Título: Posible Firewall? Como evadirlo Publicado por: R3D0W1 en 20 Marzo 2024, 00:50 am Hola a todos,
Aún estoy empezando con esto así que si creéis que la respuesta es muy obvia y quizá soy yo que soy gilipollas podéis decírmelo sin problema. A ver, tengo un objetivo lo llamaremos: ejemplo.net Puedo acceder sin problemas al objetivo a través de la red normal SIEMPRE Y CUANDO utilice un dispositivo móvil. Cuando intento acceder desde mi PC de sobremesa misteriosamente me arroja el 404. Modificando el user agent del GET con burpsuite y colocando un user agent de dispositivo movil (iphone pej) puedo acceder sin problemas al objetivo. Por último, si tuneleo las peticiones de burpsuite a través de TOR me salta el 404 de forma permanente, no hay forma de acceder a la página. El servidor donde esta alojada la página web trabaja con nginx. El problema es que llevo un par de días buscando y no hay forma de poder acceder al objetivo de forma oculta. He intentado varios tips (algunos de este foro) para saltar un WAF pero nada (solicitud POST y solicitudes mal formadas). Si alguien tiene pistas sobre que puede estar pasando para poder seguir investigando y teniendo hilos de los que tirar me iría genial. Muchas gracias por las respuestas, Saludos. Título: Re: Posible Firewall? Como evadirlo Publicado por: Kirum en 28 Marzo 2024, 02:33 am Qué tal.
Se me hace rato que por medio del dispositivo móvil te permita visualizar el sitio y mediante el PC no, siempre y cuando modifiques el user-agent. Puede ser algún detalle en el desarrollo del sitio. Ya identificaste si está detrás de un WAF? Te recomiendo una utilidad llamada WafW00f que ayuda a identificar si el sitio tiene alguna protección, te dejo el link: https://github.com/EnableSecurity/wafw00f Saludos. Título: Re: Posible Firewall? Como evadirlo Publicado por: Kirum en 28 Marzo 2024, 02:34 am Qué tal. Se me hace raro que por medio del dispositivo móvil te permita visualizar el sitio y mediante el PC no, siempre y cuando modifiques el user-agent. Puede ser algún detalle en el desarrollo del sitio. Ya identificaste si está detrás de un WAF? Te recomiendo una utilidad llamada WafW00f que ayuda a identificar si el sitio tiene alguna protección, te dejo el link: https://github.com/EnableSecurity/wafw00f Saludos. Título: Re: Posible Firewall? Como evadirlo Publicado por: R3D0W1 en 29 Marzo 2024, 01:28 am Qué tal. Se me hace rato que por medio del dispositivo móvil te permita visualizar el sitio y mediante el PC no, siempre y cuando modifiques el user-agent. Puede ser algún detalle en el desarrollo del sitio. Ya identificaste si está detrás de un WAF? Te recomiendo una utilidad llamada WafW00f que ayuda a identificar si el sitio tiene alguna protección, te dejo el link: https://github.com/EnableSecurity/wafw00f Saludos. Buenas Kirum, gracias por la respuesta y respondiendo a tu pregunta, si tiré un wafwoof y el resultado fue bastante ambiguo, ahora no tengo el log delante, pero era como: el sitio esta detrás de algún tipo de seguridad. Ninguna especificación más. Título: Re: Posible Firewall? Como evadirlo Publicado por: Tirenex en 30 Marzo 2024, 10:24 am amigo, no funcionan los links de Mega
Título: Re: Posible Firewall? Como evadirlo Publicado por: Kirum en 2 Abril 2024, 05:59 am Buenas Kirum, gracias por la respuesta y respondiendo a tu pregunta, si tiré un wafwoof y el resultado fue bastante ambiguo, ahora no tengo el log delante, pero era como: el sitio esta detrás de algún tipo de seguridad. Ninguna especificación más. Qué tal. WafW00f interpreta que si hay algún tipo de seguridad pero no puede decirte al 100%. En el entendido si tiene alguna protección puede "tirarte" la conexión o de plano mandar algún código http diferente. Tampoco no te enfoques al 100% el tratar de evadirlo ya que los WAF principalmente su labor es detectar y bloquear ataques conocidos incluyendo técnicas para bypass ya sea URL- encoding o Double URL - Encoding. También lo que podrías realizar: Verificar si cuenta con el archivo "robots.txt" y ver si tiene directorios allowed o disallowed. Verificar si el sitio cuenta con tecnologías tanto de servidor web como algún tipo de lenguaje, framework o sistema operativo(Apache, IIS, PHP, ASP,JSP, etc) Realizar enumeración de directorios para identificar aquellos "escondidos" y posiblemente encontrar algún portal de administración. En caso que tenga portal de administrador, identificar si es wordpress, joomla, cpanel, u algún CMS y probar credenciales por defecto o predecibles. Puedes realizar brute-force pero no es recomendable ya que pueden tener otra protección para ese caso. Explorar el sitio para identificar si tiene caja de texto para inyectar código html, XSS o realizar inyección de código. Si tiene la posibilidad de subir archivos al servidor, tratar de cargar alguna webshell para ejecutar comandos. |