80,443 - Pentesting Web Metodolojisi

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Temel Bilgiler

Web servisi en yaygın ve kapsamlı servistir ve birçok farklı zafiyet türü mevcuttur.

Varsayılan port: 80 (HTTP), 443(HTTPS)

PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  ssl/https

nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0

Web API Rehberi

Web API Pentesting

Metodoloji özeti

Bu metodolojide bir domain (veya subdomain) ve sadece ona saldıracağınızı varsayıyoruz. Bu yüzden bu metodolojiyi scope içindeki her keşfedilen domain, subdomain veya sunucusu belirlenmemiş IP için uygulamalısınız.

  • Başlangıç olarak web sunucusu tarafından kullanılan teknolojileri tanımlayın. Teknolojiyi başarılı şekilde tanımlayabilirseniz testin geri kalanında akılda tutulması gereken ipuçlarını arayın.
  • Teknolojinin sürümüne ait herhangi bir bilinen zafiyet var mı?
  • Yaygın bilinen herhangi bir teknoloji mi kullanılıyor? Daha fazla bilgi çıkarmak için kullanılabilecek herhangi bir yararlı ipucu var mı?
  • Çalıştırılacak herhangi bir uzmanlaşmış scanner var mı (ör. wpscan)?
  • Genel amaçlı scanners çalıştırın. Bir şey bulup bulmayacaklarını ya da ilginç bilgi sağlama ihtimallerini asla bilemezsiniz.
  • İlk kontroller ile başlayın: robots, sitemap, 404 hatası ve SSL/TLS scan (eğer HTTPS ise).
  • Web sayfasını spidering ile taramaya başlayın: Tüm olası dosyaları, klasörleri ve kullanılan parametreleri bulma zamanı. Ayrıca özel bulguları kontrol edin.
  • Not: brute-forcing veya spidering sırasında yeni bir dizin keşfedildiği her seferinde o dizin spiderlanmalıdır.
  • Directory Brute-Forcing: Keşfedilen tüm klasörleri yeni dosya ve dizin arayarak brute force ile tarayın.
  • Not: brute-forcing veya spidering sırasında yeni bir dizin keşfedildiği her seferinde o dizin Brute-Forced edilmelidir.
  • Backups checking: Keşfedilen dosyaların yedeklerini yaygın backup uzantılarını ekleyerek bulup bulamayacağınızı test edin.
  • Brute-Force parameters: Gizli parametreleri bulmaya çalışın.
  • Tüm olası endpoints ve user input kabul eden yerleri tanımladıktan sonra, bunlarla ilişkili her türlü vulnerabilities için kontrol edin.
  • Follow this checklist

Sunucu Sürümü (Zafiyetli mi?)

Tanımlama

Çalışan sunucu sürümü için bilinen zafiyetlerin olup olmadığını kontrol edin.
Cevabın HTTP headers and cookies kısmı, kullanılan teknolojileri ve/veya sürümü tanımlamak için çok faydalı olabilir. Nmap scan sunucu sürümünü tespit edebilir, ancak whatweb, webtech or https://builtwith.com/:

whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2

Search for vulnerabilities of the web application version

Herhangi bir WAF olup olmadığını kontrol et

Web teknoloji ipuçları

Kullanılan farklı ve iyi bilinen teknolojilerde zafiyetleri bulmak için bazı püf noktaları:

Tek bir domainin farklı portlarda, klasörlerde ve alt alan adlarında farklı teknolojiler kullanabileceğini unutmayın.
Eğer web uygulaması daha önce listelenmiş herhangi bir tech/platform veya başka bir bilinen teknoloji kullanıyorsa, İnternet üzerinde yeni taktikleri aramayı unutmayın (ve bana haber verin!).

Source Code Review

Eğer uygulamanın kaynak kodu github üzerinde erişilebiliyorsa, uygulama üzerinde kendi White box testinizi yapmanın yanında mevcut Black-Box testing için faydalı olabilecek bazı bilgiler vardır:

  • Web üzerinden erişilebilir bir Change-log veya Readme veya Version dosyası ya da sürüm bilgisi içeren bir şey var mı?
  • Credentials nasıl ve nerede saklanıyor? Credentials içeren herhangi bir (erişilebilir?) file (kullanıcı adları veya parolalar) var mı?
  • Parolalar plain text mi, encrypted mi yoksa hangi hashing algorithm kullanılıyor?
  • Bir şeyi şifrelemek için herhangi bir master key kullanılıyor mu? Hangi algoritma kullanılıyor?
  • Bu dosyaların herhangi birine bir zafiyeti kullanarak erişebilir misiniz?
  • Github üzerinde (çözümlenmiş veya çözülmemiş) ilginç bilgiler var mı? Veya commit history içinde (belki eski bir commit içinde tanıtılmış bir password)?

Source code Review / SAST Tools

Automatic scanners

Genel amaçlı otomatik tarayıcılar

nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>

# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"

CMS tarayıcıları

Bir CMS kullanılıyorsa run a scanner çalıştırmayı unutmayın; belki ilginç bir şey bulunur:

Clusterd: JBoss, ColdFusion, WebLogic, Tomcat, Railo, Axis2, Glassfish
CMSScan: WordPress, Drupal, Joomla, vBulletin güvenlik sorunları için web sitelerini tarar. (GUI)
VulnX: Joomla, Wordpress, Drupal, PrestaShop, Opencart
CMSMap: (W)ordpress, (J)oomla, (D)rupal veya (M)oodle
droopscan: Drupal, Joomla, Moodle, Silverstripe, Wordpress

cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs

Bu noktada, (veri verilmişse) istemci tarafından kullanılan web sunucusu hakkında bazı bilgilere ve test sırasında akılda tutulması gereken bazı hilelere zaten sahip olmalısınız. Şanslıysanız bir CMS bile bulup bir scanner çalıştırmışsınızdır.

Adım adım Web Uygulama Keşfi

Bu noktadan itibaren web uygulamasıyla etkileşime geçmeye başlayacağız.

İlk kontroller

İlginç bilgi içeren varsayılan sayfalar:

  • /robots.txt
  • /sitemap.xml
  • /crossdomain.xml
  • /clientaccesspolicy.xml
  • /.well-known/
  • Ana ve ikincil sayfalardaki yorumları da kontrol edin.

Hatalar oluşturma

Web sunucuları garip veri gönderildiğinde beklenmedik şekilde davranabilir. Bu, vulnerabilities veya disclosure sensitive information’ın ortaya çıkmasına neden olabilir.

  • Erişim sağlayın sahte sayfalara gibi /whatever_fake.php (.aspx,.html,.etc)
  • “[]”, “]]” ve “[[” karakterlerini cookie değerlerine ve parametre değerlerine ekleyerek hatalar oluşturun
  • Hata üretmek için giriş olarak /~randomthing/%s’i URL’nin sonuna verin
  • PATCH, DEBUG gibi veya FAKE gibi yanlış olanlar da dahil olmak üzere farklı HTTP Verbs deneyin

Dosya yükleyip yükleyemeyeceğinizi kontrol edin (PUT verb, WebDav)

Eğer WebDav’ın etkin olduğunu fakat root klasörüne dosya yükleme için yeterli izniniz olmadığını görürseniz, şunları deneyin:

  • Brute Force kimlik bilgileri
  • Web sayfası içindeki bulunan diğer klasörlere WebDav aracılığıyla dosya yüklemeyi deneyin. Diğer klasörlere dosya yükleme izniniz olabilir.

SSL/TLS zafiyetleri

  • Uygulama herhangi bir bölümde HTTPS kullanımını zorlamıyorsa, MitM saldırısına açıktır
  • Uygulama hassas verileri (parolalar) HTTP üzerinden gönderiyorsa, bu yüksek düzeyde bir zafiyettir.

Zafiyetleri kontrol etmek için testssl.sh kullanın (Bug Bounty programlarında muhtemelen bu tür zafiyetler kabul edilmeyecektir) ve zafiyetleri tekrar kontrol etmek için a2sv kullanın:

./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also

# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>

Information about SSL/TLS vulnerabilities:

Spidering

Web içinde bir tür spider başlatın. Spider’ın amacı test edilen uygulamadan mümkün olduğunca çok yol (paths) bulmaktır. Bu nedenle, mümkün olduğunca çok geçerli yol bulmak için web crawling ve harici kaynaklar kullanılmalıdır.

  • gospider (go): HTML spider, LinkFinder in JS files and external sources (Archive.org, CommonCrawl.org, VirusTotal.com).
  • hakrawler (go): HML spider, with LinkFider for JS files and Archive.org as external source.
  • dirhunt (python): HTML spider, also indicates “juicy files”.
  • evine (go): Interactive CLI HTML spider. It also searches in Archive.org
  • meg (go): This tool isn’t a spider but it can be useful. You can just indicate a file with hosts and a file with paths and meg will fetch each path on each host and save the response.
  • urlgrab (go): HTML spider with JS rendering capabilities. However, it looks like it’s unmaintained, the precompiled version is old and the current code doesn’t compile
  • gau (go): HTML spider that uses external providers (wayback, otx, commoncrawl)
  • ParamSpider: This script will find URLs with parameter and will list them.
  • galer (go): HTML spider with JS rendering capabilities.
  • LinkFinder (python): HTML spider, with JS beautify capabilities capable of search new paths in JS files. It could be worth it also take a look to JSScanner, which is a wrapper of LinkFinder.
  • goLinkFinder (go): To extract endpoints in both HTML source and embedded javascript files. Useful for bug hunters, red teamers, infosec ninjas.
  • JSParser (python2.7): A python 2.7 script using Tornado and JSBeautifier to parse relative URLs from JavaScript files. Useful for easily discovering AJAX requests. Looks like unmaintained.
  • relative-url-extractor (ruby): Given a file (HTML) it will extract URLs from it using nifty regular expression to find and extract the relative URLs from ugly (minify) files.
  • JSFScan (bash, several tools): Gather interesting information from JS files using several tools.
  • subjs (go): Find JS files.
  • page-fetch (go): Load a page in a headless browser and print out all the urls loaded to load the page.
  • Feroxbuster (rust): Content discovery tool mixing several options of the previous tools
  • Javascript Parsing: A Burp extension to find path and params in JS files.
  • BurpJSLinkFinder Enhanced: Burp extension (Jython) that passively analyzes JavaScript responses (by MIME type and /js paths) to extract endpoints/links and optionally flag embedded secrets with severity.
  • Sourcemapper: A tool that given the .js.map URL will get you the beatified JS code
  • xnLinkFinder: This is a tool used to discover endpoints for a given target.
  • waymore: Discover links from the wayback machine (also downloading the responses in the wayback and looking for more links)
  • HTTPLoot (go): Crawl (even by filling forms) and also find sensitive info using specific regexes.
  • SpiderSuite: Spider Suite is an advance multi-feature GUI web security Crawler/Spider designed for cyber security professionals.
  • jsluice (go): It’s a Go package and command-line tool for extracting URLs, paths, secrets, and other interesting data from JavaScript source code.
  • ParaForge: ParaForge is a simple Burp Suite extension to extract the paramters and endpoints from the request to create custom wordlist for fuzzing and enumeration.
  • katana (go): Awesome tool for this.
  • Crawley (go): Print every link it’s able to find.

Brute Force directories and files

Root klasöründen brute-forcing işlemine başlayın ve bu method ile bulunan tüm dizinleri ve Spidering sırasında keşfedilen tüm dizinleri mutlaka brute-force edin (bu brute-forcing işlemini recursively yapabilir ve kullanılan wordlist’in başına bulunan dizin isimlerini ekleyebilirsiniz).
Araçlar:

  • Dirb / Dirbuster - Included in Kali, old (and slow) but functional. Allow auto-signed certificates and recursive search. Too slow compared with th other options.
  • Dirsearch (python): It doesn’t allow auto-signed certificates but allows recursive search.
  • Gobuster (go): It allows auto-signed certificates, it doesn’t have recursive search.
  • Feroxbuster - Fast, supports recursive search.
  • wfuzz wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ
  • ffuf - Fast: ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ
  • uro (python): This isn’t a spider but a tool that given the list of found URLs will to delete “duplicated” URLs.
  • Scavenger: Burp Extension to create a list of directories from the burp history of different pages
  • TrashCompactor: Remove URLs with duplicated functionalities (based on js imports)
  • Chamaleon: It uses wapalyzer to detect used technologies and select the wordlists to use.

Recommended dictionaries:

Not: brute-forcing veya spidering sırasında yeni bir dizin keşfedildiğinde, o dizin mutlaka Brute-Forced edilmelidir.

What to check on each file found

  • Broken link checker: HTML’lerde takeover’lara açık olabilecek kırık linkleri bulun.
  • File Backups: Tüm dosyaları bulduktan sonra, tüm çalıştırılabilir dosyaların yedeklerini arayın (“.php”, “.aspx”…). Yedek isimlendirmede yaygın varyasyonlar: file.ext~, #file.ext#, ~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp ve file.old. Ayrıca bfac veya backup-gen araçlarını kullanabilirsiniz.
  • Discover new parameters: Gizli parametreleri keşfetmek için Arjun, parameth, x8 ve Param Miner gibi araçları kullanabilirsiniz. Mümkünse her çalıştırılabilir web dosyasında gizli parametreleri aramaya çalışın.
  • Arjun all default wordlists: https://github.com/s0md3v/Arjun/tree/master/arjun/db
  • Param-miner “params” : https://github.com/PortSwigger/param-miner/blob/master/resources/params
  • Assetnote “parameters_top_1m”: https://wordlists.assetnote.io/
  • nullenc0de “params.txt”: https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
  • Comments: Tüm dosyaların yorumlarını kontrol edin; burada credentials veya hidden functionality bulunabilir.
  • Eğer CTF oynuyorsanız, yaygın bir yöntem bilgiyi sayfanın sağ tarafına yorum içinde gizlemektir (kaynak kodu tarayıcıyla açıldığında görünmemesi için yüzlerce boşluk kullanmak). Diğer bir yöntem ise birkaç yeni satır kullanıp sayfanın alt kısmında bir yorum içine bilgi saklamaktır.
  • API keys: Eğer herhangi bir API key bulursanız, farklı platformların API key’lerini nasıl kullanacağınızı gösteren rehberler vardır: keyhacks, zile, truffleHog, SecretFinder, RegHex, DumpsterDive, EarlyBird
  • Google API keys: Eğer AIza ile başlayan bir API key bulursanız (ör. AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik), o key’in hangi API’lere erişebildiğini kontrol etmek için gmapapiscanner projesini kullanabilirsiniz.
  • S3 Buckets: Spidering sırasında herhangi bir subdomain veya link’in bir S3 bucket ile ilişkili olup olmadığına bakın. Böyle bir durum varsa, bucket’ın izinlerini kontrol edin.

Special findings

Spidering ve brute-forcing yaparken fark etmeniz gereken bazı ilginç durumlar çıkabilir.

Interesting files

403 Forbidden/Basic Authentication/401 Unauthorized (bypass)

403 & 401 Bypasses

502 Proxy Error

Eğer herhangi bir sayfa bu kodla cevap veriyorsa, muhtemelen kötü yapılandırılmış bir proxy vardır. Eğer şu şekilde bir HTTP isteği gönderirseniz: GET https://google.com HTTP/1.1 (host header ve diğer ortak header’larla birlikte), proxy google.com’a erişmeye çalışacak ve böylece bir SSRF bulmuş olursunuz.

NTLM Authentication - Info disclosure

Eğer authentication isteyen sunucu Windows ise veya giriş ekranı sizden credentials (ve domain adı) istiyorsa, bilgi sızdırmayı tetikleyebilirsiniz.
Aşağıdaki header’ı gönderin: “Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=” ve NTLM authentication’ın çalışma şekli nedeniyle sunucu “WWW-Authenticate” header’ı içinde iç ağ bilgilerini (IIS sürümü, Windows sürümü…) döndürebilir.
Bunu otomatikleştirmek için nmap plugin’i “http-ntlm-info.nse” kullanılabilir.

HTTP Redirect (CTF)

Bir Redirect içine içerik koymak mümkündür. Bu içerik kullanıcıya gösterilmeyecektir (çünkü tarayıcı yönlendirmeyi uygular) fakat orada bilgiler gizlenmiş olabilir.

Web Vulnerabilities Checking

Kapsamlı bir enumeration yapıldıktan sonra birçok olası zafiyet için kontroller yapılmalıdır. Kontrol listesini şu adreste bulabilirsiniz:

Web Vulnerabilities Methodology

Web zafiyetleri hakkında daha fazla bilgi:

Monitor Pages for changes

Sayfa değişikliklerini izlemek için https://github.com/dgtlmoon/changedetection.io gibi araçları kullanabilirsiniz; böylece sayfalara eklenen değişiklikler potansiyel zafiyetler oluşturduğunda haberdar olursunuz.

HackTricks Automatic Commands

HackTricks Automatic Commands ```yaml Protocol_Name: Web #Protocol Abbreviation if there is one. Port_Number: 80,443 #Comma separated if there is more than one. Protocol_Description: Web #Protocol Abbreviation Spelled out

Entry_1: Name: Notes Description: Notes for Web Note: | https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-web/index.html

Entry_2: Name: Quick Web Scan Description: Nikto and GoBuster Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_3: Name: Nikto Description: Basic Site Info via Nikto Command: nikto -host {Web_Proto}://{IP}:{Web_Port}

Entry_4: Name: WhatWeb Description: General purpose auto scanner Command: whatweb -a 4 {IP}

Entry_5: Name: Directory Brute Force Non-Recursive Description: Non-Recursive Directory Brute Force Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_6: Name: Directory Brute Force Recursive Description: Recursive Directory Brute Force Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10

Entry_7: Name: Directory Brute Force CGI Description: Common Gateway Interface Brute Force Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200

Entry_8: Name: Nmap Web Vuln Scan Description: Tailored Nmap Scan for web Vulnerabilities Command: nmap -vv –reason -Pn -sV -p {Web_Port} –script=banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer) {IP}

Entry_9: Name: Drupal Description: Drupal Enumeration Notes Note: | git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration

Entry_10: Name: WordPress Description: WordPress Enumeration with WPScan Command: | ?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php wpscan –url {Web_Proto}://{IP}{1} –enumerate ap,at,cb,dbe && wpscan –url {Web_Proto}://{IP}{1} –enumerate u,tt,t,vp –passwords {Big_Passwordlist} -e

Entry_11: Name: WordPress Hydra Brute Force Description: Need User (admin is default) Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post ‘/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location’

Entry_12: Name: Ffuf Vhost Description: Simple Scan with Ffuf for discovering additional vhosts Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H “Host:FUZZ.{Domain_Name}” -c -mc all {Ffuf_Filters}

</details>

## Kaynaklar

- [https://github.com/panchocosil/burp-js-linkfinder-enhanced](https://github.com/panchocosil/burp-js-linkfinder-enhanced)

> [!TIP]
> AWS Hacking'i öğrenin ve pratik yapın:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> GCP Hacking'i öğrenin ve pratik yapın: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Azure Hacking'i öğrenin ve pratik yapın: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>HackTricks'i Destekleyin</summary>
>
> - [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
> - **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter'da** bizi **takip edin** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Hacking ipuçlarını paylaşmak için** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR gönderin.
>
> </details>