BadStore: Sieć do testów pentestowych

BadStore to aplikacja internetowa zbudowana na dystrybucji Linuksa (Trinux). Dystrybucja pozwala na symulację serwera ze wszystkimi aktywnymi usługami i zainstalowaną księgarnią, która zawiera kilka luk w zabezpieczeniach, przeprowadzanie testów hakerskich i penetracyjnych.

BadStore waży tylko 10 mb i może być używany z wirtualnego boxu do symulacji serwera i przeprowadzania ataków z innego komputera lub tego samego.

ten Platforma internetowa BadStore działa z Perlem, Apache i MySQL.

ten Zalety BadStore są:

  • Łatwy w konfiguracji.
  • Można go uruchomić z maszyny wirtualnej.
  • Możemy uzyskać dostęp do maszyny wirtualnej, konfigurując adres IP tak, jakby był VPS.

ISO możemy pobrać z oficjalnej strony BadStore.

Następnie użyjemy ISO BadStore w maszynie wirtualnej, takiej jak Virtualbox. Będziemy musieli zainstalować VirtualBox, jego instalacja jest bardzo prosta, jak wyjaśniono w samouczkach Utwórz serwer VPS na komputerze domowym i Linux - Instalacja Ubuntu.

Następnie uruchamiamy Virtualbox i zamierzamy stworzyć maszynę wirtualną do obsługi BadStore. Musimy wybrać 32-bitową wersję Linuksa.

Następnie klikamy Następny i będziemy przydziel pamięć dla maszyny wirtualnejW tym przypadku alokujemy 1,7 gigabajta pamięci RAM więcej niż wystarczająco dla tej wersji Trinux.

Klikamy Następny i stworzymy wirtualny dysk dla zainstaluj naszą maszynę wirtualną.

Następnie klikamy Następny i musimy przypisać typ dysku wirtualnego. Najczęściej używane formaty, które oferuje nam Virtualbox to:

  • VDI: Jest to domyślny format Virtualbox.
  • VMDK: to format open source, ten typ pliku dysku wirtualnego może działać na innych platformach wirtualizacji, takich jak VMWare.

Istnieją inne, bardziej szczegółowe, ale poprzednie są wieloplatformowe i najbardziej polecane. Musimy wziąć pod uwagę przed utworzeniem maszyny wirtualnej, czy zamierzamy uruchomić maszynę wirtualną na innych platformach, czy nie, oba formaty działają na innych systemach operacyjnych. W tym samouczku użyjemy formatu VDI.

Teraz klikamy Następny i musimy przypisać nazwę folderu, który będzie działał jako wirtualny dysk twardy. Będziemy musieli również określić rozmiar wirtualnego dysku twardego. Zły sklep Zajmuje tylko 11 MB, ale przypisujemy od 4 GB do 50 GB na wypadek, gdybyśmy chcieli zainstalować narzędzia zabezpieczające lub testujące.

POWIĘKSZAĆ

Następnie klikamy Następny i będziemy musieli poszukać ISO, aby wskazać, który zostanie zainstalowany.

Następnie uruchomimy BadStore i zobaczymy, jak połączyć się z tym VPS.

Uruchomi system za tryb konsoli a my damy Wchodzić Aby aktywować wiersz poleceń, w tym przypadku nie mamy domeny, więc użyjemy adresu IP VPS do przeprowadzania naszych ataków, na początek musimy dowiedzieć się, jaki jest adres IP VPS. Do tego użyjemy polecenia:

 bash # ifconfig
W ten sposób uzyskujemy konfigurację sieci Ethernet o ip 192.168.0.15, następnie z przeglądarki na komputerze, poza maszyną wirtualną, umieszczamy IP.

Udaliśmy się do sieci i możemy rozpocząć analiza podatności i testy pentestingowe lub hackingowe że zobaczymy dalej.

DO) Błąd wyszukiwania


Sklep ma wyszukiwarkę w lewej kolumnie, wpisujemy dowolną wartość, która byłaby poszukiwaniem książki i sprawimy, że się nie uda, w efekcie pokaże nam zapytanie SQL.

Dzieje się tak przez nie sprawdzanie poprawności wprowadzonych danych i występujących błędów.

B) Luka w zabezpieczeniach skryptów między witrynami (XSS)


Zamierzamy zostawić komentarz w Księdze Gości, ale w polach formularza umieścimy kod Javascript.

Dodajemy komentarz za pomocą funkcji alertu Javascript, aby wyświetlić wiadomość, ten kod zostanie zapisany w bazie danych, a następnie będzie wykonywany za każdym razem, gdy strona księgi gości zostanie załadowana. Ta podatność pozwala nam wprowadzić dowolny kod JavaScript, Moglibyśmy nawet przekierować do innej strony za każdym razem, gdy ktoś wchodzi do księgi gości, na przykład

 
Dzięki temu przekierowujemy to.

C) Użyj Narzędzia skanowania


Możemy użyć terminala komputerowego do przeskanowania VPS różnymi narzędziami, aby uzyskać więcej informacji,

Na przykład:

Nmapa: Za pomocą narzędzia Nmap możemy skanować porty, aby określić, które z nich są otwarte:

 Nmap 192.168.0.15

Widzimy, że usługa mysql jest aktywna, więc w sieci może być uruchomiona baza danych.

D) Atakowanie serwera MySQL za pomocą SQLMAP


Aby przetestować tę lukę, użyjemy SQLMAP, jak widzieliśmy w poprzednim samouczku:

Narzędzie SQLMAP SQL Injection i Etyczne hakowanie baz danych.

Musimy szukać adresu URL, do którego przesyłane są parametry, do tego nic lepszego niż wyszukiwarka, jeśli umieścimy kod książki np. 1000, otrzymamy link w przeglądarce. Następnie używamy polecenie sqlmap aby dowiedzieć się, który silnik bazy danych korzysta z sieci.

Sprawdzam, który silnik bazy danych korzysta z sieci i czy jest możliwy do zaatakowania i przeszukujemy bazę za pomocą następującego polecenia:

 ./sqlmap.py -u "http://192.168.0.21/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" --current-db

Możemy zaobserwować, że serwer to Apache i silnik bazy danych to Mysql 5.0.

Następnie spróbujemy przeskanować i wyświetlić listę znalezionych tabel bazy danych, w tym celu użyjemy następującego polecenia:

 ./sqlmap.py -u "http://192.168.0.15/cgi-bin/badstore.cgi?searchquery=hi&action=search&x=0&y=0" --tabele

E) Uzyskiwanie Dostęp administratora


Jedną z luk jest używanie parametrów adresu URL do zmiany sekcji lub stron sieci. BadStore posiada taką podatność np. http://192.168.0.15/… ction = myaccount, jeśli w parametrze action przekażemy jako sekcję przejdziemy do niej, dlatego możemy spróbować z adminem, panelem lub innym słowem wskazującym panel sterowania, np. http://192.168.0.15/… i?action=admin, skutecznie pozwala nam zobaczyć panel sterowania, ale niczego nie modyfikować.

Częstym błędem jest to, że podczas rejestracji użytkownika wysyłamy ukryte parametry, aby odróżnić jednego użytkownika od drugiego, na przykład klienta dostawcy lub administratora. Aby sprawdzić, czy tak się stanie, zainstalujemy wtyczkę do przeglądarki o nazwie Tamper Data, która pokazuje parametry wysyłane z formularza, dzięki czemu możemy sprawdzić, czy nie ma ukrytych parametrów.

Następnie aktywujemy wtyczkę z menu firefox Narzędzia> Dane sabotażu, pozwoli to na przechwycenie danych, które są przesyłane przez formularz, jeżeli przejdziemy do formularza rejestracyjnego a następnie klikniemy w sprzedaż danych sabotażowych opcja Rozpocznij modyfikację, podczas wysyłania przechwytuje dane.

Widzimy, że istnieje ukryte pole o nazwie rola i to ona określa rolę, więc U będzie użytkownikiem, a A administratorem, jeśli zmienimy parametr, zarejestrujemy się jako administrator i będziemy mieć pełną kontrolę nad panelem sterowania.

Teraz mamy dostęp do panelu administracyjnego, ponieważ rejestrując się, jesteśmy już zalogowani. Dostęp do wszystkich zestawień mamy również w panelu administracyjnym.

BadStore pomaga nam przeprowadzać wszelkiego rodzaju testy podatności i oferuje praktyczne podejście do wyszukiwania i wykorzystywania luk w zabezpieczeniach sieci Web. Jest to forma szkolenia, aby wiedzieć, jak prawidłowo zabezpieczyć swoje strony internetowe.

Możemy użyć oprogramowanie do wykrywania luk, widzieliśmy w samouczku takim jak:

Skanuj lukę w witrynie za pomocą ZAP

Nessus - Analizuj problemy z bezpieczeństwem sieci na stronach internetowych.

Możemy zobaczyć przykład skanowania i wygenerować raport, aby zobrazować, jaka jest każda podatność.

Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
wave wave wave wave wave