hacktricks/network-services-pentesting/pentesting-web

80,443 - Pentesting Web Methodology

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

• 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
• 获取官方PEASS & HackTricks周边产品
• 探索PEASS家族，我们的独家NFTs
• 加入 💬 Discord群 或 电报群 或 关注我们的Twitter 🐦 @carlospolopm。
• 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

如果您对黑客职业感兴趣并想要攻破不可攻破的系统 - 我们正在招聘！（需要流利的波兰语书面和口语表达能力）。

{% embed url="https://www.stmcyber.com/careers" %}

基本信息

Web服务是最常见和广泛的服务，存在许多不同类型的漏洞。

默认端口： 80（HTTP），443（HTTPS）

PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  ssl/https

nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0

Web API 指南

{% content-ref url="web-api-pentesting.md" %} web-api-pentesting.md {% endcontent-ref %}

方法概述

在这个方法论中，我们假设您将攻击一个域名（或子域名），仅限于此。因此，您应该将此方法应用于发现的每个域、子域或范围内未确定的 Web 服务器 IP。

• 从识别 Web 服务器使用的技术开始。寻找在测试的其余部分中要记住的技巧，如果您能成功识别该技术。
• 该技术版本是否存在任何已知漏洞？
• 使用任何众所周知的技术？有任何有用的技巧来提取更多信息吗？
• 有任何专门的扫描工具要运行（如 wpscan）吗？
• 启动通用扫描工具。您永远不知道它们是否会找到任何东西或者是否会找到一些有趣的信息。
• 从初始检查开始：robots、sitemap、404 错误和SSL/TLS 扫描（如果是 HTTPS）。
• 开始爬取网页：现在是时候查找所有可能的文件、文件夹和正在使用的参数。还要检查特殊发现。
• 请注意，每当在暴力破解或爬取过程中发现新目录时，应该对其进行爬取。
• 目录暴力破解：尝试对所有发现的文件夹进行暴力破解，以查找新的文件和目录。
• 请注意，每当在暴力破解或爬取过程中发现新目录时，应该对其进行暴力破解。
• 备份检查：测试是否可以找到发现文件的备份，附加常见的备份扩展名。
• 暴力破解参数：尝试查找隐藏参数。
• 一旦您已经识别了所有可能接受用户输入的端点，检查与之相关的各种漏洞。
• 按照此检查清单进行操作

服务器版本（存在漏洞吗？）

识别

检查运行的服务器版本是否存在已知漏洞。
响应的 HTTP 标头和 Cookie可能非常有用，可用于识别正在使用的技术和/或版本。Nmap 扫描可以识别服务器版本，但也可以使用工具 whatweb、webtech 或 https://builtwith.com/：

whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2

搜索Web应用程序版本的漏洞

检查是否有任何WAF

• https://github.com/EnableSecurity/wafw00f
• https://github.com/Ekultek/WhatWaf.git
• https://nmap.org/nsedoc/scripts/http-waf-detect.html

Web技巧

一些用于发现不同知名技术中的漏洞的技巧：

• AEM - Adobe Experience Cloud
• Apache
• Artifactory
• Buckets
• CGI
• Drupal
• Flask
• Git
• Golang
• GraphQL
• H2 - Java SQL database
• IIS tricks
• JBOSS
• Jenkins
• Jira
• Joomla
• JSP
• Laravel
• Moodle
• Nginx
• PHP (php has a lot of interesting tricks that could be exploited)
• Python
• Spring Actuators
• Symphony
• Tomcat
• VMWare
• Web API Pentesting
• WebDav
• Werkzeug
• Wordpress
• Electron Desktop (XSS to RCE)

请注意，同一域名可能在不同端口、文件夹和子域中使用不同的技术。
如果Web应用程序使用任何之前列出的知名技术/平台或其他技术，请不要忘记在互联网上搜索新的技巧（并告诉我！）。

源代码审查

如果应用程序的源代码在github上可用，除了自行对应用程序进行白盒测试外，还有一些信息对当前的黑盒测试可能有用：

• 是否有通过Web访问的变更日志、自述文件或版本信息文件？
• 凭证是如何保存的？是否有（可访问的）带有凭证（用户名或密码）的文件？
• 密码是明文、加密还是使用了哪种哈希算法？
• 是否使用了任何用于加密的主密钥？使用了哪种算法？
• 您能否利用某些漏洞访问这些文件？
• 在github的（已解决和未解决的）问题中是否有任何有趣的信息？或在提交历史中（也许在旧提交中引入了某些密码）？

{% content-ref url="code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}

自动扫描器

通用用途的自动扫描器

nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>

# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"

CMS扫描器

如果使用了CMS，不要忘记运行扫描器，也许会发现一些有趣的东西：

Clusterd： JBoss，ColdFusion，WebLogic， Tomcat，Railo，Axis2，Glassfish
CMSScan：对WordPress，Drupal，Joomla，vBulletin网站进行安全问题扫描（图形界面）
VulnX： 对Joomla， Wordpress， Drupal，PrestaShop，Opencart进行扫描
CMSMap：对(W)ordpress， (J)oomla， (D)rupal或 (M)oodle进行扫描
droopscan： 对Drupal， Joomla， Moodle，Silverstripe， Wordpress进行扫描

cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs

到这一步，您应该已经获得了客户端使用的 Web 服务器的一些信息（如果提供了任何数据），以及在测试过程中要牢记的一些技巧。如果幸运的话，您甚至可能已经找到了一个 CMS 并运行了一些扫描器。

逐步 Web 应用程序发现

从这一点开始，我们将开始与 Web 应用程序进行交互。

初始检查

包含有趣信息的默认页面:

• /robots.txt
• /sitemap.xml
• /crossdomain.xml
• /clientaccesspolicy.xml
• /.well-known/
• 还要检查主要和次要页面中的注释。

强制错误

当向 Web 服务器发送奇怪的数据时，Web 服务器可能会表现出意外行为。这可能会打开漏洞或泄露敏感信息。

• 访问像 /whatever_fake.php (.aspx, .html, 等) 这样的虚假页面
• 在cookie 值和参数值中添加 "[]", "]]" 和 "[[" 以创建错误
• 通过在URL的末尾输入 /~randomthing/%s 生成错误
• 尝试使用不同的 HTTP 动词，如 PATCH、DEBUG 或错误的 FAKE

检查是否可以上传文件（PUT 动词，WebDav）

如果发现WebDav已启用，但您没有足够的权限在根文件夹中上传文件，请尝试：

• 暴力破解凭据
• 通过 WebDav上传文件到 Web 页面内找到的其他文件夹。您可能有权限在其他文件夹中上传文件。

SSL/TLS 漏洞

• 如果应用程序在任何部分没有强制使用 HTTPS，那么它容易受到中间人攻击
• 如果应用程序使用 HTTP 发送敏感数据（密码）。那么这是一个高风险漏洞。

使用 testssl.sh 检查漏洞（在 Bug Bounty 程序中，这类漏洞可能不会被接受），并使用 a2sv 重新检查漏洞：

./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also

# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>

SSL/TLS漏洞信息：

• https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/
• https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/

爬虫

在网络中启动某种爬虫。爬虫的目标是从被测试应用程序中找到尽可能多的路径。因此，应使用网络爬行和外部来源来找到尽可能多的有效路径。

• gospider (go)：HTML爬虫，JS文件中的LinkFinder和外部来源（Archive.org，CommonCrawl.org，VirusTotal.com，AlienVault.com）。
• hakrawler (go)：HML爬虫，带有JS文件的LinkFider和Archive.org作为外部来源。
• dirhunt (python)：HTML爬虫，还指示“juicy files”。
• evine (go)：交互式CLI HTML爬虫。它还在Archive.org中搜索。
• meg (go)：这个工具不是爬虫，但可能很有用。您只需指定一个带有主机和路径的文件，meg将在每个主机上获取每个路径并保存响应。
• urlgrab (go)：带有JS渲染功能的HTML爬虫。但是，看起来它没有维护，预编译版本过时，当前代码无法编译。
• gau (go)：使用外部提供者（wayback，otx，commoncrawl）的HTML爬虫。
• ParamSpider：此脚本将查找带有参数的URL并列出它们。
• galer (go)：带有JS渲染功能的HTML爬虫。
• LinkFinder (python)：HTML爬虫，具有JS美化功能，能够在JS文件中搜索新路径。还值得一提的是JSScanner，它是LinkFinder的包装器。
• goLinkFinder (go)：用于提取HTML源代码和嵌入式javascript文件中的端点。对于漏洞猎人、红队人员、信息安全专家很有用。
• JSParser (python2.7)：使用Tornado和JSBeautifier从JavaScript文件中解析相对URL的Python 2.7脚本。用于轻松发现AJAX请求。看起来没有维护。
• relative-url-extractor (ruby)：给定一个文件（HTML），它将使用巧妙的正则表达式从中提取URL，以查找并提取丑陋（压缩）文件中的相对URL。
• JSFScan (bash，多个工具)：使用多个工具从JS文件中收集有趣的信息。
• subjs (go)：查找JS文件。
• page-fetch (go)：在无头浏览器中加载页面并打印加载的所有URL以加载页面。
• Feroxbuster (rust)：混合了前述工具的几个选项的内容发现工具。
• Javascript Parsing：用于在JS文件中查找路径和参数的Burp扩展。
• Sourcemapper：给定.js.map URL，将获取到美化的JS代码。
• xnLinkFinder：这是一个用于发现给定目标的端点的工具。
• waymore：从wayback机器中发现链接（还下载wayback中的响应并查找更多链接）。
• HTTPLoot (go)：爬行（甚至通过填写表单）并使用特定的正则表达式查找敏感信息。
• SpiderSuite：Spider Suite是一款专为网络安全专业人士设计的高级多功能GUI网络安全爬虫/蜘蛛。
• jsluice (go)：这是一个用于从JavaScript源代码中提取URL、路径、秘密和其他有趣数据的Go包和命令行工具。
• ParaForge：ParaForge是一个简单的Burp Suite扩展，用于从请求中提取参数和端点，以创建用于模糊测试和枚举的自定义字典。

暴力破解目录和文件

从根目录开始暴力破解，确保暴力破解所有通过此方法找到的目录以及爬虫发现的所有目录（您可以递归进行此暴力破解，并在使用的字典的开头添加找到的目录名称）。
工具：

• Dirb / Dirbuster - 包含在Kali中，旧（而且慢）但功能齐全。允许自动签名证书和递归搜索。与其他选项相比速度太慢。
• Dirsearch (python)：不允许自动签名证书，但允许递归搜索。
• Gobuster (go)：允许自动签名证书，不支持递归搜索。
• Feroxbuster - 快速，支持递归搜索。
• wfuzz wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ
• ffuf - 快速：ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ
• uro (python)：这不是爬虫，而是一个工具，给定找到的URL列表将删除“重复”的URL。
• Scavenger：Burp扩展，从不同页面的burp历史记录中创建目录列表
• TrashCompactor：删除具有重复功能的URL（基于js导入）
• Chamaleon：它使用wapalyzer检测使用的技术并选择要使用的字典。

推荐字典：

• https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/bf_directories.txt
• Dirsearch 包含的字典
• http://gist.github.com/jhaddix/b80ea67d85c13206125806f0828f4d10
• Assetnote wordlists
• https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content
• raft-large-directories-lowercase.txt
• directory-list-2.3-medium.txt
• RobotsDisallowed/top10000.txt
• https://github.com/random-robbie/bruteforce-lists

• https://github.com/google/fuzzing/tree/master/dictionaries
• https://github.com/six2dez/OneListForAll
• https://github.com/random-robbie/bruteforce-lists
• /usr/share/wordlists/dirb/common.txt
• /usr/share/wordlists/dirb/big.txt
• /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

请注意，每当在暴力破解或爬虫过程中发现新目录时，应进行暴力破解。

每个找到的文件要检查的内容

• 损坏链接检查器：查找HTML中的损坏链接，可能容易被接管
• 文件备份：找到所有文件后，查找所有可执行文件的备份（".php"，".aspx"...）。备份的常见变体包括：file.ext~, #file.ext#, ~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp 和 file.old. 您还可以使用工具 bfac 或 backup-gen。
• 发现新参数：您可以使用工具如 Arjun, parameth, x8 和 Param Miner 来发现隐藏参数。如果可以的话，您可以尝试在每个可执行的Web文件上搜索 隐藏参数。
• Arjun 所有默认字典： https://github.com/s0md3v/Arjun/tree/master/arjun/db
• Param-miner “params”： https://github.com/PortSwigger/param-miner/blob/master/resources/params
• Assetnote “parameters_top_1m”： https://wordlists.assetnote.io/
• nullenc0de “params.txt”： https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
• 注释：检查所有文件的注释，您可能会发现凭证或隐藏功能。
• 如果您在进行CTF比赛，一个“常见”的技巧是在页面的右侧的注释中隐藏 信息（使用大量的空格，这样如果您使用浏览器打开源代码，您就看不到数据）。另一种可能性是使用多个新行，并在网页底部的注释中隐藏信息。
• API 密钥：如果您找到任何 API 密钥，有指南指示如何使用不同平台的 API 密钥：keyhacks, zile, truffleHog, SecretFinder, RegHex, DumpsterDive, EarlyBird
• Google API 密钥：如果您找到任何看起来像 AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik 的 API 密钥，您可以使用项目 gmapapiscanner 来检查该密钥可以访问哪些 API。
• S3 存储桶：在爬取过程中查看是否有任何子域或任何链接与某个 S3 存储桶 相关。在这种情况下，检查 存储桶的权限。

特殊发现

在执行爬取和暴力破解时，您可能会发现有趣的 事物，您需要注意。

有趣的文件

• 查找CSS文件中指向其他文件的链接。
• 如果找到一个 .git 文件，可以提取一些信息
• 如果找到一个 .env 文件，可能会发现诸如 API 密钥、数据库密码和其他信息。
• 如果找到API 端点，您也应该测试它们。这些不是文件，但可能会“看起来像”它们。
• JS 文件：在爬取部分提到了几个可以从 JS 文件中提取路径的工具。此外，值得监视每个找到的 JS 文件，因为在某些情况下，更改可能表明代码中引入了潜在的漏洞。您可以使用例如 JSMon。
• 您还应该使用 RetireJS 或 JSHole 检查发现的 JS 文件是否存在漏洞。
• Javascript 去混淆器和解包器：https://lelinhtinh.github.io/de4js/, https://www.dcode.fr/javascript-unobfuscator
• Javascript 美化器：http://jsbeautifier.org/, http://jsnice.org/
• JsFuck 去混淆（包含字符：“[]!+” https://ooze.ninja/javascript/poisonjs/)
• TrainFuck： +72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.
• 在许多情况下，您将需要理解使用的正则表达式，这将很有用：https://regex101.com/
• 您还可以监视检测到表单的文件，因为参数的更改或新表单的出现可能表明潜在的新易受攻击的功能。

403 Forbidden/Basic Authentication/401 Unauthorized（绕过）

{% content-ref url="403-and-401-bypasses.md" %} 403-and-401-bypasses.md {% endcontent-ref %}

502 代理错误

如果任何页面以该代码响应，那么可能是代理配置不当。如果您发送类似以下的 HTTP 请求：GET https://google.com HTTP/1.1（带有主机头和其他常见头），代理将尝试访问 google.com，这样您就会发现一个 SSRF。

NTLM 认证 - 信息泄露

如果运行身份验证的服务器是Windows，或者您发现一个要求您凭证（并要求域名）的登录，您可以引发信息泄露。
发送 头部：“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”，由于NTLM 认证的工作方式，服务器将在“WWW-Authenticate”头部中回复内部信息（IIS 版本、Windows 版本...）。
您可以使用 nmap 插件 "http-ntlm-info.nse" 来自动化这个过程。

HTTP 重定向（CTF）

可以在重定向中放置内容。这些内容不会显示给用户（因为浏览器会执行重定向），但可能隐藏一些内容。

Web漏洞检查

现在已经执行了对Web应用程序的全面枚举，是时候检查许多可能的漏洞了。您可以在这里找到检查表：

{% content-ref url="../../pentesting-web/web-vulnerabilities-methodology/" %} web-vulnerabilities-methodology {% endcontent-ref %}

在以下链接中查找有关Web漏洞的更多信息：

• https://six2dez.gitbook.io/pentest-book/others/web-checklist
• https://kennel209.gitbooks.io/owasp-testing-guide-v4/content/en/web_application_security_testing/configuration_and_deployment_management_testing.html
• https://owasp-skf.gitbook.io/asvs-write-ups/kbid-111-client-side-template-injection

监控页面更改

您可以使用诸如https://github.com/dgtlmoon/changedetection.io之类的工具来监视页面的修改，以防止可能插入漏洞。

如果您对黑客职业感兴趣，并想要攻破不可攻破的系统 - 我们正在招聘！（需要流利的波兰语书面和口语表达能力）。

{% embed url="https://www.stmcyber.com/careers" %}

HackTricks自动命令

Protocol_Name: Web    #Protocol Abbreviation if there is one.
Port_Number:  80,443     #Comma separated if there is more than one.
Protocol_Description: Web         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.xyz/pentesting/pentesting-web

Entry_2:
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_3:
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}

Entry_4:
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}

Entry_5:
Name: Directory Brute Force Non-Recursive
Description:  Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_6:
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10

Entry_7:
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200

Entry_8:
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}

Entry_9:
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration

Entry_10:
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e

Entry_11:
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

Entry_12:
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

其他支持HackTricks的方式：

• 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
• 获取官方PEASS & HackTricks周边产品
• 发现PEASS家族，我们的独家NFTs
• 加入 💬 Discord群 或 电报群 或 关注我们的Twitter 🐦 @carlospolopm。
• 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。