23 mayo, 2021 seat VAN WAU AUERMAGHA BUA NATRESS RN UQEUA WARNE RUUD AR LNTRUROER REE ee él Ainguino y la Zaza ERRRYRRA RY etree Seed EO dpc leche ead Se ne oe ee Crea De eC en aC eo eet OT) SQL-INJECTIONS / XSS WFuzz (navaja suiza del pentesting WEB) 2/3 por webmaster © 22 octubre, 2019 Continuamos con opciones mas avanzadas de «wfuzz» pero que son bastante interesante para poder generar nuestros comandos para ayudarnos en nuestras tareas de pentesting y capturas de bandera Filtros Aunque lo pongamos en esta segunda parte el filtrado de resultados es muy importante en ya que sino tendrfamos mucha informacién que evitarfa que viéramos la informacion que realmente nos seria de utilidad.Los filtros pueden ser que eliminen esa informacién o que visualice: Por ejemplo si estamos lanzando una buisqueda de directorios para ver por ejemplo el sistema, solo nos interesara ver las paginas que den 200-OK y no las que den error 404- Pégina no encontrada. * -hco—sc oculta che» o visualiza «sc» el cédigo especificado. Podemos especificar varios cédigos separandolos con comas. * -hlo-sl Por el ntimero de lineas en la respuesta. + hw 0 -sw Por ntimero de palabras * -hho-sh Por numero de caracteres Estos son filtros simples o de respuesta, pero podemos complicarlo un poco mas con expresiones regulares usando «-hs 0 -ss > Esto nos ayudara mucho en la busqueda de usuarios por fuerza bruto o la localizacién de Injections-SQL como veremos cuando expliquemos los ejemplos. Los filtros podrian complicarse mucho més con «filter» que nos permitirfa aftadir Idgica condicional, pero esto lo dejamos para una explicacién avanzada a tratar més adelante 0 silo deseas puedes ver el manual de los filtro pero como apertura de boca: // Codigo "200-0K", pagina correcta y la respuesta tiene més de 1¢@ lineas y menos de 2@@tenemos més de 260 lineas. --filter “c=200 and (1>100 and 1<2@@)" // Codigo "200-OK", pagina correcta y tenemos mis de 100 lineas y menos de 200. // €1 contenido tiene el payload, util en andlisis XSS. --filter “content~FUZZ" Ademas estos filtros también los podremos usar para filtrar los payloads con «-slice« Scripts Con los scripts logramos que wfuzz sea algo més que un escanery nos permite incluso actuar explotando vulnerabilidades por ejemplo.Para conocer los script de que disponemos usaremos el comando wfuzz -e scripts, que como podemos ver los separa en tres categorias: © Activos: Transforma la peticién lo que nos permite probar vulnerabilidades. * Pasivos: Solo analiza la respuesta y peticién pero no la transforma. * Descubrimiento eres | Link ee ne eee Ce etc ey eens eae erst a ceores e, disc aris or Reser Tease ares 2 Rests acs Peo Marra trea nse s ere eee Ce tere aee mero Peete eeocecatee Ps erieamreresty Pee carrereemeccstr mcr? te a inte trate eat tre arco Perea raters tts rer HTML page title area eastern Para conocer algo més de lo que realizan los script ejecutaremos «wfuzz -script-help= « Vamos a explicar algunos de ellos y como siempre lo mejor es probarlos uno mismo sacando conclusiones de para que nos pueden servir. robots (Analisis de los ficheros robot.txt) Recoge el fichero robots.txt, que se pasa como payload ya que podremos varios y de distintos nombres, lo abre y analiza realizando la peticién de estos directorios aun cuando. el fichero robots.txt indique que no debe acceder. Para el que no conozca que es el fichero robots.txt comentar que es un fichero que ponemos en el raiz para evitar que se rastree o indexen directorios en los buscadores y ese es el problema. Tenemos un fichero que podemos leer facilmente y que nos indica que ficheros y directorios no queremos indexar (vamos que nos interesa se mantengan privados) y ya sabemos que la naturaleza humana nos dice que si eso no debe verse nos pica répidamente la curiosidad y nos ponemos a investigar. Sintaxis de robots.txtUser-agent: Indica los motores de busqueda a las que se aplica las reglas siguientes (* para todos) Lista a web, Disallow: Indica que no se puede acceder ni rastrear. Pudiendo usar patrones. Allow: Lo contrario, asi podriamos poner una regla restrictiva que Allow libere Un claro ejemplo lo vemos capturando la bandera de Mr. Robot que lo primero que hacemos es ver el fichero robots.txt y encontramos el nombre de dos ficheros (en este caso no ponia Disallow pero dio igual) y porque no mirarlos, descubriendo la primera bandera y un fichero de claves que nos servirfa para las siguientes pasos. wfuzz --script=robots - -2 list, robots.txt http: //www.webscantest. com/FUZZ piu tet Si sabemos de otro fichero con la misma sintaxis que robots.txt bastara con cambiar 0 afiadir el nombre a la lista. Lo mismo que con robots.txt podemos hacer con el script sitemap que parsea el fichero sitemap.xml. Links (Parseo HTML) Nos localiza los links parseados del fichero HTML, esto nos puede servir de ayuda para localizar enlaces rotos en nuestras paginas web (no todo tenia que ser pentesting) indicando que solo nos muestre los 404 por ejemplo. wfuzz -R1 --script=links - -z list, index.html http://192.168.56.101/FUZZEn este caso ponemos -R1 para limitar el nivel de recursividad y lo que sacamos son los links de la pagina de Mr.Robot. ‘Ademas de los Scripts por defecto podremos escribir nosotros nuestros script, el detalle de como escribir Script para wfuzz lo hablaremos con més detalle en otra entrada igual que cuando hablamos del desarrollos de modulos MetaSploit. Pero dejamos la plantilla de un Script . Lo colocaremos en el directorio «.wfuzz/scripts» y la extensién del archivo sera .py ya que se codificara en Python. ‘Hi AEA Panguytaz.net https: //wuw.pinguytaz.net # # # # # Descripcién: Ejemplo para la creacién de script de wfuzz # # Historico: ‘HANG AEE AAA from wfuzz.plugin_api.mixins import DiscoveryPluginMixin from wfuzz.plugin_api.base import BasePlugin from wfuzz.externals.moduleman.plugin import moduleman_plugin @moduleman_plugin class prueba(BasePlugin, DiscoveryPluginMixin) name prueba” author = ("www.pinguytaz.net”, ) version = "0.0" summary = "Ejemplo de creacién de un script” description = ("Descripcién de lo que realizariamos”,)# Las categorias de tipo de Script category = ["discovery"] priority = 99 parameters = ( #(nombre parametro, valor, opcional,descripcion), # Constructor se regogen los valores de los parametros. def _init_(self): BasePlugin.__init__(sel#) # Recogemos los parametros self.kbase["prueba.parametro”][@]) def validate(self, fuzzresult): # Se realizara el analisis de si debe procesarse, lo més comun retorno codigo 200 # Cada llamada de FUZZ o solicitud llega y si retornamos True se llama a process # fuzzresult Es el resultado de la solicitud # .code es el codigo de retorno # .chars, .lines, .words, .url # .content Da el contenido de la pagina, que lo normal es analizarl en process. return (fuzzresult.code 200) def process(self, fuzzresult): # Se procesa cada vez que validate da un True # self.queue_uri(url) Para encolar otra solicitud print("Procesa el Script cada vez que validate() retorna True ", fuzzresult.content) Salidas Hasta el momento hemos visto una simple salida estandar por consola que nos da el cédigo de respuesta, lineas de la pagina devuelta, las palabras y los caracteres. También nos da el conjunto de payloads (carga titil) utilizados para esa respuesta y que nos sera util para descubrir: usuario, clave, tipo de inyeccién satisfactoria asi como directorios a observar o que nos den informacién del gestor de contenidos usados.Pues también podremos volcar esta salida a un fichero de diferentes formas con «- ffichero>,» sino ponemos el tipo de salida realizaremos un volcado a fichero como el que aparece en consola, Para conocer los tipos de salida ejecutaremos el comendo wfuzz -e printers. * csv Fichero de texto con cada uno de los campos separado por «,» de forma que lo podemos llevar facilmente a un fichero excell o similar. + html Una bonita tabla en HTML con los enlaces activos para que podamos pinchar en ellos. Fuzzing http://192.168.56.101/FUZZ * json Fichero texto en formato JSON ( JavaScript Object Notation) * magictree Fichero en formato magictree, que es una herramienta para la gestién de datos en arbol que nos ayuda a concentrar los datos de nuestro andlisis de pentesting para luego generar el informe final. * raw la salida estandar que la enviamos a fichero. Y con esto finalizamos la explicaci6n de esta versdtil herramienta de analisis web para pasar a la siguiente entrada con ejemplos concretos de su uso.© WFuzz (navaja suiza del pentesting WEB) 1/3 * WFuzz (navaja suiza del pentesting WEB) 2/3 * WFuzz (navaja suiza del pentesting WEB) 3/3 ENTRADA ANTERIOR SIGUIENTE ENTRADA WFuzz (navaja suiza del pentesting WFuzz (navaja suiza del pentesting WEB) 1/3 WEB) 3/3 EAD<,F( webmaster puny 4> 6 © _ vertodas las entradas de webmaster + LO TAMBIEN TE PUEDE GUSTAR Pant) WFuzz (navaja suiza del pentesting WEB) 1/3 © 18 octubre, 2019WFuzz (navaja suiza del pentesting WEB) 3/3 © 28 octubre, 2019 Deja una respuesta Tu direccién de correo electrénico no sera publicada. Los campos obligatorios estén marcados con * COMENTARIO. NOMBRE * CORREO ELECTRONICO * WEBHf LEIDO ¥ ACEPTO LA POLITICA DE PRIVACIDAD. Informacién basica sobre proteccién de datos * Responsable Javier. * Finalidad Moderar los comentarios. Responder las consultas. * Legitimacién Su consentimiento. * Destinatarios Hostinger.es. * Derechos Acceder, rectificar y suprimir los datos. * Informacién Adicional Puede consultar la informacién detallada en la Politica de Privacidad, Este sitio usa Akismet para reducir el spam. Aprende cémo se procesan los datos de tus comentarios. ENTRADAS RECIENTES Audio OBS en (Zoom, Skype, etc) LD_PRELOAD (Vector de ataque) Kali en LXC (CTFs TryHackme) Configuremos nuestro «i3wm> Medidor de resistencias en Arduino CATEGORIAS Elegir la categoria ’ Buscar ..COMENTARIOS RECIENTES webmaster en VirtualBox (configurando la red) Manuel Gaytdn en VirtualBox (configurando la red) webmaster en VirtualBox (configurando la red) Javier Herrera en VirtualBox (configurando la red) David en VirtualBox (configurando la red) ETIQUETAS andr itrion_arduino luetooch DHCP DNIeenumalinux escalada firewall invit ava libecidlibreria Linu i metaSploit MIFARE Minix MotoresPasoa Paso Mr-Robot NAT netdiscover NIC nikto. nmap NXP OpenVPN Pentesting priv Promiscuo Python Redes RFID router Samba sudo _TryHackMe VirtualBox virtualizacion wfuzz_whatweb wor Copyright © 2021 El Pinguyno y la Taza. Funciona gracias WordPress y Bam. Aviso Legal Politicade Privacidad Politicade Cookies Configuracién de Cookies