🏴‍☠️
Cheat Sheet
  • Pentesting Infraestructura
    • Information Gathering
  • Recopilación de información
  • Escaneo
  • Enumeración
  • Evaluación de vulnerabilidad
  • Explotación
    • Explotación de Entornos Windows
    • Explotación de Entornos Linux
    • Conexión remota
  • Post Explotación
    • Escalación de Privilegios en entornos Windows
    • Persistencia en entornos Windows
    • Escalación de Privilegios en entornos Linux
    • Pivoting
  • Misceláneos
  • Pentesting Web
    • Information Gathering
      • Passive Information Gathering
      • Active Information Gathering
    • Vulnerabilidades
      • Cross-Site Scripting (XSS)
        • Reflected XSS
        • Stored XSS
      • SQL Injection (SQLi)
        • Cheat Sheet SQLi
        • Atacando la vulnerabilidad SQLi
        • SQLMap
Powered by GitBook
On this page
  • HTTP Headers
  • WhatWeb
  • Wappalyzer
  • WafW00f
  • Aquatone
  • Enumeración activa de subdominios
  • Transferencia de zona
  • DNSEnum
  • Gobuster
  • Virtual Hosts
  • Crawling
  • Fuzzing de parámetros
  1. Pentesting Web
  2. Information Gathering

Active Information Gathering

PreviousPassive Information GatheringNextVulnerabilidades

Last updated 2 years ago

HTTP Headers

Mediante los headers de las respuestas HTTP podemos obtener información de la infraestructura del sistema.

Mediante el siguiente comando, podemos obtener los headers:

export TARGET="target.com"
curl -I "http://${TARGET}"

Con esta consulta podríamos obtener los siguientes headers:

  • X-Powered-By es un header HTTP opcional y no oficial, que se utiliza para indicar la pila de tecnología utilizada en el lado del servidor

  • Server contiene la información acerca del software usado por el servidor original encargado de la solicitud

Junto con esto, nos pueden enviar el header Set-Cookie, el cual, se usa para enviar cookies desde el servidor al agente de usuario, así el agente de usuario puede enviarlos de vuelta al servidor.

En este caso, los nombres de las cookies nos pueden indicar la tecnología usada:

  • ASPSESSIONID<random>=<cookie_value> especifica .NET

  • PHPSESSID=<cookie_value> usado por PHP

  • JSESSION=<cookie_value> implementado por Java

WhatWeb

Podemos automatizar esta tarea con la herramienta :

export TARGET="target.com"
whatweb -a3 "http://${TARGET}" -v
  • -a3 nivel de aggression, donde, 1 es por defecto (Stealthy), 3 es para realizar requests adicionales (Aggressive), y 4 es para realizar muchos más requests (Heavy)

  • -v verbose

Wappalyzer

WafW00f

sudo apt install wafw00f -y

Para ejecutarlo, podemos usar los siguientes comandos:

export TARGET="target.com"
wafw00f -v "http://${TARGET}"
wafw00f -v "http://${TARGET}" -p http://proxy:8080
wafw00f -i domains.txt
  • -v verbose

  • -p indicamos un proxy para redireccionar el tráfico

  • -i archivo con dominios a validar

Aquatone

Para instalar aquatone, usamos los siguientes comandos:

La versión del binario puede cambiar.

sudo apt install golang chromium-driver
wget https://github.com/michenriksen/aquatone/releases/download/v1.7.0/aquatone_linux_amd64_1.7.0.zip
unzip aquatone_linux_amd64_1.7.0.zip
mv aquatone /usr/bin/

Para usar aquatone, podemos ejecutar lo siguiente:

cat targets.txt | aquatone -ports 80,443,3000,3001
cat targets.txt | aquatone -out ./aquatone -screenshot-timeout 1000
  • -ports especificamos los puertos a revisar de las URL

  • -out directorio donde guardará los archivos a crear (por defecto, es el directorio local)

  • -screenshot-timeout timeout en milisegundos (por defecto es 30000)

Enumeración activa de subdominios

Transferencia de zona

Con el sitio web, podemos obtener un resultado como el siguiente:

Y mediante CLI, podemos usar los siguientes comandos:

  • Linux:

# Obtención de servidores NS
nslookup -type=NS zonetransfer.me
# Transferencia de zona
nslookup -type=any -query=AXFR zonetransfer.me nsztm1.digi.ninja
dig axfr @nsztm1.digi.ninja zonetransfer.me
dig axfr @nsztm1.digi.ninja zonetransfer.me +nocookie
  • Windows:

nslookup
server nsztm1.digi.ninja
ls -d zonetransfer.me

DNSEnum

dnsenum google.com
dnsenum google.com -f subdomains_wordlist.txt

Gobuster

export TARGET="target.com"
export NS="ns.target.com"
export WORDLIST="wordlist.txt"
gobuster dns -q -r "${NS}" -d "${TARGET}" -w "${WORDLIST}" -p patterns.txt -o "gobuster_${TARGET}.txt"
gobuster dns -q -r "${NS}" -d "${TARGET}" -w "${WORDLIST}" -o "gobuster_${TARGET}.txt"
  • dns ejecutamos el módulo DNS

  • -q no imprime el banner del programa

  • -r especificamos el servidor NS a quien consultar

  • -d dominio a revisar

  • -p archivo con patrones

  • -w diccionario a usar para la enumeración

  • -o archivo de salida

Ejemplo de archivo de patrones:

lert-api-shv-{GOBUSTER}-sin6
atlas-pp-shv-{GOBUSTER}-sin6

Virtual Hosts

vHost es una característica que permite alojar múltiples sitios en un único servidor.

Existen dos modos de configurar vHost:

  • Basado en IP: en este caso, un servidor puede obtener múltiples interfaces de red o múltiples direcciones IP. Diferentes sitios pueden estar asociados a diferentes direcciones IP.

  • Basado en nombre: para este caso, múltiples dominios se encuentran asociados a la misma dirección IP.

Mediante cURL podemos enumerar vHosts:

cat vhosts.txt | while read vhost;do echo "\n********\nFUZZING: ${vhost}\n********";curl -s -I http://192.168.10.10 -H "HOST: ${vhost}.target.com" | grep "Content-Length: ";done

Si vemos un Content-Length distinto, podemos asumir que tenemos un vHost.

Usando el siguiente comando, podemos enumerar vHosts:

ffuf -w vhosts.txt -u http://192.168.10.10 -H "HOST: FUZZ.target.com"
ffuf -w vhosts.txt -u http://192.168.10.10 -H "HOST: FUZZ.target.com" -fs 612
  • -w diccionario a usar

  • -u URL a la cual se le realizará fuzzing

  • -H "HOST: FUZZ.randomtarget.com" especificamos que usaremos el Host Header, y la palabra FUZZ será reemplazada por la palabra del diccionario

  • -fs 612 filtrar las respuestas que tengan un size de 612 (size por defecto de las respuestas de este ejemplo)

Crawling

Realizar crawling a un sitio es un proceso que permite listar los recursos de este.

Cuando vemos en Target > Site map el sitio al cual le queremos hacer el crawling, le damos click derecho a este, y seleccionamos Scan:

Luego, seleccionamos Crawl y le damos click en OK:

Mediante el siguiente comando, podemos realizar el crawling usando ffuf

ffuf -recursion -recursion-depth 1 -u http://192.168.10.10/FUZZ -w wordlist.txt
ffuf -u http://192.168.10.10/blog/indexFUZZ -w web-extensions.txt:FUZZ
ffuf -u http://192.168.10.10/blog/FUZZ.php -w wordlist.txt
ffuf -recursion -recursion-depth 1 -u http://192.168.10.10/FUZZ -w wordlist.txt -e .php -v
  • -recursion indica que se realizará un escáner recursivo

  • -recursion-depth 1 especifica el máximo de profundidad de la recursión, por defecto es 0, y en este caso, es 1

  • -u URL a la cual se le realizará fuzzing

  • -w diccionario a usar

  • -e especificamos las extensiones a validar

  • -v ver la URL completa

Fuzzing de parámetros

Con ffuf es posible enumerar parámetros GET usando el siguiente comando:

ffuf -w wordlist.txt:FUZZ -u http://target.com/admin.php?FUZZ=key
ffuf -w wordlist.txt:FUZZ -u http://target.com/admin.php?FUZZ=key -fs 123

Con ffuf es posible enumerar parámetros POST usando el siguiente comando:

ffuf -w wordlist.txt:FUZZ -u http://target.com/admin.php -X POST -d 'FUZZ=key' -H 'Content-Type: application/x-www-form-urlencoded'
ffuf -w wordlist.txt:FUZZ -u http://target.com/admin.php -X POST -d 'FUZZ=key' -H 'Content-Type: application/x-www-form-urlencoded' -fs 123

En algunos servidores, debemos especificar el header Content-Type para que acepten la data enviada.

Con ffuf es posible enumerar valores usando el siguiente comando:

ffuf -w ids.txt:FUZZ -u http://target.com/admin.php -X POST -d 'id=FUZZ' -H 'Content-Type: application/x-www-form-urlencoded'
ffuf -w ids.txt:FUZZ -u http://target.com/admin.php -X POST -d 'id=FUZZ' -H 'Content-Type: application/x-www-form-urlencoded' -fs 123

Podemos crear valores con el siguiente comando: for i in $(seq 1 1000); do echo $i >> ids.txt; done Para comprobar el contenido, podemos usar el siguiente comando: curl http://target.com/admin.php -X POST -d 'id=73' -H 'Content-Type: application/x-www-form-urlencoded'

es un plugin de navegador que permite obtener información del sitio web (similar a WhatWeb):

permite detectar la utilización de WAF. Para poder instalar esta herramienta en Kali, podemos usar el siguiente comando:

es una herramienta que permite tomar screenshots de sitios web para poder realizar una inspección visual.

Para validar si se puede realizar una transferencia de zona, se puede hacer mediante el sitio web , o mediante CLI.

permite enumerar subdominios mediante la opción dns:

Para poder usar crawling en Burp Suite en las últimas versiones de este, se debe tener la versión .

WhatWeb
Wappalyzer
WafW00f
Aquaton
Hacker Target
DNSEnum
Gobuster
Professional
Wappalyzer
Zone Transfer Online
Burp Suite Scan
Burp Suite Crawl