Wir haben den ersten Teil der Lösung für das D0not5top Vulnhub-Labor abgedeckt, indem wir eine Kombination aus Techniken zur aktiven Informationsbeschaffung sowie Verzeichnisdurchquerung und Durchsuchen verwendet haben, um alle Flags zu sammeln.
Wir haben den zweiten Teil der Lösung für das D0not5top Vulnhub-Labor abgedeckt, indem wir JohnTheRipper und Metasploit zum Sammeln der Challenge-Flags verwendet haben.
Directory Traversal ist ein anderer Name für Path Traversal. Dank dieser Schwachstellen kann ein Angreifer jede Datei auf dem Server lesen, auf dem das Programm ausgeführt wird.
Gelegentlich kann ein Angreifer möglicherweise in jede beliebige Datei auf dem Server schreiben, was ihm die Möglichkeit gibt, das Anwendungsverhalten oder die Daten zu ändern und schließlich die vollständige Kontrolle über den Computer zu erlangen.
Ein Java-Programm namens DirBuster verwendet mehrere Threads, um Verzeichnisse und Dateinamen auf Web- und Anwendungsservern zu durchsuchen. Heutzutage stößt man häufig auf etwas, das in seinem normalen Installationszustand wie ein Webserver aussieht, aber tatsächlich versteckte Seiten und Anwendungen enthält. DirBuster sucht nach diesen.
Diese Art von Programmen ist häufig auf die Dateiliste und das Verzeichnis beschränkt, die sie enthalten. Um dies zu erreichen, wurde eine andere Methode verwendet. Die Verzeichnisse und Dateien, die die Entwickler tatsächlich verwenden, wurden durch eine Suche im Internet und die Erstellung der Liste von Grund auf gesammelt! Mit neun verschiedenen enthaltenen Listen ist DirBuster unglaublich effizient beim Auffinden dieser versteckten Dateien und Ordner. Und als ob das noch nicht genug wäre, bietet DirBuster zusätzlich die Möglichkeit, einen reinen Brute-Force-Ansatz zu verwenden, der alle potenziellen Verstecke für versteckte Dateien und Verzeichnisse eliminiert.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Komplettlösung | Teil eins
Video-Komplettlösung | Teil zwei