Pentesting @ Haaga-Helia

Tämä postaus käsittelee kurssia Haaga-Helian Tunkeutumistestaus ict4tn027-3006 jonka vetäjänä toimii Tero Karvinen. Tähän postaukseen kirjaan henkilökohtaisesti kurssilla annettuja tehtäviä.

H1 aloitellaan pentestaus kurssi

Kurssi aloitetaan helpoilla ja mukavilla tehtävillä. Tämän ensimmäisen viikon tehtävät on tehty hutiloiden, kuten myös tämä blog.

a) Hanki kutsu HackTheBoxiin.

Ensimmäisenä tehtävänä oli ”saada” kutsu HackTheBox sivustolle. Tehtävä itsestään tehtiin kurssin ensimmäisellä luennolla. Jotta voit luoda sivustolle tunnuksen tulee sinun hankki kutsu itse. Tämä toimii testinä kaikille ”hakkeriksi” haluaville. Tehtävä itsestään ei vaadi haastajalta minkään erikoisen softan asennusta. Ratkaisu onnistuu ihan perus windows, mac tai linux käyttöjärjestelmällä.

HackTheBox kutsu haaste.

Kutsu haaste tulee ratkaista itse eikä siihen ole soveliasta antaa ratkaisuja ;). Tehtävän tehtyä pääsee tekemään tunnukset itse sivustolle.

HTB näkymä sisäänkirjautumisen jälkeen

b) Asenna WebGoat ja kokeile, että pääset kirjautumaan sisään.

Aloitin WebGoatin asentamisen Tero Karvisen ohjeiden mukaan. Päätin asentaa WebGoatin virtualboxilla sijaitsevaan ubuntu 20.04.1 LTS virtuaalikoneeseen. Aluksi kohtasin ongelmia asentamisen kanssa, mutta kaikki onnistui myöhemmin kun päivitin virtualboxin.

Aloitin asentamisen varmistamalla että Ubuntusta löytyy tarvittavat Java versio ja UFW. Samalla enabloin UFW. Syötin seuraavan komennon terminaaliin.

$ sudo apt-get update
$ sudo apt-get -y install openjdk-11-jre ufw
$ sudo ufw enable

Seuraavana steppinä noudin webgoatin wget komennolla ja laitoin webgoatin pyörimän. Syötin seuraanalaiset komennot terminaaliin.

$ wget https://github.com/WebGoat/WebGoat/releases/download/v8.0.0.M26/webgoat-server-8.0.0.M26.jar
$ java -jar webgoat-server-8.0.0.M26.jar

c) Ratkaise WebGoatista tehtävät ”HTTP Basics”, ”Developer tools”, ”CIA Triad” ja ”A1 Injection (intro)”. Katso vinkit alta.

WebGoatin tehtävät on hyvä ratkaista itse. En halua jakaa tehtävien vastauksia tässä blogissa. Tehtävien tekemiseen minulla meni noin 1,5h. Osiot ”HTTP Basics”, ”Developer tools” ja ”CIA Triad” olivat mielestäni todella hyvää kertausta kyseisiin aiheisiin, mikäli on asioita käynyt joskus lävitse. Tehtävät osion ”A1 Injection (intro)” alla itsessään olivat mielestäni haastavia, sillä en ole sujuva SQL käyttäjä. Sain joka tapauksessa ratkottua tehtävät tarvittavan googletuksen avulla. Ohessa kuvakaappaus tehdyistä ”A1 Injection (intro)” tehtävistä.

d) Kuuntele jokin maksuvälineisiin liittyvä jakso Darknet Diaries -podcastista. Kuvaile tiiviisti tämä murto ja peilaa sitä Mika Raution esitykseen ”Stealing your payment card data”.

Valitsin kuunnella Darknet Diaries-podcastin episodin 52 Magecart. Kyseinen episodi käsitti Magenton verkkokauppa palvelussa yleistynyttä pankkikorttitietojen skimmausta. Episodissa käytiin esimerkeinä hyökkäyksiä jotka oli suunnattu British airwayssiä ja NewEggiä vastaan. Molemmissa hyökkäyksissä hyökkääjät olivat saaneet ujutettua heidän haittaohjelmansa näiden yhtiöiden verkkokauppaan, josta he pystyivät nappaamaan asiakkaiden pankkikorttitietoja. Haittaohjelma oli yleisesti tehty JavaScript:llä ja se ujutettiin Magenton lähdetiedostoihin, mutta myös on tapauksia missä haittaohjelmaa on ajettu mainoslinkin takaa.

Lähteet

Karvinen, Tero 2020: Penetration Testing Course 2020 Autumn – Tunkeutumistestaus ict4tn027-3006 h1 http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3006-autumn-2020/ Luettu 5.11.2020

Karvinen, Tero 2020: Install Webgoat 8 – Learn Web Pentesting http://terokarvinen.com/2020/install-webgoat-web-pentest-practice-target/ Luettu 5.11.2020

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

Create your website with WordPress.com
Aloitus
%d bloggaajaa tykkää tästä: