Abbiamo trattato la prima parte della soluzione del laboratorio D0not5top Vulnhub utilizzando una combinazione di tecniche attive di raccolta delle informazioni insieme all'attraversamento delle directory e alla navigazione per raccogliere tutti i flag.
Abbiamo trattato la soluzione della seconda parte del laboratorio D0not5top Vulnhub utilizzando JohnTheRipper e Metasploit per raccogliere i flag di sfida.
L'attraversamento della directory è un altro nome per l'attraversamento del percorso. Grazie a queste vulnerabilità, un utente malintenzionato può leggere qualsiasi file sul server su cui è in esecuzione il programma.
Un utente malintenzionato potrebbe occasionalmente essere in grado di scrivere su qualsiasi file sul server, il che gli darebbe la possibilità di alterare il comportamento o i dati dell'applicazione e infine assumere il controllo totale della macchina.
Un programma Java chiamato DirBuster utilizza diversi thread per effettuare ricerche nelle directory e nei nomi dei file sui server web e applicativi. Al giorno d'oggi, è comune imbattersi in qualcosa che sembra essere un server Web nel suo normale stato di installazione ma che in realtà contiene pagine e applicazioni nascoste. DirBuster li cerca.
Questi tipi di programmi, nel frattempo, sono spesso limitati all'elenco dei file e alla directory che includono. Per produrlo è stato impiegato un altro metodo. Le directory e i file effettivamente utilizzati dagli sviluppatori sono stati raccolti effettuando una ricerca in Internet e creando l'elenco da zero! Con nove elenchi distinti inclusi, DirBuster è incredibilmente efficiente nel localizzare file e cartelle nascosti. Se ciò non bastasse, DirBuster offre inoltre la possibilità di utilizzare un approccio di pura forza bruta, che elimina tutti i potenziali nascondigli per file e directory nascosti.
Ottieni le note sul certificato OSCP
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Video Soluzione | Prima parte
Video Soluzione | Seconda parte
