Wie enumerierst du einen Webserver, den du noch nie gesehen hast?
Kurzantwort
Bestimme den Stack aus Headern und Quellcode, dann brute-force Verzeichnisse und Dateien mit gobuster oder feroxbuster unter Nutzung einer guten Wortliste und relevanter Endungen. Suche nach Admin-Panels, Backups, Konfigurationsdateien und Upload-Punkten und prüfe virtuelle Hosts, wenn die Seite auf einen Hostnamen reagiert.
Ein Webdienst ist der häufigste Einstiegspunkt auf OSCP-Maschinen, und die Startseite zeigt fast nie die verwundbare Komponente. Bei der Web-Enumerierung geht es darum, die Teile der Anwendung aufzudecken, die der Entwickler nicht für deine Augen bestimmt hat.
Zuerst bestimmen
Prüfe Antwort-Header, Cookies und Seitenquellcode, um den Server (Apache/IIS/nginx), die Sprache (PHP/ASP.NET) und jedes Framework oder CMS zu bestimmen. Der Stack entscheidet über alles Weitere — welche Endungen zu brute-forcen sind und welche Exploits greifen.
Inhalt brute-forcen
Nutze gobuster, feroxbuster oder ffuf gegen eine hochwertige Wortliste (die SecLists-Sammlung ist Standard). Zwei Details entscheiden über Erfolg oder Misserfolg:
- Endungen. Übergib
-x php,txt,bak(oderasp,aspxauf IIS), damit duconfig.php,backup.bakundadmin.phpfindest, nicht nur Verzeichnisse. - Rekursion. Wenn du ein Verzeichnis findest, brute-force auch darin.
Du jagst nach Admin-Panels, Login-Seiten, Datei-Uploads, robots.txt, Backup- und Konfigurationsdateien sowie versionsverratenden Pfaden.
Virtuelle Hosts und Quellcode
Wenn sich die Anwendung anders verhält, sobald du einen Host:-Header sendest, fuzz die vHosts mit einer Hostnamen-Wortliste — viele Maschinen verstecken eine zweite Seite hinter einem virtuellen Host, der nicht im DNS steht. Lies immer HTML-Kommentare und verlinktes JavaScript; Anmeldedaten, interne Pfade und API-Endpunkte sickern dort ständig durch.
Warum manuell wichtig ist
Automatisierte Scanner verpassen den Kontext. Ein Mensch bemerkt, dass eine „Upload“-Seite gepaart mit einem Ordner mit Verzeichnisauflistung bedeutet, dass du eine Webshell ablegen und ausführen kannst — eine Kette, die kein einzelnes Werkzeug meldet.
Worauf Interviewer achten
Sie wollen Verzeichnis- und Datei-Brute-Force mit den richtigen Endungen, Quellcode-Prüfung und vHost-Entdeckung — beschrieben als bewusste Schritte. „Ich würde mir einfach die Website ansehen“ ist die Antwort, die durchfällt.
Wahrscheinliche Anschlussfragen
- Warum ist die Dateiendung wichtig, die du gobuster übergibst?
- Wie würdest du einen virtuellen Host entdecken, der nicht im DNS steht?