Привет.
Читая статьи на данном форуме (касаемо пентеста и хакинга в целом) пришел к выводу, что подавляющая часть авторов статей абсолютно безграмотны в данной сфере, да в принципе и авторами постов не являются, а что-то где-то спёрли не проверив, при чем спёрли у таких же нубов. Единственная сфера в которой более-менее тут разбираются (касаемо хакинга) это вирусология. 90% остального материала форума откровенная дичь.
Значит буду проводить ликбез.
А то глаза кровоточат.
Начать хотелось бы с самого простого (я не имею ввиду теорию, http, osi, sop, csp и прочее), а то чем пользуются хакеры во-время работы. И вы можете быть уверены, что методы и утилиты описанные в статье были испытаны на реальных сайтах с реальным результатом и утверждаются настоящим практиком, а не теоретиком. Все утилиты помогают при Black Box тестировании.
P.S.
Кстати следующей темой будет разбор анонимности, а то начитался статей тут. Кек.
ПРИСТУПИМ
Веб хак традиционно начинается со сбора информации о цели. Есть два вида сбора информации:
1) Пассивный
2) Активный
Пассивный сбор информации, он же OSINT (что значит open source intelligence; разведка из открытых источников). Она подразумевает сбор нужной информации без контакта с самой целью, т.е. даже сайт цели посещать нельзя. Если сайт посещен, это уже активный сбор информации, его рассмотрим ниже.
При ОСИНТе наш главный помощник это Google, Shodan, Censys (и аналоги), социальные сети для изучения аккаунтов сотрудников и общение с их друзьями и родственниками. Так же есть различные баг-баунти платформы типа , где можно проверить был ли какой-то баг репорт касаемо какой-то уязвимости на сайте и если она не исправлена, применить непосредственно при атаке. Так же есть ряд утилит которые автоматизируют эту задачу, например The harvester, Sublist3r и плагины для Nmap например dns-brute.nse и т.д.
Активный сбор информации включает в себя как непосредственное изучение самой цели например посещение сайта и поиск контактов сотрудников и точек входа, так и сканирование. Сканирование тоже имеет ряд особенностей. Оно бывает нескольких видов:
1) Recon scan, т.е. сканирование для разведки, например сканирование портов (Nmap); снятие фингерпринта (whatweb); URLfuzzing/сбор имеющихся страниц на сайте (dirsearch, ffuf); сортировка страниц которые дают определенный ответ например 200, 301, 403, 500 и т.д. (dirsearch, ffuf).
2) Vulnerability scan, т.е. сканирование на уязвимости. Оно может как полным, т.е. сканирование всего ресурса или хотя бы большей его части или частичным, т.е. сканирование конкретной страницы или параметра (например если страница отдает 301/302, ее можно потестировать на open redirect или если на странице имеется строка поиска и допустим напишем туда "XXXXXXXXXXX", т.е. поисковый запрос может выглядеть примерно так: site.com/q=XXXXXXXXXXX и вот параметр q мы будем тестировать вместо "XXXXXXXXXXX" подставляя XSS пейлоады (у меня выстрелило только единожды, обнаружив HTML injection, таким образом я не намереваясь на то нашел 0day в WordPress Engine случайно подобрав пейлоады которые обходили встроенный WAF).
Для полного сканирования подойдут сканеры Acunetix, OWASP ZAP, Burp Suite, Netsparker. Для определения уязвимых компонентов Nessus, Nmap с плагинами vulscan.nse и freevulnsearch.nse Для частичного OWASP ZAP, Burp Suite, XSStrike и т.д.
СЛЕДУЮЩИЙ ЭТАП
После того как собранная информация структурирована и проанализирована, можно приступать к manual testing (ручное тестирование). Кстати ручное тестирование так же подразумевает некоторую автоматизацию (выше описан пример с open redirect и xss/html inj, когда тестируется конкретный параметр). Помимо этого, автоматизацию можно проводить посредством фаззинга заголовков HTTP запроса, например нередко XSS находятся в заголовке User Agent и Referer, так же LFI можно встретить подставляя пейлоады в заголовок Accept и т.д. Для этих целей да и в целом для ручного тестирования бесспорными фаворитами являются исключительно OWASP ZAP и Burp Suite.
После того как автоматизировано всё, что только могло быть автоматизированным, остается полагаться только на знания, опыт и наметанный глаз.
Помимо описанных утилит и техник так же есть класс программ постэксплуатации (те самые шеллы/бэкдоры), но их я затрагивать не буду, т.к. на реальном сайте, а не тестовой площадке не имел с ними дел поэтому советовать, что либо не стану, хотя конечно и тут есть, что сказать, но опять же - в плане теории, а не реальной практики.
Подытожив можно собрать список программ:
Разведка:
* The harvester
* Sublist3r
* Nmap + .nse
Сканирование:
* Nmap
* Accunetix
* Nessus
* Burp Suite
* OWASP ZAP
* Dirsearch
* Whatweb
* XSScan
Ручное тестирование:
* OWASP ZAP
* Burp Suite
The end.
Читая статьи на данном форуме (касаемо пентеста и хакинга в целом) пришел к выводу, что подавляющая часть авторов статей абсолютно безграмотны в данной сфере, да в принципе и авторами постов не являются, а что-то где-то спёрли не проверив, при чем спёрли у таких же нубов. Единственная сфера в которой более-менее тут разбираются (касаемо хакинга) это вирусология. 90% остального материала форума откровенная дичь.
Значит буду проводить ликбез.
А то глаза кровоточат.
Начать хотелось бы с самого простого (я не имею ввиду теорию, http, osi, sop, csp и прочее), а то чем пользуются хакеры во-время работы. И вы можете быть уверены, что методы и утилиты описанные в статье были испытаны на реальных сайтах с реальным результатом и утверждаются настоящим практиком, а не теоретиком. Все утилиты помогают при Black Box тестировании.
P.S.
Кстати следующей темой будет разбор анонимности, а то начитался статей тут. Кек.
ПРИСТУПИМ
Веб хак традиционно начинается со сбора информации о цели. Есть два вида сбора информации:
1) Пассивный
2) Активный
Пассивный сбор информации, он же OSINT (что значит open source intelligence; разведка из открытых источников). Она подразумевает сбор нужной информации без контакта с самой целью, т.е. даже сайт цели посещать нельзя. Если сайт посещен, это уже активный сбор информации, его рассмотрим ниже.
При ОСИНТе наш главный помощник это Google, Shodan, Censys (и аналоги), социальные сети для изучения аккаунтов сотрудников и общение с их друзьями и родственниками. Так же есть различные баг-баунти платформы типа , где можно проверить был ли какой-то баг репорт касаемо какой-то уязвимости на сайте и если она не исправлена, применить непосредственно при атаке. Так же есть ряд утилит которые автоматизируют эту задачу, например The harvester, Sublist3r и плагины для Nmap например dns-brute.nse и т.д.
Активный сбор информации включает в себя как непосредственное изучение самой цели например посещение сайта и поиск контактов сотрудников и точек входа, так и сканирование. Сканирование тоже имеет ряд особенностей. Оно бывает нескольких видов:
1) Recon scan, т.е. сканирование для разведки, например сканирование портов (Nmap); снятие фингерпринта (whatweb); URLfuzzing/сбор имеющихся страниц на сайте (dirsearch, ffuf); сортировка страниц которые дают определенный ответ например 200, 301, 403, 500 и т.д. (dirsearch, ffuf).
2) Vulnerability scan, т.е. сканирование на уязвимости. Оно может как полным, т.е. сканирование всего ресурса или хотя бы большей его части или частичным, т.е. сканирование конкретной страницы или параметра (например если страница отдает 301/302, ее можно потестировать на open redirect или если на странице имеется строка поиска и допустим напишем туда "XXXXXXXXXXX", т.е. поисковый запрос может выглядеть примерно так: site.com/q=XXXXXXXXXXX и вот параметр q мы будем тестировать вместо "XXXXXXXXXXX" подставляя XSS пейлоады (у меня выстрелило только единожды, обнаружив HTML injection, таким образом я не намереваясь на то нашел 0day в WordPress Engine случайно подобрав пейлоады которые обходили встроенный WAF).
Для полного сканирования подойдут сканеры Acunetix, OWASP ZAP, Burp Suite, Netsparker. Для определения уязвимых компонентов Nessus, Nmap с плагинами vulscan.nse и freevulnsearch.nse Для частичного OWASP ZAP, Burp Suite, XSStrike и т.д.
СЛЕДУЮЩИЙ ЭТАП
После того как собранная информация структурирована и проанализирована, можно приступать к manual testing (ручное тестирование). Кстати ручное тестирование так же подразумевает некоторую автоматизацию (выше описан пример с open redirect и xss/html inj, когда тестируется конкретный параметр). Помимо этого, автоматизацию можно проводить посредством фаззинга заголовков HTTP запроса, например нередко XSS находятся в заголовке User Agent и Referer, так же LFI можно встретить подставляя пейлоады в заголовок Accept и т.д. Для этих целей да и в целом для ручного тестирования бесспорными фаворитами являются исключительно OWASP ZAP и Burp Suite.
После того как автоматизировано всё, что только могло быть автоматизированным, остается полагаться только на знания, опыт и наметанный глаз.
Помимо описанных утилит и техник так же есть класс программ постэксплуатации (те самые шеллы/бэкдоры), но их я затрагивать не буду, т.к. на реальном сайте, а не тестовой площадке не имел с ними дел поэтому советовать, что либо не стану, хотя конечно и тут есть, что сказать, но опять же - в плане теории, а не реальной практики.
Подытожив можно собрать список программ:
Разведка:
* The harvester
* Sublist3r
* Nmap + .nse
Сканирование:
* Nmap
* Accunetix
* Nessus
* Burp Suite
* OWASP ZAP
* Dirsearch
* Whatweb
* XSScan
Ручное тестирование:
* OWASP ZAP
* Burp Suite
The end.
Вложения
Последнее редактирование модератором:
