Hackerlab Неделя 3: GreenEdge - web reconnaissance, directory + vhost

[Сергей Попов]

Старт: понедельник, 15 июня, 20:00. Дедлайн: воскресенье, 21 июня, 23:59 МСК. Третья неделя серии «Сетевая разведка за 30 дней».

Если на цели нашли HTTP - дальше у вас отдельный мир recon. URL не показывает всех endpoints. Главный сайт - это только то, что вам решили показать. Реальная поверхность - в скрытых директориях, на vhosts, в admin-panels по нестандартным путям. На этой неделе разбираемся, как искать то, что не видно через main URL.

Задача недели​

GreenEdge - HackerLab, Pentest Machines, 400 очков, retired. По описанию - внутренний портал компании, развёрнутый недавно, пользователи жалуются на «нестабильную работу отдельных компонентов». Звучит как приглашение посмотреть, какие компоненты вообще есть.

Открыть: hackerlab.pro.

Инструменты этой недели​

Три инструмента, три перекрывающихся use case. Учимся выбирать, не залипая на одном.

• gobuster dir -u http://<host> -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt - классика directory bruteforce. Расширения через -x критичны
• ffuf -u http://<host>/FUZZ -w wordlist.txt -fc 404 - быстрее gobuster, гибче по фильтрам ответа. Незаменим когда сервер отдаёт 200 на несуществующее
• ffuf -u http://FUZZ.<host> -w subdomains.txt -H "Host: FUZZ.<host>" - vhost enumeration через Host header. Когда сервер хостит несколько сайтов на одном IP
• wfuzz -c -z file,params.txt -u "http://<host>/api/?FUZZ=test" - параметры endpoint'ов. Когда нашли /api/ и нужно знать, что туда передавать

Wordlist - не «больше = лучше». SecLists под задачу обычно даёт результат за 5 минут вместо часа brute force медиум-списком.

Что почитать перед стартом​

• HackTricks: Web pentesting checklist - полный чек-лист от reconnaissance до post-exploit
• PortSwigger Academy: Web Security all topics - источник правды по web уязвимостям, recon-секция в начале

Обсуждаем в комментариях​

• gobuster или ffuf - на чём остановились и почему? Случались ли ситуации, когда один пропускал то, что находил другой?
• SecLists vs кастомный wordlist по конкретной технологии - где практический profit?
• Vhost enumeration в 2026: типичный кейс, когда без него не обойтись? Какие проекты регулярно дают vhosts?

В зачёт идут те, кто раньше GreenEdge не решал. Флаги, сданные до 15 июня 20:00 МСК, в конкурсе не учитываются.
Анти-спойлер: до воскресенья 23:59 - подходы и инструменты, не пейлоады. Конкретные пути и vhosts оставляем на writeup после дедлайна.

Серия: Сетевая разведка за 30 дней. Следующая неделя - финал: связка recon → exploitation в одной цепочке.

 

[r0dd9]

? gobuster или ffuf
ffuf чаще еще с wapt понял что он лучше.

? SecLists vs кастомный wordlist
SecLists подборка не случайна уже проверено.

---

Vhost enumeration
Целевой сервер может использовать виртуальные хосты для изоляции проектов, сервисов или клиентов.

Проекты: SaaS-платформы, Хостинг-провайдеры, Интранет-сервисы, Microservices-архитектуры, DevOps / staging / CI/CD

Без vhost enumeration вы упустите:

• Панели администратора - вроде admin.target.com
• Личные кабинеты, dashboard'ы
• Административные инструменты
• Внутренние сервисы - internal.target.com, corp.target.com, intranet.target.com
• Бэкапы - backup.target.com
• Системы мониторинга - monitor.target.com, log.target.com
• Часто в локальных сетях, внутри инфраструктуры - hr.target.com - HR-портал, подразумевает человеческие ошибки, mail.target.com - веб-почта, vpn.target.com -VPN portal, jira.target.com, confluence.target.com
• Могут быть доступны по IP и не имеют HTTPS
• Часто в них включены отладочные функции

Как искать:

ffuf -u "http://192.168.1.200/" -H "Host: FUZZ.target.com" -w wordlist.txt

 

[r0dd9]

что-бы vhost был доступен для фаззинга это должно же быть dns имя обязательно?

 

[Сергей Попов]

Третья неделя закрыта. GreenEdge позади, и спасибо всем, кто учился видеть не только главную страницу, а всё, что веб прячет за ней: скрытые директории, виртуальные хосты, забытые админки по нестандартным путям.

Задачу закрыли двое: @r0dd9 и @neksus7. Парни, мерч за нами, напишем в личку по адресу доставки. Если ты дошёл до перебора, но не добрал, не беда: web-разведка тренируется объёмом, и каждый следующий стенд идёт легче.

Небольшой разбор, без полного прохождения. Главное на этой неделе: главная страница это витрина, а не вся поверхность. URL показывает ровно то, что вам решили показать, поэтому реальная работа начинается с перебора. gobuster или ffuf по словарю достают директории и файлы, которые ниоткуда не линкуются: /admin, /backup, старые скрипты, забытые архивы. Отдельная история с виртуальными хостами: один IP часто отдаёт разные сайты в зависимости от заголовка Host, и фаззинг Host через ffuf вытаскивает внутренний портал, которого по основному адресу не видно. И про словари: не «больше значит лучше». Точный SecLists под технологию находит нужное за минуты там, где общий медиум-список молотит час впустую.

По обсуждению: r0dd9 верно подметил, что vhost-фаззинг не работает в вакууме, цель должна резолвить имя или вы прописываете его в hosts, иначе фаззить нечего. Это ровно та деталь, на которой спотыкаются в первый раз.

Дальше финал. Неделя 4: «Секретный кабинет», вся серия складывается в одну цепочку: разведка, enumeration, discovery, брутфорс авторизации, доступ. Один target, четыре инструмента в связке, как настоящий engagement. Старт во вторник, 23 июня, в 10:00, дедлайн воскресенье 28 июня 23:59 МСК. За сетевую разведку.