que solicita autenticación es **Windows** o encuentras un inicio de sesión que solicita tus **credenciales** (y solicita el **nombre de dominio**), puedes provocar una **divulgación de información**.\
|
|
**Envía** la **cabecera**: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` y debido a cómo funciona la **autenticación NTLM**, el servidor responderá con información interna (versión de IIS, versión de Windows...) dentro de la cabecera "WWW-Authenticate".\
|
|
Puedes **automatizar** esto utilizando el plugin de **nmap** "_http-ntlm-info.nse_".
|
|
|
|
**Redirección HTTP (CTF)**
|
|
|
|
Es posible **insertar contenido** dentro de una **redirección**. Este contenido **no se mostrará al usuario** (ya que el navegador ejecutará la redirección), pero algo podría estar **oculto** allí.
|
|
|
|
### Comprobación de Vulnerabilidades Web
|
|
|
|
Ahora que se ha realizado una enumeración exhaustiva de la aplicación web, es hora de comprobar muchas posibles vulnerabilidades. Puedes encontrar la lista de verificación aquí:
|
|
|
|
{% content-ref url="../../pentesting-web/web-vulnerabilities-methodology/" %}
|
|
[web-vulnerabilities-methodology](../../pentesting-web/web-vulnerabilities-methodology/)
|
|
{% endcontent-ref %}
|
|
|
|
TODO: Completa la lista de vulnerabilidades y técnicas con [https://six2dez.gitbook.io/pentest-book/others/web-checklist](https://six2dez.gitbook.io/pentest-book/others/web-checklist) y [https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html](https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web\_application\_security\_testing/configuration\_and\_deployment\_management\_testing.html), [https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection](https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection)
|
|
|
|
### Monitorizar Páginas para cambios
|
|
|
|
Puedes utilizar herramientas como [https://github.com/dgtlmoon/changedetection.io](https://github.com/dgtlmoon/changedetection.io) para monitorizar las páginas en busca de modificaciones que puedan introducir vulnerabilidades.
|
|
|
|
### Comandos Automáticos de HackTricks
|
|
```
|
|
Protocol_Name: Web #Protocol Abbreviation if there is one.
|
|
Port_Number: 80,443 #Comma separated if there is more than one.
|
|
Protocol_Description: Web #Protocol Abbreviation Spelled out
|
|
|
|
Entry_1:
|
|
Name: Notes
|
|
Description: Notes for Web
|
|
Note: |
|
|
https://book.hacktricks.xyz/pentesting/pentesting-web
|
|
|
|
Entry_2:
|
|
Name: Quick Web Scan
|
|
Description: Nikto and GoBuster
|
|
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
|
|
|
|
Entry_3:
|
|
Name: Nikto
|
|
Description: Basic Site Info via Nikto
|
|
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}
|
|
|
|
Entry_4:
|
|
Name: WhatWeb
|
|
Description: General purpose auto scanner
|
|
Command: whatweb -a 4 {IP}
|
|
|
|
Entry_5:
|
|
Name: Directory Brute Force Non-Recursive
|
|
Description: Non-Recursive Directory Brute Force
|
|
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
|
|
|
|
Entry_6:
|
|
Name: Directory Brute Force Recursive
|
|
Description: Recursive Directory Brute Force
|
|
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10
|
|
|
|
Entry_7:
|
|
Name: Directory Brute Force CGI
|
|
Description: Common Gateway Interface Brute Force
|
|
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200
|
|
|
|
Entry_8:
|
|
Name: Nmap Web Vuln Scan
|
|
Description: Tailored Nmap Scan for web Vulnerabilities
|
|
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}
|
|
|
|
Entry_9:
|
|
Name: Drupal
|
|
Description: Drupal Enumeration Notes
|
|
Note: |
|
|
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration
|
|
|
|
Entry_10:
|
|
Name: WordPress
|
|
Description: WordPress Enumeration with WPScan
|
|
Command: |
|
|
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
|
|
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e
|
|
|
|
Entry_11:
|
|
Name: WordPress Hydra Brute Force
|
|
Description: Need User (admin is default)
|
|
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
|
|
|
|
Entry_12:
|
|
Name: Ffuf Vhost
|
|
Description: Simple Scan with Ffuf for discovering additional vhosts
|
|
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}
|
|
```
|
|
<img src="../../.gitbook/assets/i3.png" alt="" data-size="original">\
|
|
**Consejo de recompensa por errores**: ¡**regístrate** en **Intigriti**, una plataforma premium de **recompensas por errores creada por hackers, para hackers**! ¡Únete a nosotros en [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoy mismo y comienza a ganar recompensas de hasta **$100,000**!
|
|
|
|
{% embed url="https://go.intigriti.com/hacktricks" %}
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
|
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Obtén el [**merchandising oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
|
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|