Httrack

Úvod a kontext

Httrack je nástroj na zrcadlení webu pro offline čtení. To může znít nudně, ale v praxi jde o velmi užitečnou věc ve chvíli, kdy je aplikace záměrně chudá, rozpadlá do statických souborů nebo schovává zajímavé cesty jen v JavaScriptu a HTML šablonách. Nehledá útok za vás. Jen stáhne celý relevantní povrch tak, aby se dal procházet systematicky.

Na Fortress Jet to byl přesně ten případ. Hlavní stránka skoro nic neukazovala, ale po zrcadlení přes httrack a prohledání obsahu se objevil skrytý admin panel. To je praktická lekce: někdy nestačí jen browser a ruční klikání, protože zajímavá stopa leží v assetu, který se načte jen za určitých podmínek nebo na první pohled nevypadá důležitě.

Co tenhle nástroj v praxi řeší

Httrack dává smysl hlavně tehdy, když potřebujete:

• stáhnout web jako celek pro offline prohledávání,
• projít JavaScript, HTML a assety mimo browser,
• zachytit skryté cesty nebo odkazy,
• nebo vytvořit lokální kopii, kterou pak prohledáte přes rg, editor nebo další skripty.

Je to tedy spíš nástroj na systematický statický recon než na aktivní fuzzing. Když chcete cesty hádat, vede Gobuster, Dirsearch nebo Wfuzz. Když chcete prozkoumat to, co web už opravdu vydává, dává smysl httrack.

Nejčastější scénáře využití v tomto projektu

Stažení chudého webu a prohledání JavaScriptu

Na Fortress Jet byl právě tohle hlavní scénář:

httrack http://www.securewebinc.jet/

Po zrcadlení bylo možné projít JavaScript a najít odkaz na /dirb_safe_dir_rf9EmcEIx/admin/stats.php. To je pěkný příklad situace, kdy browser ukazuje jen prezentaci, ale skutečně zajímavá cesta je zadrátovaná ve statickém frontendovém souboru.

Vytvoření lokálního korpusu pro další grep a review

Praktická výhoda httrack není jen v samotném stažení. Hodně pomáhá i to, že pak můžete nad obsahem běžet úplně jiným stylem:

• rg nad HTML a JS,
• hledání cest, tokenů a komentářů,
• porovnávání souborů,
• nebo čtení v editoru bez nutnosti proklikávat živý web.

To je často rychlejší než snažit se celý frontend “vyčíst” z DevTools.

Kdy je httrack nejlepší volba

Httrack se vyplácí hlavně tehdy, když:

• web vrací hodně statického obsahu,
• potřebujete ho prohledat offline,
• předpokládáte, že zajímavé cesty jsou schované v JS nebo assetech,
• nebo chcete rychle získat celkový obraz o struktuře frontendové části.

Naopak není ideální pro živé API workflow, fuzzing nebo přesné ruční HTTP requesty. Tam jsou lepší curl, Wfuzz a další specializované utility.

Nejčastější chyby v praxi

Zaměnění zrcadlení za úplnou mapu aplikace

Httrack stáhne to, co je dosažitelné z odpovědí webu. Neznamená to, že objeví všechny neveřejné cesty nebo dynamické backend endpointy.

Příliš rychlé spoléhání na browser

Fortress Jet ukazuje, že při ručním proklikávání může zajímavá stopa snadno uniknout. Stažený obsah se pak prohledává mnohem systematičtěji.

Ignorování kombinace s jinými nástroji

Největší hodnotu mívá httrack v kombinaci:

• s host a dig, když se teprve hledá správná doména,
• s WhatWeb, když chcete vědět, co asi běží,
• a se skenery cest, když už potřebujete ověřit, zda objevená URL skutečně existuje i na serveru.

Související články v projektu

• Rozbory: Fortress Jet
• Nástroje: host a dig, WhatWeb, Gobuster, Dirsearch, Wfuzz, wget a curl

Co si odnést do praxe

• Httrack je praktický hlavně pro offline čtení statického webu a JavaScriptu.
• Největší hodnotu má na chudých nebo záměrně matoucích frontendech, kde browser neukáže celý příběh.
• Není to fuzzing nástroj. Je to způsob, jak systematicky stáhnout a číst to, co už web vydává.

Další Související Články V Projektu

HTB Stroje

• Traverxec
• Admirer

Techniky

• kid/jku a vzdálené načítání klíčů
• WHOIS, DNS a AXFR jako reálná útočná plocha
• OAuth a zneužití autorizačního toku

Nástroje

• Socat
• xfreerdp
• mosquitto_sub