Viimeinen raportti Tero Karvisen k2020 Tunkeutumistestauskurssilla. Testaan web fuzzingia ffuf-ohjelmistolla ja teen yhteenvetoa kurssista
a) ffuf ja juice-shop
Maaliksi asensin OWASP Juice Shop-websovelluksen. Asennus vaatii dockerin. Itse sovelluksen asennus tapahtuu komennolla sudo docker pull bkimminich/juice-shop
Tämän jälkeen ajoin sovelluksen sudo docker run -d -p 3000:3000 bkimminich/juice-shop. Juice Shop pyörii localhostilla portilla 3000.
ffuf-web fuzzerin asennusohjeet ovat yksinkertaisemmat. Latasin tiedoston GitHubista, purin tiedoston ja ajoin ohjelman.
Ajoin ffufilla GitHubin ohjeiden mukaan resurssiskannauksen. Kohde antaa helposti false positive tuloksia, jotka ovat muuttujiltaan vakioita.
Nämä tuli filtteröidä pois, jotta saa oikeita tuloksia. Alla testasin false positiivisen tuloksen size-muuttujaa ja sain vastaukseksi 1925.
Ajoin ffufin standardin recource discoveryn ja sain oikeita tuloksia.
./ffuf -c -w /usr/share/dict/wordlist-probable.txt -u http://localhost -H "Host: FUZZ.localhost" -fs 1925
ffufin kanssa täytyy valita sanalistat oikein. Suuren sanalistan läpikäyntiin voi vierähtää tunteja, mutta liian pieni sanalista ei välttämättä anna tuloksia. n. 20 000 sanan listan läpikäyntiin meni hieman <10 min.
b) Muistilappu
Tämän kurssin aikana useimmin hyödyllisimmät ja useimmin käytetyt komennot
Nmap: nmap -A -oA -T4 10.10.10.10
mfconsole: show option, use, run, exploit‘
cincan: cincan run cincan/<tool>
hashcat: hashcat -a 0 -m 0 /path/to/file /path/to/wordlist
hydra: hydra -L /path/to/file -P /path/to/wordlist/ 10.0.0.0 ssh
John the Ripper: sudo john -format=md5crypt -wordlist /path/to/wordlist /path/to/file
c) Muita viisauksia
Tuomo Kuure: Tshark
sudo tshark -i tun0
Caius Juvonen: Nikto
nikto -h 10.10.10.10
Lähteet:
http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3003/
Markus Saikkonen 