mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 13:13:41 +00:00
| .. | ||
| buckets | ||
| electron-desktop-apps | ||
| php-tricks-esp | ||
| tomcat | ||
| xss-to-rce-electron-desktop-apps | ||
| 403-and-401-bypasses.md | ||
| aem-adobe-experience-cloud.md | ||
| angular.md | ||
| apache.md | ||
| artifactory-hacking-guide.md | ||
| bolt-cms.md | ||
| cgi.md | ||
| code-review-tools.md | ||
| dotnetnuke-dnn.md | ||
| drupal.md | ||
| flask.md | ||
| git.md | ||
| golang.md | ||
| grafana.md | ||
| graphql.md | ||
| gwt-google-web-toolkit.md | ||
| h2-java-sql-database.md | ||
| iis-internet-information-services.md | ||
| imagemagick-security.md | ||
| jboss.md | ||
| jira.md | ||
| joomla.md | ||
| jsp.md | ||
| laravel.md | ||
| moodle.md | ||
| nginx.md | ||
| nodejs-express.md | ||
| put-method-webdav.md | ||
| python.md | ||
| README.md | ||
| rocket-chat.md | ||
| special-http-headers.md | ||
| spring-actuators.md | ||
| symphony.md | ||
| tomcat.md | ||
| uncovering-cloudflare.md | ||
| vmware-esx-vcenter....md | ||
| waf-bypass.md | ||
| web-api-pentesting.md | ||
| werkzeug.md | ||
| wordpress.md | ||
80,443 - Pentesting Web Methodology
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs收藏品
- 加入 💬 Discord群 或 电报群 或 关注我的Twitter 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
漏洞赏金提示:注册Intigriti,一个由黑客创建的高级漏洞赏金平台!立即加入我们,访问https://go.intigriti.com/hacktricks,开始赚取高达**$100,000**的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
基本信息
Web服务是最常见和广泛的服务,存在许多不同类型的漏洞。
**默认端口:**80(HTTP),443(HTTPS)
PORT STATE SERVICE
80/tcp open http
443/tcp open ssl/https
nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0
Web API指南
{% content-ref url="web-api-pentesting.md" %} web-api-pentesting.md {% endcontent-ref %}
方法概述
在这个方法中,我们假设您将攻击一个域名(或子域名),仅限于此。因此,您应该将此方法应用于发现的每个域、子域或IP范围内的未确定Web服务器。
- 从识别Web服务器使用的技术开始。寻找在测试的其余部分中要记住的技巧,如果您能成功识别该技术。
- 该技术版本有任何已知漏洞吗?
- 使用任何众所周知的技术?有任何有用的技巧来提取更多信息吗?
- 有任何专门的扫描工具要运行(如wpscan)吗?
- 启动通用目的扫描工具。您永远不知道它们是否会找到任何东西,或者是否会找到一些有趣的信息。
- 从初始检查开始:robots、sitemap、404错误和SSL/TLS扫描(如果是HTTPS)。
- 开始爬取网页:现在是时候查找所有可能的文件、文件夹和正在使用的参数。还要检查特殊发现。
- 请注意,每当在Brute-Forcing或爬取过程中发现新目录时,应该对其进行爬取。
- 目录Brute-Forcing:尝试对所有发现的文件夹进行Brute Force搜索,寻找新的文件和目录。
- 请注意,每当在Brute-Forcing或爬取过程中发现新目录时,应该对其进行Brute-Forced。
- 备份检查:测试是否可以找到发现文件的备份,附加常见的备份扩展名。
- Brute-Force参数:尝试查找隐藏参数。
- 一旦您已经识别了所有可能接受用户输入的端点,检查与之相关的各种漏洞。
- 按照此清单操作
服务器版本(存在漏洞吗?)
识别
检查运行的服务器版本是否存在已知漏洞。
响应的HTTP标头和Cookie可能非常有用,可用于识别正在使用的技术和/或版本。Nmap扫描可以识别服务器版本,但也可以使用工具whatweb、webtech或https://builtwith.com/:
whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2
检查是否有任何WAF
- https://github.com/EnableSecurity/wafw00f
- https://github.com/Ekultek/WhatWaf.git
- https://nmap.org/nsedoc/scripts/http-waf-detect.html
Web技巧
一些用于发现不同知名技术中的漏洞的技巧:
- AEM - Adobe Experience Cloud
- Apache
- Artifactory
- Buckets
- CGI
- Drupal
- Flask
- Git
- Golang
- GraphQL
- H2 - Java SQL database
- IIS tricks
- JBOSS
- Jenkins
- Jira
- Joomla
- JSP
- Laravel
- Moodle
- Nginx
- PHP (php has a lot of interesting tricks that could be exploited)
- Python
- Spring Actuators
- Symphony
- Tomcat
- VMWare
- Web API Pentesting
- WebDav
- Werkzeug
- Wordpress
- Electron Desktop (XSS to RCE)
请注意,同一域名可能在不同端口、文件夹和子域中使用不同的技术。
如果Web应用程序使用任何之前列出的知名技术/平台或其他技术,请不要忘记在互联网上搜索新的技巧(并告诉我!)。
源代码审查
如果应用程序的源代码在github上可用,除了自行对应用程序进行白盒测试外,还有一些信息对当前的黑盒测试可能有用:
- 是否有通过Web访问的变更日志、自述文件或版本信息文件?
- 凭证是如何保存的?是否有(可访问的)带有凭证(用户名或密码)的文件?
- 密码是明文、加密还是使用了哪种哈希算法?
- 是否使用了任何用于加密的主密钥?使用了哪种算法?
- 您能否利用某些漏洞访问这些文件?
- 在github的(已解决和未解决的)问题中是否有任何有趣的信息?或在提交历史中(也许在旧提交中引入了某些密码)?
{% content-ref url="code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}
自动扫描器
通用用途自动扫描器
nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>
# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"
CMS扫描器
如果使用了CMS,不要忘记运行扫描器,也许会发现一些有趣的东西:
Clusterd: JBoss,ColdFusion,WebLogic, Tomcat,Railo,Axis2,Glassfish
CMSScan:针对WordPress,Drupal,Joomla,vBulletin网站的安全问题进行扫描(图形界面)
VulnX: 针对Joomla, Wordpress, Drupal,PrestaShop,Opencart
CMSMap:针对(W)ordpress, (J)oomla, (D)rupal 或 (M)oodle
droopscan: 针对Drupal, Joomla, Moodle,Silverstripe, Wordpress
cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs
到这一步,您应该已经获得了客户使用的Web服务器的一些信息(如果提供了任何数据),以及在测试过程中要牢记的一些技巧。如果幸运的话,您甚至可能已经找到了一个CMS并运行了一些扫描器。
逐步Web应用程序发现
从这一点开始,我们将开始与Web应用程序进行交互。
初始检查
具有有趣信息的默认页面:
- /robots.txt
- /sitemap.xml
- /crossdomain.xml
- /clientaccesspolicy.xml
- /.well-known/
- 还要检查主要和次要页面中的注释。
强制错误
当向Web服务器发送奇怪的数据时,Web服务器可能会出现意外行为。这可能会打开漏洞或泄露敏感信息。
- 访问像/whatever_fake.php (.aspx,.html,.etc)这样的虚假页面
- 在cookie值和参数值中添加"[]", "]]"和"[["以创建错误
- 通过在URL的末尾给出输入**
/~randomthing/%s**来生成错误 - 尝试使用不同的HTTP谓词,如PATCH、DEBUG或错误的FAKE
检查是否可以上传文件(PUT谓词,WebDav)
如果发现WebDav已启用但您没有足够的权限在根文件夹中上传文件,请尝试:
- 暴力破解凭据
- 通过WebDav上传文件到Web页面内找到的其他文件夹。您可能有权限在其他文件夹中上传文件。
SSL/TLS漏洞
- 如果应用程序在任何部分没有强制使用HTTPS,那么它容易受到中间人攻击
- 如果应用程序使用HTTP发送敏感数据(密码)。那么这是一个高漏洞。
使用testssl.sh来检查漏洞(在Bug赏金计划中,这类漏洞可能不会被接受),并使用a2sv重新检查漏洞:
./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also
# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>
SSL/TLS漏洞信息:
- https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/
- https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/
爬虫
在网络中启动某种爬虫。爬虫的目标是从被测试应用程序中尽可能找到更多路径。因此,应使用网络爬行和外部来源来尽可能找到有效路径。
- gospider (go):HTML爬虫,JS文件中的LinkFinder和外部来源(Archive.org、CommonCrawl.org、VirusTotal.com、AlienVault.com)。
- hakrawler (go):HML爬虫,带有JS文件和Archive.org的LinkFider作为外部来源。
- dirhunt (python):HTML爬虫,还指示“juicy files”。
- evine (go):交互式CLI HTML爬虫。它还在Archive.org中搜索。
- meg (go):这个工具不是爬虫,但可能很有用。您只需指定一个包含主机的文件和一个包含路径的文件,meg将在每个主机上获取每个路径并保存响应。
- urlgrab (go):带有JS渲染功能的HTML爬虫。但是,看起来它没有维护,预编译版本过时,当前代码无法编译。
- gau (go):使用外部提供者(wayback、otx、commoncrawl)的HTML爬虫。
- ParamSpider:此脚本将查找带有参数的URL并列出它们。
- galer (go):带有JS渲染功能的HTML爬虫。
- LinkFinder (python):HTML爬虫,具有JS美化功能,能够在JS文件中搜索新路径。还值得查看JSScanner,它是LinkFinder的包装器。
- goLinkFinder (go):用于提取HTML源代码和嵌入式JavaScript文件中的端点。适用于漏洞猎人、红队人员、信息安全专家。
- JSParser (python2.7):使用Tornado和JSBeautifier从JavaScript文件中解析相对URL的Python 2.7脚本。用于轻松发现AJAX请求。看起来没有维护。
- relative-url-extractor (ruby):给定一个文件(HTML),它将使用巧妙的正则表达式从中提取URL,以查找并提取丑陋(压缩)文件中的相对URL。
- JSFScan (bash,多个工具):使用多个工具从JS文件中收集有趣的信息。
- subjs (go):查找JS文件。
- page-fetch (go):在无头浏览器中加载页面并打印加载的所有URL以加载页面。
- Feroxbuster (rust):混合了前述工具的几个选项的内容发现工具
- Javascript Parsing:用于查找JS文件中路径和参数的Burp扩展。
- Sourcemapper:给定.js.map URL,将获取到美化的JS代码
- xnLinkFinder:这是一个用于发现给定目标的端点的工具。
- waymore:从wayback机器中发现链接(还下载wayback中的响应并查找更多链接)
- HTTPLoot (go):爬行(甚至通过填写表单)并使用特定的正则表达式查找敏感信息。
- SpiderSuite:Spider Suite是一款专为网络安全专业人士设计的高级多功能GUI网络安全爬虫/蜘蛛。
- jsluice (go):这是一个用于从JavaScript源代码中提取URL、路径、秘密和其他有趣数据的Go包和命令行工具。
- ParaForge:ParaForge是一个简单的Burp Suite扩展,用于从请求中提取参数和端点,以创建用于模糊测试和枚举的自定义字典。
暴力破解目录和文件
从根目录开始暴力破解,确保暴力破解所有通过此方法找到的目录以及爬虫发现的所有目录(可以递归进行此暴力破解,并在使用的字典的开头添加找到的目录的名称)。
工具:
- Dirb / Dirbuster - 包含在Kali中,旧(且慢)但功能正常。允许自动签名证书和递归搜索。与其他选项相比速度较慢。
- Dirsearch (python):不允许自动签名证书,但允许递归搜索。
- Gobuster (go):允许自动签名证书,不支持递归搜索。
- Feroxbuster - 快速,支持递归搜索。
- wfuzz
wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ - ffuf - 快速:
ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ - uro (python):这不是爬虫,而是一个工具,根据找到的URL列表删除“重复”URL。
- Scavenger:Burp扩展,从不同页面的burp历史记录中创建目录列表
- TrashCompactor:删除具有重复功能的URL(基于js导入)
- Chamaleon:使用wapalyzer检测使用的技术并选择要使用的字典。
推荐字典:
- https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/bf_directories.txt
- Dirsearch 包含的字典
- http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10
- Assetnote wordlists
- https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content
- raft-large-directories-lowercase.txt
- directory-list-2.3-medium.txt
- RobotsDisallowed/top10000.txt
- https://github.com/random-robbie/bruteforce-lists
- https://github.com/google/fuzzing/tree/master/dictionaries
- https://github.com/six2dez/OneListForAll
- https://github.com/random-robbie/bruteforce-lists
- /usr/share/wordlists/dirb/common.txt
- /usr/share/wordlists/dirb/big.txt
- /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
请注意,每当在暴力破解或爬虫过程中发现新目录时,应进行暴力破解。
检查每个找到的文件的内容
- Broken link checker:查找HTML中的损坏链接,可能容易受到接管。
- 文件备份:找到所有文件后,查找所有可执行文件的备份(“.php”、“.aspx”等)。备份的常见变体包括:file.ext~、#file.ext#、~file.ext、file.ext.bak、file.ext.tmp、file.ext.old、file.bak、file.tmp和file.old. 您还可以使用工具bfac 或 backup-gen。
- 发现新参数:您可以使用工具如Arjun、parameth、x8 和 Param Miner 来发现隐藏的参数。如果可能,您可以尝试在每个可执行的Web文件上搜索隐藏的参数。
- Arjun所有默认字典: https://github.com/s0md3v/Arjun/tree/master/arjun/db
- Param-miner“params”: https://github.com/PortSwigger/param-miner/blob/master/resources/params
- Assetnote“parameters_top_1m”: https://wordlists.assetnote.io/
- nullenc0de“params.txt”: https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
- 注释:检查所有文件的注释,您可能会发现凭据或隐藏功能。
- 如果您在玩CTF,一个“常见”的技巧是在页面的右侧的注释中隐藏 信息(使用数百个空格,这样如果您使用浏览器打开源代码,您将看不到数据)。另一种可能性是使用几个新行,并在网页底部的注释中隐藏信息。
- API密钥:如果您找到任何API密钥,有一个指南指示如何使用不同平台的API密钥:keyhacks、zile、truffleHog、SecretFinder、RegHex、DumpsterDive、EarlyBird
- Google API密钥:如果您找到任何看起来像AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik的API密钥,您可以使用项目gmapapiscanner来检查密钥可以访问哪些API。
- S3存储桶:在爬虫过程中查看是否有任何子域或任何链接与某个S3存储桶相关。在这种情况下,检查存储桶的权限。
特殊发现
在执行爬虫和暴力破解时,您可能会发现必须注意的有趣的事物。
有趣的文件
- 在CSS文件中查找到其他文件的链接。
- 如果找到一个 .git 文件,可以提取一些信息
- 如果找到一个 .env 文件,可能会发现api密钥、数据库密码和其他信息。
- 如果找到API端点,您也应该测试它们。这些不是文件,但可能会“看起来像”它们。
- JS文件:在爬虫部分提到了几个可以从JS文件中提取路径的工具。此外,监视每个找到的JS文件也很有趣,因为有时候,更改可能表明代码中引入了潜在的漏洞。例如,您可以使用JSMon。
- 您还应该使用RetireJS或JSHole检查发现的JS文件是否存在漏洞。
- Javascript去混淆和解包器: https://lelinhtinh.github.io/de4js/, https://www.dcode.fr/javascript-unobfuscator
- Javascript美化器: http://jsbeautifier.org/, http://jsnice.org/
- JsFuck去混淆(包含字符:“[]!+”)https://ooze.ninja/javascript/poisonjs/
- TrainFuck:
+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23. - 在许多情况下,您将需要理解使用的
Protocol_Name: Web #Protocol Abbreviation if there is one.
Port_Number: 80,443 #Comma separated if there is more than one.
Protocol_Description: Web #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.xyz/pentesting/pentesting-web
Entry_2:
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
Entry_3:
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}
Entry_4:
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}
Entry_5:
Name: Directory Brute Force Non-Recursive
Description: Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}
Entry_6:
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10
Entry_7:
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200
Entry_8:
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}
Entry_9:
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration
Entry_10:
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e
Entry_11:
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
Entry_12:
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}
漏洞悬赏提示:注册Intigriti,一个由黑客创建的高级漏洞悬赏平台,为黑客而生!立即加入我们,访问https://go.intigriti.com/hacktricks,开始赚取高达**$100,000**的悬赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 发现PEASS家族,我们的独家NFTs收藏品
- 加入 💬 Discord群 或 电报群 或 关注我的Twitter 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。