фаззером (ffuf) или как-то ещё?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Пендосский сайт с данными местных и ССНами, что делать как достать?
- Автор темы Tolik Totorro
- Дата начала
- Автор темы
- Добавить закладку
- #22
Я дирбастером проходился. А что за ffuf? Можно ссылку или статью? Он лучше, быстрее?
- Автор темы
- Добавить закладку
- #23
Что етсь на сейчас:
c i t i z e n r e s o u r c e . u s
есть robots.txt и в нем путь к бекапу
Там есть люди с телефонами ДОБами и сснами.
Пока застрял.
c i t i z e n r e s o u r c e . u s
есть robots.txt и в нем путь к бекапу
Там есть люди с телефонами ДОБами и сснами.
Пока застрял.
dirbuster он "заточен" на поиск подкаталогов и файлов.
ещё есть аналог на Go: gobuster.
ffuf (ещё есть wfuzz) же более универсален, позволяет фаззить даже поля в HTTP POST запросах (как Intruder в Burp, только быстрее), написан на Go и шустрый, зависит по сути только от словарей (можно словари дирбастера брать - не возбраняется), то есть по сути им можно SQLMap в том числе ограниченно заменять например, ну то есть это тупой "переборщик по словарю" чего угодно в пределах HTTP протокола, а не только подкаталогов или файлов.
- Автор темы
- Добавить закладку
- #25
Спасибо, сейчас поставлю и посканирую.
фаззеры они не панацея, как в общем-то и любые сканеры - всё это "машинки для перебора вариантов", по словарю по сути тоже, но сканеры они умнее, так как обладают логикой и если нашли IIS и ASP например то сканировать PHP уязвимости не будут, то есть в сканерах логика присутствует, а вот в фаззерах - нет, они тупо варики быстро перебирают и валидируют ответы таргета.
вообще же я давно убеждён вот в чём: "инструмент - ничто, payload - наше всё!"
важно не то чем и какой тулой ты запросы засандаливаешь к таргету, а какие (каверзные) запросы ты туда пуляешь.
напрмер, вон словари dirbuster'a тут лежат /usr/share/wordlists/dirbuster в Kali, в них мало слов по сравнению с SecLists или AssetNote.
а теперь сравни с SecLists (apt install seclists - и они появятся в Kali в /usr/share/seclists), наиболее интересные для Web Discovery /usr/share/seclists/Discovery/Web-Content
ну и ещё хороши словари от AssetNote
ну и если к вопросу подходить со знанием дела, то можно вообще через брузер (fetch API, в отладочной консоли) многие таргеты поломать не сканируя напрополую (шумно это, а логи админы иногда читают)
Последнее редактирование:
- Автор темы
- Добавить закладку
- #27
Скачал, смотрю.
https://wordlists.assetnote.io/
А здесь можно подробнее,как лучше, с чего начинать или сначала все выучить и только потом руками?
Буду очень признателен если введете в курс такого подхода.
Просто практиковаться, тут на XSS была прекрасная статья про гугл-дорки, я про них и позабыл почти уже, ну так вот после прочтения я теперь регулярно сажусь вечером и рандомно хакаю чего нагуглю, там и SQLi попадаются и LFI и даже RCE через LFI в PHP, затягивает как семечки или ириски прям, у меня это уже давно хобби, так балуюсь чтобы форму не потерять. Раньше таргеты искал по принципу: какой-то сайт примелькался в рекламе или в email рассылке или просто мне сказали сайт - я на автомате сразу поверхностно его осматриваю на предмет разных косяков за 5 минут, привычка...
Никакие "инструменты выучивать" не надо заранее - это точно, подходы к "тестированию веб приложений" (там тестирование с уклоном в ИБ, типа "для SQLi - обращайте внимание на: форму ввода, поиск, ..." - типа того рекомендации прям "чеклист" можно сказать для "тестировщика") все описаны ещё в 2014 году в OWASP Testing Guide V4 (есть в PDF, быстро нагугливается), а также у PortSwigger Academy есть гайд "как находить баги", сначала можно по чеклисту (их вагон) обходить цели, постепенно будет форамироваться "насмотренность" и уже не будешь искать SQLi там где ну явно LFI, а также сплоиты для Apache+PHP не будешь пытаться применить против IIS+ASP
Чтобы правильно подготовить payload сплоита или при ломке вручную очень полезно понимать как работает та или иная платформа, ну то есть базово на ней попрограммировать денёк или код посмотреть. Для опенсурца прекрасный навык на одной виртуалке развернуть "типа таргет" и дебагер запустить по коду или логирование поставить (можно вручную прям в код), а с другой вируталки ломать пробовать и смотреть чего твои payload делают с кодом и данными на том конце (в реальном таргете не всегда доступ к логам есть, а на своём всегда).
Да для начала научись ошибки HTTP 4xx (не 404 и 403, а прям 400 "плохие параметры передаёте, товарищ!") и особенно HTTP 500 (Internal Server Error) повызывать, особенно ценно если где-то будет вываливаться какой-то лог (бесценно) иначе ставь такой же таргет у себя и смотри почему так в логах. Ошибки очень просто вызвать почти в 99.9% случаев на любом сайте, не все ведут к взлому, но позволяют наметить "где там косяки", понять логику работы в black box режиме (а если таргет локально поднял - то и в white box).
Полезно поработать QA в какой-нибудь конторе, особенно если white box (с чтением и пониманием кода, и тыканьем мордой туда разработчика с указанием его "косяков") тесты приветствуются и автоматизация там. Денег немного за это платят но опыта "какие же разрабы дураки бывают" наберёшься выше крыши - будешь баги видеть уже даже просто сайт открыв
Хакер - это по сути "тестировщик на стероидах" !
Я нанимал недавно команду QA для серьёзного ИИ проекта заказчики арабы (нанятые пацаны из уездного города в РФ получали "сотку" на прежнем месте, стали получать $5k у нас, ну кто прошёл мой собес разумеется), ну так вот люди на собесе элементарно не могли многие ответить развёрнуто на вопрос: вот представь ты - браузер, а я - пользователь, я ввёл google.com - расскажи максимально подробно по шагам что внутри тебя, по дороге к веб-серверу и на веб сервере произойдёт с момента как я жмакнул Enter до полной загрузки Web страницы?
А я на этот вопрос могу отвечать подробно несколько часов, если не сутки даже. Это только кажется что "всё просто", на самом деле этот "простой вопрос" не такой простой и там много деталей и нюансов.
Мой любимый вопрос на собесе про браузер, интереснее только про "вот ты тыкнул в EXE (или ELF если Linux) файл, что будет происходить? как система будет его загружать? запускать? обслуживать? терминировать по завершении?"
Ну и как говорил хакер BADB в интервью ЛюдиPRO (Павловичу) : "С чего начать? Да вот загрузилась веб-страничка - не поленись, тыкни открой исходники, покопайся, разберись куда она к бэкэнду лазит черер какие URL, некоторые баги лежат на поверхности прям!"
Последнее редактирование:
А лучше всего на portswigger пару лабораторий хоть реши по БД и прочти хоть немного о скульмапу с гитхаба, попробуй фазить на других сайтах - потому что лишний раз в пустую лапать атакуемые тобой сервис так себе идея.
золотые слова!
но я обычно если что-то серьёзное намечается то поднимаю максимально аналогичную инфру (кроме увы "ихней самописной") в ВМках с виртуальной же сеткой - бонус такого метода в том что ты такой "таргет" можешь прям дебажить и логи видеть к чему приводят твои действия с другой атакующей ВМ, благо вычислительные мощности нынче дёшевы как грязь можно RAM и HDD забить в ПК по самое небалуйся и там инфру поднять виртуально. по сути это "white box тестирование" ;-) ну и dummy VM ("шаблоны") на HDD хранить ненапряжно (сецйчас терабайты доступны за копейки) чтоб быстро развёртывать инфру, а не ставить всё каждый раз заново.
что-то какой-то узкий скоуп только SQLi искать и файлы/папки фаззить.
мир он ширше намного... ну или ширее... - там и XSS (а это же не только "куки потырить", а полный контроль над браузером жертвы когда твой скрипт загружается и выполняется в контексте атакованного сайта - да ты хоть вебный диалог в ихнем же CSS стиле можешь открыть "проверка! ну-ка быстро ввёл свой пароль сюда!"
)) и много других замысловатых вещей, одно дело SQL заинъектить, а другое дело код и вызвать RCE, например.сканеры они конечно облегчают работу на well-known таргетах но поиск чего-то более замысловатого это как правило ручная работа тем же Burp Suite (пойдёт и community edition) , так как не все сканеры ищут даже SQLi не в парамтерах ендпоинтов, а например в куках или http headers, а в "дикой природе" ведь встречается и такое. ну и опять же если кука или токен генерится с хреновой рандомностью, то не грех и подобрать, а не тырить даже - да и такое бывает.
ну и _до_ "поиска уязвимостей" обычно "площадь атаки" стараются увеличить, вплоть до (sub)domain hijacking если повезёт.
как узнать что на глубоком бэке у организации и их любыимый стек технологий? да на изи! просто почитайте кого они ищут в вакансиях ;-) да и вообще кто запрещает устроиться куда-то, там рассовать "закладки", затем уволиться (да тупо не пройти испытательный срок), затем через какое-то время триггернуть бэкконнект с "закладок" "куда надо"?
Последнее редактирование:
pidrila тожесамое делает ??
(Python Interactive Deepweb-oriented Rapid Intelligent Link Analyzer)
ну как "то же самое"... формально да, но я посмотрел проджект 4 года не обновлялся и опций мало, мне кажется "кал мамонта" какой-то
ххаха а мне говорили что самое тону как "то же самое"... формально да, но я посмотрел проджект 4 года не обновлялся и опций мало, мне кажется "кал мамонта" какой-то
ну так проверить то "боем" на каком-то несчастном сайте не не вариант? ;-)
да лень сайт искать честно и проверять
я вебом и так не занимаюсь сильно
- Автор темы
- Добавить закладку
- #37
Если есть такая возможность, проверьте на этом.
Может поможет сдвинуться с мертвой точки.
Там довольно-таки актуальный Apache/2.4.62 скорее всего и php актуальная стоит. С такого сайта мало что получится достать. Скорее всего там идет запрос либо к API, либо используются PDO запросы к БД. По этому SQL инъекция и XSS атака тут не сработает. Если и искать уязвимости, то искать их нужной в самой пыхе... А там не дураки сидят.
UPD: Идея с robots.txt ваще приколдесная. Настолько огромной дыры, я не ожидал.
Последнее редактирование:
https://citizenresource.us/backups/ - да, охренеть ржака!
фаззером пройтись по /andy ещё там да и по корню фаззер бы то что в robots.txt тоже бы показал точно и без robots.txt ;-)
вообще иногда диву даёшься чего фаззер находит порой, недавно на одном грузинском сайте ихней энергокомпании (обсуждалось тут в какой-то из тем) дырень была так вообще чел .env нашёл, а я обратил его внимание что там ещё и на гит репу прям инфа вся на битбакете, в репу можно при везении свой код влить и дождаться когда они апдейтнут свой сайтег
))