7. Web fuzzing ja muistilappu

Viimeinen raportti Tero Karvisen k2020 Tunkeutumistestauskurssilla. Testaan web fuzzingia ffuf-ohjelmistolla ja teen yhteenvetoa kurssista

a) ffuf ja juice-shop

Maaliksi asensin OWASP Juice Shop-websovelluksen. Asennus vaatii dockerin. Itse sovelluksen asennus tapahtuu komennolla sudo docker pull bkimminich/juice-shop

Tämän jälkeen ajoin sovelluksen sudo docker run -d -p 3000:3000 bkimminich/juice-shop. Juice Shop pyörii localhostilla portilla 3000.

ffuf-web fuzzerin asennusohjeet ovat yksinkertaisemmat. Latasin tiedoston GitHubista, purin tiedoston ja ajoin ohjelman.

Ajoin ffufilla GitHubin ohjeiden mukaan resurssiskannauksen. Kohde antaa helposti false positive tuloksia, jotka ovat muuttujiltaan vakioita.

Nämä tuli filtteröidä pois, jotta saa oikeita tuloksia. Alla testasin false positiivisen tuloksen size-muuttujaa ja sain vastaukseksi 1925.

Ajoin ffufin standardin recource discoveryn ja sain oikeita tuloksia.

./ffuf -c -w /usr/share/dict/wordlist-probable.txt -u http://localhost -H "Host: FUZZ.localhost" -fs 1925

ffufin kanssa täytyy valita sanalistat oikein. Suuren sanalistan läpikäyntiin voi vierähtää tunteja, mutta liian pieni sanalista ei välttämättä anna tuloksia. n. 20 000 sanan listan läpikäyntiin meni hieman <10 min.

b) Muistilappu

Tämän kurssin aikana useimmin hyödyllisimmät ja useimmin käytetyt komennot

Nmap: nmap -A -oA -T4 10.10.10.10

mfconsole: show option, use, run, exploit

cincan: cincan run cincan/<tool>

hashcat: hashcat -a 0 -m 0 /path/to/file /path/to/wordlist

hydra: hydra -L /path/to/file -P /path/to/wordlist/ 10.0.0.0 ssh

John the Ripper: sudo john -format=md5crypt -wordlist /path/to/wordlist /path/to/file

c) Muita viisauksia

Tuomo Kuure: Tshark

sudo tshark -i tun0

Caius Juvonen: Nikto

nikto -h 10.10.10.10

Lähteet:

http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3003/

https://owasp.org/www-project-juice-shop/

https://github.com/ffuf/ffuf

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: