Prämisse

In diesem Video-Walkthrough haben wir das Konzept des Fuzzings in Computerprogrammen und Webanwendungen behandelt. Wir haben ein Beispiellabor von TryHackMe Advent of Cyber 2 / Tag 4 / Santa's watching verwendet.

Beschreibung der Herausforderung

Wir werden uns einige der grundlegenden Tools ansehen, die beim Testen von Webanwendungen verwendet werden. Sie werden lernen, wie Sie mit Gobuster einen Webserver nach versteckten Dateien und Ordnern durchsuchen, um die Wiederherstellung der Foren von Elf zu erleichtern. Später werden Sie in eine wichtige Technik eingeführt, nämlich Fuzzing, und Sie werden die Möglichkeit haben, die Theorie in die Praxis umzusetzen.

Unser bösartiger, verabscheuungswürdiger, gemeiner, grausamer, verächtlicher, böser Hacker hat Elfs Foren verunstaltet und die Anmeldeseite komplett entfernt! Wir haben jedoch möglicherweise immer noch Zugriff auf die API. Der Systemadministrator hat uns auch mitgeteilt, dass die API Protokolle mit Datumsangaben im Format JJJJMMTT erstellt.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Zimmer Verknüpfung

Empfohlene Zimmer:

TryHackMe | ZTH: Web 2

CC: Pen-Tests

Herausforderungsfragen

  • Angesichts der URL „http://shibes.xyz/api.php„, wie würde der gesamte wfuzz-Befehl aussehen, um den Parameter „breed“ mithilfe der Wortliste „big.txt“ abzufragen (nehmen Sie an, dass sich „big.txt“ in Ihrem aktuellen Verzeichnis befindet)

Notiz: Aus rechtlichen Gründen nicht Führen Sie diesen Befehl tatsächlich aus, da die betreffende Site dem Fuzzing nicht zugestimmt hat!

  • Verwenden Sie GoBuster (gegen das von Ihnen bereitgestellte Ziel – nicht gegen die Domäne shibes.xyz) um das API-Verzeichnis zu finden. Welche Datei ist dort?
  • Fuzzen Sie den Datumsparameter der Datei, die Sie im API-Verzeichnis gefunden haben. Welche Flagge wird im richtigen Beitrag angezeigt?

Antworten / Tag 4

Stellen Sie Ihre AttackBox (die blaue Schaltfläche „AttackBox starten“) und die Task-Maschine (grüne Schaltfläche bei dieser Aufgabe) bereit, falls Sie dies noch nicht getan haben. Sobald beide bereitgestellt sind, öffnen Sie FireFox auf der AttackBox und kopieren/fügen Sie die IP-Adresse der Maschine (MACHINE_IP) in die Suchleiste des Browsers ein.

Angesichts der URL „http://shibes.xyz/api.php„, wie würde der gesamte wfuzz-Befehl aussehen, um den Parameter „breed“ mithilfe der Wortliste „big.txt“ abzufragen (nehmen Sie an, dass sich „big.txt“ in Ihrem aktuellen Verzeichnis befindet)

Notiz: Aus rechtlichen Gründen nicht Führen Sie diesen Befehl tatsächlich aus, da die betreffende Site dem Fuzzing nicht zugestimmt hat!

Verwenden Sie GoBuster (gegen das von Ihnen bereitgestellte Ziel – nicht gegen die Domäne shibes.xyz) um das API-Verzeichnis zu finden. Welche Datei ist dort?

Fuzzen Sie den Datumsparameter der Datei, die Sie im API-Verzeichnis gefunden haben. Welche Flagge wird im richtigen Beitrag angezeigt?

Video-Komplettlösung

 

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen