hacktricks/network-services-pentesting/pentesting-web

80,443 - वेब पेंटेस्टिंग पद्धति

AWS हैकिंग सीखें शून्य से लेकर हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

• यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें, तो सब्सक्रिप्शन प्लान्स देखें!
• आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
• The PEASS Family की खोज करें, हमारा विशेष NFTs संग्रह
• 💬 Discord समूह में शामिल हों या telegram समूह में या Twitter 🐦 पर मुझे फॉलो करें @carlospolopm.
• अपनी हैकिंग ट्रिक्स साझा करें, HackTricks HackTricks और HackTricks Cloud github रेपोज में PRs सबमिट करके.

बग बाउंटी टिप: Intigriti के लिए साइन अप करें, एक प्रीमियम बग बाउंटी प्लेटफॉर्म जो हैकर्स द्वारा, हैकर्स के लिए बनाया गया है! आज ही हमसे https://go.intigriti.com/hacktricks पर जुड़ें, और $100,000 तक की बाउंटी कमाना शुरू करें!

{% embed url="https://go.intigriti.com/hacktricks" %}

मूल जानकारी

वेब सेवा सबसे आम और व्यापक सेवा है और बहुत सारे विभिन्न प्रकार की कमजोरियां मौजूद हैं।

डिफ़ॉल्ट पोर्ट: 80 (HTTP), 443(HTTPS)

PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  ssl/https

nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0

वेब API मार्गदर्शन

{% content-ref url="web-api-pentesting.md" %} web-api-pentesting.md {% endcontent-ref %}

पद्धति सारांश

इस पद्धति में हम मान रहे हैं कि आप एक डोमेन (या उपडोमेन) पर हमला करने जा रहे हैं और केवल वही। इसलिए, आपको इस पद्धति को प्रत्येक खोजे गए डोमेन, उपडोमेन या अनिश्चित वेब सर्वर वाले IP पर लागू करना चाहिए जो स्कोप के अंदर है।

• वेब सर्वर द्वारा प्रयुक्त प्रौद्योगिकियों की पहचान करने से शुरू करें। यदि आप प्रौद्योगिकी की सफलतापूर्वक पहचान कर सकते हैं तो परीक्षण के दौरान ध्यान में रखने के लिए चालें खोजें।
• क्या प्रौद्योगिकी के संस्करण की कोई ज्ञात कमजोरी है?
• क्या कोई प्रसिद्ध तकनीक प्रयोग की जा रही है? क्या कोई उपयोगी चाल है जिससे अधिक जानकारी निकाली जा सकती है?
• क्या कोई विशेषज्ञ स्कैनर चलाने के लिए है (जैसे कि wpscan)?
• सामान्य उद्देश्य स्कैनर्स लॉन्च करें। आपको कभी नहीं पता कि वे कुछ खोज पाएंगे या कुछ दिलचस्प जानकारी मिलेगी।
• प्रारंभिक जांच के साथ शुरू करें: robots, sitemap, 404 त्रुटि और SSL/TLS स्कैन (यदि HTTPS)।
• वेब पेज की स्पाइडरिंग शुरू करें: यह समय है सभी संभावित फाइलों, फोल्डरों और पैरामीटर्स को खोजने का जो प्रयोग किए जा रहे हैं। साथ ही, विशेष खोजों की जांच करें।
• ध्यान दें कि जब भी ब्रूट-फोर्सिंग या स्पाइडरिंग के दौरान एक नई डायरेक्टरी की खोज की जाती है, उसे स्पाइडर किया जाना चाहिए।
• डायरेक्टरी ब्रूट-फोर्सिंग: नई फाइलों और डायरेक्टरीज की खोज के लिए सभी खोजी गई फोल्डरों को ब्रूट फोर्स करने की कोशिश करें।
• ध्यान दें कि जब भी ब्रूट-फोर्सिंग या स्पाइडरिंग के दौरान एक नई डायरेक्टरी की खोज की जाती है, उसे ब्रूट-फोर्स किया जाना चाहिए।
• बैकअप्स जांच: टेस्ट करें कि क्या आप सामान्य बैकअप एक्सटेंशन जोड़कर खोजी गई फाइलों के बैकअप्स पा सकते हैं।
• पैरामीटर्स ब्रूट-फोर्स: छिपे हुए पैरामीटर्स को खोजने की कोशिश करें।
• एक बार जब आप सभी संभावित एंडपॉइंट्स की पहचान कर लेते हैं जो उपयोगकर्ता इनपुट स्वीकार करते हैं, तो इससे संबंधित सभी प्रकार की कमजोरियों की जांच करें।
• इस चेकलिस्ट का पालन करें

सर्वर संस्करण (कमजोर?)

पहचान

जांचें कि क्या सर्वर संस्करण के लिए कोई ज्ञात कमजोरियां हैं जो चल रहा है।
HTTP हेडर्स और कुकीज का जवाब प्रौद्योगिकियों और/या संस्करण की पहचान करने के लिए बहुत उपयोगी हो सकता है। Nmap स्कैन सर्वर संस्करण की पहचान कर सकता है, लेकिन whatweb, webtech या https://builtwith.com/ जैसे उपकरण भी उपयोगी हो सकते हैं:

whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2

वेब एप्लिकेशन के संस्करण की कमजोरियों की खोज करें

क्या कोई WAF है जांचें

• https://github.com/EnableSecurity/wafw00f
• https://github.com/Ekultek/WhatWaf.git
• https://nmap.org/nsedoc/scripts/http-waf-detect.html

वेब टेक ट्रिक्स

विभिन्न प्रसिद्ध प्रौद्योगिकियों में कमजोरियों की खोज के लिए कुछ ट्रिक्स:

• AEM - Adobe Experience Cloud
• Apache
• Artifactory
• Buckets
• CGI
• Drupal
• Flask
• Git
• Golang
• GraphQL
• H2 - Java SQL डेटाबेस
• IIS ट्रिक्स
• JBOSS
• Jenkins
• Jira
• Joomla
• JSP
• Laravel
• Moodle
• Nginx
• PHP (php में बहुत सारी रोचक ट्रिक्स होती हैं जिनका शोषण किया जा सकता है)
• Python
• Spring Actuators
• Symphony
• Tomcat
• VMWare
• Web API Pentesting
• WebDav
• Werkzeug
• Wordpress
• Electron Desktop (XSS से RCE)

ध्यान रखें कि एक ही डोमेन विभिन्न पोर्ट्स, फोल्डर्स और सबडोमेन्स में विभिन्न प्रौद्योगिकियों का उपयोग कर सकता है।
यदि वेब एप्लिकेशन पहले सूचीबद्ध किसी भी प्रसिद्ध तकनीक/प्लेटफॉर्म या किसी अन्य का उपयोग कर रहा है, तो नई ट्रिक्स की इंटरनेट पर खोज करना न भूलें (और मुझे बताएं!).

सोर्स कोड रिव्यू

यदि एप्लिकेशन का सोर्स कोड github में उपलब्ध है, तो एप्लिकेशन का आपके द्वारा व्हाइट बॉक्स टेस्ट करने के अलावा, वर्तमान ब्लैक-बॉक्स टेस्टिंग के लिए कुछ जानकारी उपयोगी हो सकती है:

• क्या वेब के माध्यम से सुलभ संस्करण जानकारी के साथ कोई Change-log या Readme या Version फाइल है?
• प्रमाण-पत्र कहाँ और कैसे सहेजे जाते हैं? क्या कोई (सुलभ?) फाइल प्रमाण-पत्रों (उपयोगकर्ता नाम या पासवर्ड) के साथ है?
• क्या पासवर्ड सादे पाठ में हैं, एन्क्रिप्टेड हैं या कौन सा हैशिंग एल्गोरिथम इस्तेमाल किया जाता है?
• क्या यह किसी मास्टर की का उपयोग कुछ एन्क्रिप्ट करने के लिए कर रहा है? कौन सा एल्गोरिथम इस्तेमाल किया जाता है?
• क्या आप किसी कमजोरी का शोषण करके इनमें से किसी फाइल तक पहुँच सकते हैं?
• क्या github में कोई दिलचस्प जानकारी (हल किए गए और नहीं किए गए) मुद्दे हैं? या कमिट इतिहास में (शायद किसी पुराने कमिट में डाला गया कोई पासवर्ड)?

{% content-ref url="code-review-tools.md" %} code-review-tools.md {% endcontent-ref %}

स्वचालित स्कैनर

सामान्य उद्देश्य के स्वचालित स्कैनर

nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>

# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"

CMS स्कैनर्स

यदि CMS का उपयोग किया जा रहा है तो स्कैनर चलाना न भूलें, शायद कुछ रसीला मिल जाए:

Clusterd: JBoss, ColdFusion, WebLogic, Tomcat, Railo, Axis2, Glassfish
CMSScan: WordPress, Drupal, Joomla, vBulletin वेबसाइट्स के सुरक्षा मुद्दों के लिए। (GUI)
VulnX: Joomla, Wordpress, Drupal, PrestaShop, Opencart
CMSMap: (W)ordpress, (J)oomla, (D)rupal या (M)oodle
droopscan: Drupal, Joomla, Moodle, Silverstripe, Wordpress

cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs

कदम-दर-कदम वेब एप्लिकेशन डिस्कवरी

इस बिंदु से हम वेब एप्लिकेशन के साथ इंटरैक्ट करना शुरू करेंगे।

प्रारंभिक जांच

डिफ़ॉल्ट पृष्ठ जिनमें दिलचस्प जानकारी हो सकती है:

• /robots.txt
• /sitemap.xml
• /crossdomain.xml
• /clientaccesspolicy.xml
• /.well-known/
• मुख्य और द्वितीयक पृष्ठों में टिप्पणियों की भी जांच करें।

त्रुटियों को प्रेरित करना

वेब सर्वर अप्रत्याशित रूप से व्यवहार कर सकते हैं जब उन्हें अजीब डेटा भेजा जाता है। इससे भेद्यताएं खुल सकती हैं या संवेदनशील जानकारी का लीक हो सकता है।

• /whatever_fake.php (.aspx,.html,.etc) जैसे नकली पृष्ठों तक पहुंचें
• कुकी मूल्यों और पैरामीटर मूल्यों में "[]", "]]", और "[[" जोड़ें त्रुटियां उत्पन्न करने के लिए
• URL के अंत में /~randomthing/%s के रूप में इनपुट देकर त्रुटि उत्पन्न करें
• PATCH, DEBUG या गलत जैसे FAKE की तरह विभिन्न HTTP Verbs का प्रयास करें

जांचें कि क्या आप फाइलें अपलोड कर सकते हैं (PUT verb, WebDav)

यदि आप पाते हैं कि WebDav सक्षम है लेकिन आपके पास रूट फोल्डर में फाइलें अपलोड करने की पर्याप्त अनुमतियां नहीं हैं, तो प्रयास करें:

• Brute Force प्रमाणीकरण
• वेब पेज के अंदर पाए गए फोल्डरों के शेष में WebDav के माध्यम से फाइलें अपलोड करें। आपके पास अन्य फोल्डरों में फाइलें अपलोड करने की अनुमतियां हो सकती हैं।

SSL/TLS भेद्यताएं

• यदि एप्लिकेशन HTTPS का उपयोग करने के लिए उपयोगकर्ता को मजबूर नहीं कर रहा है किसी भी भाग में, तो यह MitM के लिए भेद्य है
• यदि एप्लिकेशन संवेदनशील डेटा (पासवर्ड) HTTP का उपयोग करके भेज रहा है। तो यह एक उच्च भेद्यता है।

testssl.sh का उपयोग करें जो भेद्यताओं की जांच करता है (बग बाउंटी कार्यक्रमों में शायद इस प्रकार की भेद्यताएं स्वीकार नहीं की जाएंगी) और a2sv का उपयोग करके भेद्यताओं की पुनः जांच करें:

./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also

# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>

SSL/TLS संवेदनशीलताओं के बारे में जानकारी:

• https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/
• https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/

Spidering

वेब के अंदर किसी प्रकार का spider लॉन्च करें। Spider का उद्देश्य परीक्षण किए गए एप्लिकेशन से यथासंभव अधिक पथों का पता लगाना है। इसलिए, वेब क्रॉलिंग और बाहरी स्रोतों का उपयोग करके यथासंभव वैध पथों का पता लगाना चाहिए।

• gospider (go): HTML spider, JS फाइलों में LinkFinder और बाहरी स्रोत (Archive.org, CommonCrawl.org, VirusTotal.com, AlienVault.com)।
• hakrawler (go): HML spider, JS फाइलों के लिए LinkFinder और Archive.org के रूप में बाहरी स्रोत।
• dirhunt (python): HTML spider, "juicy files" का भी संकेत देता है।
• evine (go): इंटरैक्टिव CLI HTML spider। यह Archive.org में भी खोज करता है।
• meg (go): यह टूल spider नहीं है लेकिन उपयोगी हो सकता है। आप होस्ट्स की फाइल और पथों की फाइल बता सकते हैं और meg प्रत्येक होस्ट पर प्रत्येक पथ को फेच करेगा और प्रतिक्रिया को सहेजेगा।
• urlgrab (go): JS रेंडरिंग क्षमताओं के साथ HTML spider। हालांकि, यह अनमेंटेन्ड प्रतीत होता है, प्रीकंपाइल्ड संस्करण पुराना है और वर्तमान कोड कंपाइल नहीं होता है।
• gau (go): बाहरी प्रदाताओं (wayback, otx, commoncrawl) का उपयोग करने वाला HTML spider।
• ParamSpider: यह स्क्रिप्ट पैरामीटर वाले URLs का पता लगाएगी और उन्हें सूचीबद्ध करेगी।
• galer (go): JS रेंडरिंग क्षमताओं के साथ HTML spider।
• LinkFinder (python): JS फाइलों में नए पथों की खोज करने में सक्षम JS सुंदरता क्षमताओं के साथ HTML spider। JSScanner पर भी नजर डालने लायक हो सकता है, जो LinkFinder का एक रैपर है।
• goLinkFinder (go): HTML स्रोत और एम्बेडेड जावास्क्रिप्ट फाइलों दोनों में एंडपॉइंट्स निकालने के लिए। बग हंटर्स, रेड टीमर्स, इन्फोसेक निंजाओं के लिए उपयोगी।
• JSParser (python2.7): जावास्क्रिप्ट फाइलों से सापेक्ष URLs को पार्स करने के लिए Tornado और JSBeautifier का उपयोग करने वाली पायथन 2.7 स्क्रिप्ट। AJAX अनुरोधों की आसानी से खोज के लिए उपयोगी। अनमेंटेन्ड प्रतीत होता है।
• relative-url-extractor (ruby): दिए गए फाइल (HTML) से URLs निकालेगा जिसमें बदसूरत (minify) फाइलों से सापेक्ष URLs खोजने और निकालने के लिए निफ्टी रेगुलर एक्सप्रेशन का उपयोग होता है।
• JSFScan (bash, कई टूल्स): कई टूल्स का उपयोग करके JS फाइलों से दिलचस्प जानकारी एकत्र करें।
• subjs (go): JS फाइलें खोजें।
• page-fetch (go): एक हेडलेस ब्राउज़र में एक पृष्ठ लोड करें और पृष्ठ को लोड करने के लिए लोड किए गए सभी urls को प्रिंट करें।
• Feroxbuster (rust): कई विकल्पों को मिलाकर सामग्री खोज उपकरण
• Javascript Parsing: JS फाइलों में पथ और पैरामीटर खोजने के लिए एक Burp एक्सटेंशन।
• Sourcemapper: एक टूल जो .js.map URL दिया जाएगा और आपको सुंदर JS कोड मिलेगा
• xnLinkFinder: यह एक टूल है जिसका उपयोग दिए गए लक्ष्य के लिए एंडपॉइंट्स की खोज के लिए किया जाता है।
• waymore: wayback मशीन से लिंक्स की खोज करें (wayback में प्रतिक्रियाओं को डाउनलोड करना और अधिक लिंक्स की खोज करना भी शामिल है)
• HTTPLoot (go): क्रॉल (फॉर्म भरकर भी) और विशिष्ट regexes का उपयोग करके संवेदनशील जानकारी भी खोजें।
• SpiderSuite: Spider Suite एक उन्नत मल्टी-फीचर GUI वेब सुरक्षा Crawler/Spider है जो साइबर सुरक्षा पेशेवरों के लिए डिज़ाइन किया गया है।
• jsluice (go): यह जावास्क्रिप्ट स्रोत कोड से URLs, पथों, सीक्रेट्स, और अन्य दिलचस्प डेटा निकालने के लिए एक Go पैकेज और command-line tool है।
• ParaForge: ParaForge एक सरल Burp Suite एक्सटेंशन है जो पैरामीटर्स और एंडपॉइंट्स को निकालने के लिए अनुरोध से कस्टम वर्डलिस्ट बनाने के लिए है।

Brute Force निर्देशिकाएँ और फाइलें

रूट फोल्डर से brute-forcing शुरू करें और सुनिश्चित करें कि इस विधि से पाई गई सभी निर्देशिकाओं और Spidering द्वारा खोजी गई सभी निर्देशिकाओं को brute-force किया जाए (आप इस brute-forcing को पुनरावृत्ति कर सकते हैं और पाई गई निर्देशिकाओं के नामों को उपयोग की गई वर्डलिस्ट की शुरुआत में जोड़ सकते हैं)।
उपकरण:

• Dirb / Dirbuster - Kali में शामिल, पुराना (और धीमा) लेकिन कार्यात्मक। ऑटो-साइन्ड सर्टिफिकेट्स और पुनरावृत्ति खोज की अनुमति देता है। अन्य विकल्पों की तुलना में बहुत धीमा।
• Dirsearch (python): यह ऑटो-साइन्ड सर्टिफिकेट्स की अनुमति नहीं देता है लेकिन पुनरावृत्ति खोज की अनुमति देता है।
• Gobuster (go): यह ऑटो-साइन्ड सर्टिफिकेट्स की अनुमति देता है, इसमें पुनरावृत्ति खोज नहीं है।
• Feroxbuster - तेज, पुनरावृत्ति खोज का समर्थन करता है।
• wfuzz wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ
• ffuf - तेज: ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ
• uro (python): यह एक spider नहीं है लेकिन एक टूल है जो पाए गए URLs की सूची दी जाती है और "डुप्लिकेट" URLs को हटाने के लिए।
• Scavenger: बर्प हिस्ट्री से विभिन्न पृष्ठों की निर्देशिकाओं की सूची बनाने के लिए बर्प एक्सटेंशन
• [**TrashCompactor

Protocol_Name: Web    #Protocol Abbreviation if there is one.
Port_Number:  80,443     #Comma separated if there is more than one.
Protocol_Description: Web         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.xyz/pentesting/pentesting-web

Entry_2:
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_3:
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}

Entry_4:
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}

Entry_5:
Name: Directory Brute Force Non-Recursive
Description:  Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_6:
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10

Entry_7:
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200

Entry_8:
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}

Entry_9:
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration

Entry_10:
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e

Entry_11:
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

Entry_12:
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}

Bug bounty tip: Intigriti के लिए साइन अप करें, एक प्रीमियम bug bounty प्लेटफॉर्म जो हैकर्स द्वारा, हैकर्स के लिए बनाया गया है! आज ही हमसे जुड़ें https://go.intigriti.com/hacktricks पर, और $100,000 तक के bounties कमाना शुरू करें!

{% embed url="https://go.intigriti.com/hacktricks" %}

htARTE (HackTricks AWS Red Team Expert) के साथ AWS hacking सीखें शून्य से लेकर हीरो तक htARTE (HackTricks AWS Red Team Expert)!

HackTricks का समर्थन करने के अन्य तरीके:

• यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें, तो सब्सक्रिप्शन प्लान्स देखें!
• आधिकारिक PEASS & HackTricks swag प्राप्त करें
• The PEASS Family की खोज करें, हमारा एक्सक्लूसिव NFTs का संग्रह
• 💬 Discord group में शामिल हों या telegram group में या Twitter पर मुझे 🐦 @carlospolopm का अनुसरण करें.
• HackTricks के github repos और HackTricks Cloud में PRs सबमिट करके अपने hacking tricks साझा करें.