• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

[Web Application Pentesting] методы HTTP запросов, [HTTP Verb Tampering]

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
2016-12-22-164013_730x204_scrot.png

Привет колеги.
Добро пожаловать на курс Web Application Pentesting.
В этой статье мы с вами научимся:
  • Вручную посылать запросы на веб сервер через консольную утилиту NetCat (как альтернативу можно так же использовать telnet клиент)
  • Так же познакомимся с методами HTTP запросов
  • Научимся перечислять доступные методы HTTP запросов через:
    • метод OPTIONS
    • скрипт Nmap
    • Metasploit Framerok
  • Немного познакмимся с вектором HTTP Verb Tampering, небольшой профит от автора)
И так мы рассмотрим способы создания запросов с нуля, руками, в консоли. Зачем? Порой попадая на какуе то удаленную машину где доступно только консольное окружения может возникнут необходимость проверить какой то внутренний сайт,который к примеру может быть доступен только с удаленной машины или на локалхосте.Вторая причина почему нам это нужно - мы не раз будем сталкиватся с модификацией запросов на веб сервер через прокси утилиты(Burp Suite или Owasp ZaP к примеру) где будет необходимо понимания отправки запросов на сервер.

И так для примера создания запроса воспользуемся консольной утилитой NetCat.
Вспомним из моей прошлой статьи
что curl посылал на сервер 4 строки,на для ознакомление понадобятся первые 2 :
Код:
> GET / HTTP/1.1
> Host: www.securitytube.net
И так , сперва установим соединение с сайтом на 80 порту командой:
Код:
nc www.securitytube.net 80
Затем передадим наши две строчки и нажмем два раза Enter:
2016-12-21-213929_690x282_scrot.png


После чего видим что сервер нам отвечает заголовками ,за которыми идет html контент.
От себя добавлю что для удобства в линуксе можно использовать перенаправления STDOUT одной команды на STDIN другой команды,простыми словами что бы каждый раз не вводить вручную наши две строчки мы можем выполнить следующую команду:
Код:
cat hosts.txt | nc www.securitytube.net 80
Где hosts.txt - это подготовленный файл с нашими строчками запроса.
Вывод содержимого этого файла мы передали в качестве ввода для команды nc 80
И таким образом получили тот же результат)
Подбробнее о перенаправление ввода вывода команд при создании http запросов вручную так же можно посмотреть
2016-12-21-215317_1023x599_scrot.png


Думаю что с этими двумя строчками понятно все из прошлой статьи:
GET / HTTP/1.1 -- обратится к домашней странице по протоколу HTTP/1.1
Host: - днс имя хоста.

Что бы обратится не на домашнюю страницу используется запрос вида:
Код:
GET /путь_к_локальному_ресурсу HTTP/1.1
Host:Имя_Хоста


Вот для примера обратимся по какому то несуществещому ресурсу:


Код:
GET /codeby.txt
Host:www.securitytube.net

2016-12-21-220131_646x373_scrot.png


Как видим сервер ответил 404 кодом ответа,из прошлой статьи помним ,что это означает что ресурс не был найден по заданому адресу.

Как вы уже смогли догадатся что запрос в примере выше передавался через метод GET.
Но так же существует и ряд других методов,и некоторые из них представляют опасность если их не правильно использовать.

Давайте глянем на слайд
Снимок.PNG



  • HEAD - этот метод позволяет в качестве ответа получить только заголовки ответа сервера .
  • GET - все параметры передаються в URL.
  • POST - данные передаются через сабмит веб форм,заполненние текстовых полей и т.д
  • PUT - этот метод позволяет клиентам загружать новые файлы на веб-сервер.
  • DELETE - этот метод позволяет клиентам удалять файлы, хранящиеся на веб-сервере.
  • TRACE - этот метод возвращает в ответе клиенту строку, которая была ему послана и используется в большинстве случаев для отладки. Но также этот метод может быть использован для проведения атаки Cross Site Tracing (XST).
  • OPTIONS - вернет перечень доступных методов.
  • CONNECT - этот метод может позволить клиентам использовать веб-сервер в качестве прокси-сервера.

Методы GET и POST пожалуй самые популярные методы для взаимодействия с веб-сервером.
Итак, мы с Вами научились посылать вручную запросы на сервер и знаем какие моды HTTP существуют.Теперь появляется новый вопрос:
Как узнать какие методы поддерживаются на веб сервере?
Для это воспользуемся консольной утилитой curl и запустим ее с параметром -X (параметр -X отвечает за передаваемый метод HTTP запроса),и в качестве метода воспользуемся методом OPTIONS,который по идеи должен перечислить нам возможные методы:
2016-12-21-224921_701x299_scrot.png

Как видим метод OPTIONS на этом сайте не поддерживается :(
Давайте для демонстрации возмем сайт где этот метод поддерживается:
Возмем сайт вивека:
2016-12-21-225352_765x428_scrot.png

Как видим 200 ОК значит что все гуд ,и заголовок Allow перечислил нам возможные методы :)
Так же этого результата можно добится через использования http-methods скрипта в Nmap:
Код:
nmap -p 80 --script http-methods vivekramachandran.com
2016-12-21-230235_738x317_scrot.png

И Metasploit Framework имеет в себе также такую возможность:
2016-12-21-230816_1023x441_scrot.png


Теперь небольшой профит для закрепление знаний:
Вооружившись знаниями (Их теперь более чем достаточно) читаем про вектор
Идем решать таск на )))
Видим что нас там встречает HTTP Basic Auth:
2016-12-22-161731_1023x578_scrot.png

Так же давайте в попробуем обратится на вебсервер через curl:
2016-12-22-162049_1023x587_scrot.png

Видим 401 статус код ответа,который отвечает за необходимость авторизоватся на сервере.
Давайте попробуем перечислить методы через OPTIONS:

2016-12-22-164748_781x519_scrot.png

Хех) Видим что он нам ответил 200 Ок,
А ниже можем видеть контент где находися флаг для валидации таска)
Давайте выполним аналогичные действие через NetCat для закрепление,в качестве метода укажим какой то несуществующий,например CODEBY метод:

Код:
CODEBY /web-serveur/ch8/ HTTP/1.1
Host: challenge01.root-me.org
2016-12-22-163129_711x494_scrot.png

Как видим снова 200 ОК и контент с паролем)


В следущей статье мы поближе познакомимся с HTTP Basiс Аутентификацией)
Если понравилась статья - жмакни лайк)

До новых встреч) Спасибо за внимания)
 

Вложения

  • 2016-12-21-220637_784x597_scrot.png
    2016-12-21-220637_784x597_scrot.png
    10,3 КБ · Просмотры: 278
  • 2016-12-22-162147_778x521_scrot.png
    2016-12-22-162147_778x521_scrot.png
    63,1 КБ · Просмотры: 219
  • 2016-12-22-161903_1023x326_scrot.png
    2016-12-22-161903_1023x326_scrot.png
    46,5 КБ · Просмотры: 222
Последнее редактирование:
A

a113

Большое спасибо за статьи. Материал оправдывает дни ожиданий :)
 
  • Нравится
Реакции: <~DarkNode~>

Dosia

Green Team
08.12.2016
96
27
BIT
0
Когда использую curl ( -v -X OPTIONS URL) Показывает уйма html кода, а так-же ничего связанного с allow нету... Даже не вылазит про то,что метод OPTIONS не поддерживается
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Когда использую curl ( -v -X OPTIONS URL) Показывает уйма html кода, а так-же ничего связанного с allow нету... Даже не вылазит про то,что метод OPTIONS не поддерживается
Ну я демонстрировал что перечисление через метод OPTIONS не всегда работает...
Если конкретно про уязвимость HTTP Verb Tampering - то совсем не обязательно что бы было перечисление через OPTIONS, в примере с рутми там просто лимит на методы GET и POST .И используя любой другой метод мы обходим идентификацию на сервере,в этом и ест суть уязвимости.
 

Dosia

Green Team
08.12.2016
96
27
BIT
0
Ну я демонстрировал что перечисление через метод OPTIONS не всегда работает...
Если конкретно про уязвимость HTTP Verb Tampering - то совсем не обязательно что бы было перечисление через OPTIONS, в примере с рутми там просто лимит на методы GET и POST .И используя любой другой метод мы обходим идентификацию на сервере,в этом и ест суть уязвимости.
Другие методы такие как: HEAD,PUT и тд.. Просто перебирать эти методы?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Не обязательно, может как в моем примере быть,какой то несуществующий метод,например:
LOL /secret.txt
 
K

KeepToMe

Не обязательно, может как в моем примере быть,какой то несуществующий метод,например:
LOL /secret.txt
Привет, DarkNode, я только учусь, ввожу nc 80 в кали и ничего не происходит, делал sudo apt-get install netcat, та же хрень... что не так?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Нужно после того как вы это ввели нажать клавишу Ентер,с новой строки вести запрос,потом еще раз ЕНтер,потом заголовок Host: Ентер,затем дважды нажать Ентер:

nc 80 <ENTER>
GET / HTTP/1.1 <ENTER>
Host: <ENTER>
<ENTER>
<ENTER>
 
  • Нравится
Реакции: Mixa и KeepToMe
I

Inject0r

Классная статья, хочу побольше обзоров всяких фишечек типа HTTP Verb Tamperin, просто и и познавательно очень :)
 
  • Нравится
Реакции: <~DarkNode~>
S

sdfsd

excuse me! A этот упражнение еще актуально? Cсылка про вектор HTTP Verb Tampering не рабочая а на рут-ми - в скрине.Это и есть HTTP Basic Auth?
вывод команды curl bash-4.2# curl -v | head
в файле.

ert.png
 

Вложения

  • ttt.txt
    3,4 КБ · Просмотры: 478

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
excuse me! A этот упражнение еще актуально? Cсылка про вектор HTTP Verb Tampering не рабочая а на рут-ми - в скрине.Это и есть HTTP Basic Auth?
вывод команды curl bash-4.2# curl -v | head
в файле.

Посмотреть вложение 8438
Вы пытаетесь зайти на главную страницу портала root-me. Для этого нужо иметь там акаунт(если вы хотите иметь рейтинг на портале рутми - то прийдется там зарегистрироватся) Вот к примеру
Если вы хотите просто по практиковатся в векторе HTTP Verb Tampering - то он доступен по ссылке:
 
S

sdfsd

Вы пытаетесь зайти на главную страницу портала root-me. Для этого нужо иметь там акаунт(если вы хотите иметь рейтинг на портале рутми - то прийдется там зарегистрироватся) Вот к примеру
Если вы хотите просто по практиковатся в векторе HTTP Verb Tampering - то он доступен по ссылке:
***Скрытый текст***
я про это
Вы пытаетесь зайти на главную страницу портала root-me. Для этого нужо иметь там акаунт(если вы хотите иметь рейтинг на портале рутми - то прийдется там зарегистрироватся) Вот к примеру
Если вы хотите просто по практиковатся в векторе HTTP Verb Tampering - то он доступен по ссылке:
***Скрытый текст***
 

Вложения

  • uit.png
    uit.png
    42,1 КБ · Просмотры: 281

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Все возможно,пока с такой проблемой не сталкивался.
 

ActionNum

Red Team
27.11.2016
80
93
BIT
0
Спасибо за статью, очень познавательно! Взял на вооружение root-me. Немного не ясен вектор где фильтруется доступ по User-Agent, в теории я понимаю что его можно подменять, но на что много вариантов?! Брать и перебирать?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!