WEP lekcja #11 – Atak LFI (Local File Include) i narzędzie fimap w Kali Linux

Zostaw komentarz

Dzisiaj pokażemy czym jest atak LFI, czyli rozwijając ten skrót local file lnclusion. Zaprezentujemy również świetny darmowy skaner fimap dostępny w systemie Kali Linux umożliwiający automatyczne wyszukiwanie podatności typu local file includeremote file inclusion.

Na wstępie powinieneś wiedzieć, że tego typu luka pozwala na dołączenie, wyświetlanie i wykonywanie lokalnych plików znajdujących się na serwerze www. Dzięki tej hakerskiej sztuczce cyberprzestępca może poznać zawartość plików konfiguracyjnych serwera a nawet systemu operacyjnego. Jak pewnie już wiesz z poprzednich lekcji, często w takich plikach występują hasła. Najczęściej występującym przykładem w literaturze jest plik z użytkownikami i hasłami w systemie Linux o nazwie /etc/passwd i /etc/shadow.

Czytaj więcej

WEP lekcja #10 – Pełny atak na uploader internetowy i mime-type…

2 komentarze

Nasza darmowa szkoła hakerów Web Application Penetration osiągnęła magiczną liczbę 10 lekcji. Dzisiejsze wideo będzie wyjątkowe, ponieważ przedstawimy wszystkie poziomy zabezpieczeń (Low/Medium/High) skryptu Damn Vulnerable Web Application 1.9 modułu File Upload.

Pokażemy jak obejść zabezpieczenie uploadera plików w przypadku gdy HTML filtruje rozmiar przesyłanego pliku, sprawdzane jest rozszerzenie pliku .jpg lub .png lub gdy skrypt PHP weryfikuje za pomocą funkcji getimagesize() czy przesyłany złośliwy skrypt jest obrazkiem. Wykorzystamy do tego celu wtyczkę Live HTTP Headers, lokalne proxy dla audytorów bezpieczeństwa Burp Suite i program Exif Pilot do wstrzyknięcia potencjalnie złośliwego kodu PHP. Nie zabrakło również prezentacji popularnego shella o nazwie C99 Shell.

Czytaj więcej

WEP lekcja #9 – Atak cross site request forgery (XSRF/CSRF)

4 komentarze

W dzisiejszej #9 lekcji poznasz specyficzny atak o nazwie cross-site request forgery. W uproszczeniu atak ten polega na wysłaniu złośliwego żądania HTTP w imieniu ofiary. Przykładowo gdy audytor bezpieczeństwa odnajdzie lukę typu XSRF/CSRF, może spróbować nakłonić do wywołania danej akcji na stronie internetowej administratora lub zwykłego użytkownika strony (zmiana hasła, dodanie artykułu, zmiana ustawień witryny, zmiana podpisu na forum www itd) .

Jak wyżej wspomnieliśmy zaatakowana i oszukana ofiara, nieświadomie wywołuje pewną funkcjonalność strony. Tego typu luka często wykorzystywana jest z atakami typu XSS lub po prostu socjotechnicznymi. Wszystko zależy od budowy samej strony internetowej. O atakach XSS i języku JavaScript w połączeniu z CSRF dowiesz się z kolejnych lekcji. Czytaj więcej

WEP lekcja #8 – Niebezpieczna luka typu Command Injection…

1 komentarz

Dzisiaj powiem Tobie o luce umożliwiającej wstrzykiwanie poleceń systemowych (cmd/bash) za pomocą dziurawego skryptu języka PHP. Problem ten występuje w przypadku, gdy programista nie waliduje przesłanych informacji od użytkownika i wywołuje za ich pomocą takie funkcje PHP jak system(), exec(), passthru() lub inną odwołującą się do komend systemowych.

Trzeba zaznaczyć,  że ta jak i większość lekcji nie odwołuje się konkretnie do PHP. Istnieją inne języki i serwery służące do tworzenia i przetrzymywania dynamicznych stron www i w nich koncepcja ataku pozostaje taka sama. Atak typu command injection może być szalenie groźny i ostatecznie doprowadzić nawet do uszkodzenia całego serwera. Wszystko tutaj zależy od umiejętności hakera w poruszaniu się w gąszczu poleceń systemowych i wiedzy na temat działania systemu operacyjnego i samych aplikacji serwerowych. Na wideo zaprezentowany jest również sposób na wyciągnięcie ciasteczek sesyjnych administratora strony za pomocą tej dziur w oprogramowaniu web aplikacji. Czytaj więcej

WEP lekcja #7 – Zaawansowana THC-Hydra z cookies i nagłówkami…

3 komentarze

Dzisiejsza lekcja szkoleniowa definitywnie zamyka rozdział ataków brute-force. Teraz jak już wiesz czym są ciasteczka internetowe, przekażemy Tobie wiedzę jak wykonywać test bezpieczeństwa w systemie Kali Linux programem THC-Hydra 8.1 w aplikacjach, które wymagają najpierw zalogowania się.

Nowością w tej lekcji będzie wykorzystanie dodatkowych zaawansowanych parametrów nagłówków HTTP wraz z ciasteczkami (cookies). Zaletą takiego rozwiązania jest możliwość zmiany między innymi User-Agenta przeglądarki i wprowadzenie ciasteczka sesyjnego podtrzymującego autoryzacje użytkownika strony www. Czytaj więcej

WEP lekcja #6 – Cookie Cadger, Wireshark i przechwytywanie ciasteczek sesyjnych

19 komentarzy

W dzisiejszej lekcji powiemy o przepotężnym narzędziu Cookie Cadger, umożliwiającym w sposób zautomatyzowany przechwytywanie ciasteczek sesyjnych (phpsessid). Dodatkowo pokazujemy również narzędzie Ettercap upraszczające atak man in the middle (MITM) typu ARP poisoning i świetne multiplatformowe narzędzie do analizy ruchu sieciowego o nazwie Wireshark. Wszystkie z tych narzędzi są tak naprawdę darmowymi snifferami, posiadającymi kilka dodatkowych funkcjonalności uzupełniających się nawzajem.

Z poprzedniej lekcji już co nieco wiesz o ciasteczkach sesyjnych i domyślasz się, że za ich pomocą możesz zalogować się do strony internetowej bez znajomości hasła i loginu. Dzisiaj pokażemy jak za pomocą programu typu sniffer przechwycić te cookies i wprowadzić do swojej przeglądarki przejmując w ten sposób sesje użytkownika. Czytaj więcej

WEP lekcja #5 – wprowadzenie do ciasteczek w PHP

Zostaw komentarz

Dzisiejsza piąta już lekcja wprowadzi Ciebie do zagadnień związanych z ciasteczkami (cookies) w protokole HTTP i języku programowania PHP. Jest to kluczowe zagadnienie do zrozumienia kolejnych dwóch lekcji, które pojawią się niebawem. Żeby nie przedłużać wyjaśnię pokrótce czym są ciasteczka.

Najprościej mówiąc są to malutkie pliki w przeglądarce internetowej, które mogą zapamiętywać pewne wartości. Swoim działaniem przypominają nieco zmienne poznane już wcześniej we wprowadzeniu do PHP. Stosuje się je ze względu na fakt, że sam protokół HTTP jest bezstanowy. Czyli każde zapytanie dowolnego użytkownika HTTP dla serwera jest nie powiązane z innym zapytaniem. Czytaj więcej

WEP lekcja #4 – DirBuster, bruteforce i włamanie do MySQL

13 komentarzy

W dzisiejszej lekcji szkolenia powiemy sobie o wstępnym szukaniu luk w stronach internetowych i zabezpieczaniu phpMyAdmina. W pierwszym w kroku cyberprzestępca lub pentester za pomocą wyszukiwarek internetowych (zindeksowane treści w Google) i dodatkowych narzędzi takich jak DirBuster poszukuje wektorów ataku. Ma to na celu znalezienie jak największej liczby interesujących skryptów (np. paneli logowania), plików konfiguracyjnych i innych danych,, umożliwiających znalezienie potencjalnych punktów dalszego ataku hakerskiego. Należy wiedzieć, że administratorzy strony najczęściej trzymają więcej skryptów niż jeden na serwerze (lub nawet kilka stron internetowych).

Czytaj więcej

WEP lekcja #3 – Wprowadzenia do HTML, PHP i brute-force

19 komentarzy

W dzisiejszej trzeciej już lekcji Web Application Pentesting, zajmiemy się szybkim praktycznym wprowadzeniem do języka HTML, PHP i ataków siłowych (brute-force) skierowanych na formularze. Wykorzystamy w tym celu nasz obraz systemu operacyjnego Kali Linux uruchomiony w środowisku wirtualnym VirtualBox. W kolejnych lekcjach pokażemy nieco bardziej rzeczywiste i wyrafinowane metody ataków na strony internetowe. Do tej lekcji dołączone są zadania do wykonania we własnym zakresie wraz z rozwiązaniami. Polecam Tobie jeśli chcesz działać w myśl kreatywnych hakerów, spróbować najpierw rozwiązać zadanie samemu, a dopiero później zajrzeć do zamieszczonego spoilera z rozwiązaniem. Czytaj więcej

Startujemy z nową wersją web szkoły hakerstwa na YouTube

21 komentarzy

Miło nam poinformować Ciebie, że właśnie wystartowaliśmy z nowym cyklem kursów na naszym kanale YouTube. Dotyczyć one będą audytowania webowych aplikacji. Na chwilę obecną nosi on nazwę roboczą Web Application Pentesting – haker.edu.pl. Będziemy w nim prowadzić praktyczny podstawowy trening z zakresu atakowania i obrony wszelakimi metodami stron internetowych. Duży nacisk kładziemy na aspekt szybkiego wprowadzenia do tematu i praktykę. Do wielu zadań zamierzamy oczywiście zamieszczać prace domowe na naszym blogu, a odnośniki do nich znajdować będą się pod danym filmem. Chcemy Was wprowadzić w podstawowe tajniki wykrywania i wykorzystywania potencjalnych luk w aplikacjach webowych. Dzięki tej wiedzy w przyszłości łatwiej będzie Wam je naprawiać, jeśli zostaniecie programistami webowymi. Czytaj więcej