Premisa

En este tutorial en vídeo, cubrimos el concepto de fuzzing en programas informáticos y aplicaciones web. Usamos un laboratorio de ejemplo de TryHackMe Advent of Cyber 2 / Día 4 / Santa observando

Descripción del desafío

Vamos a echar un vistazo a algunas de las herramientas fundamentales utilizadas en las pruebas de aplicaciones web. Aprenderá a utilizar Gobuster para enumerar un servidor web en busca de archivos y carpetas ocultos para ayudar en la recuperación de los foros de Elf. Más adelante, se te presentará una técnica importante que es el fuzzing, donde tendrás la oportunidad de poner la teoría en práctica.

¡Nuestro hacker malicioso, despreciable, vil, cruel, despectivo y malvado ha desfigurado los foros de Elf y ha eliminado por completo la página de inicio de sesión! Sin embargo, es posible que aún tengamos acceso a la API. El administrador del sistema también nos dijo que la API crea registros usando fechas con un formato AAAAMMDD.

Obtenga notas del certificado OSCP

Habitación Enlace

Habitaciones recomendadas:

PruebeHackMe | ZTH: Web 2

PruebeHackMe | CC: Prueba de penetración

Preguntas de desafío

  • Dada la URL “http://shibes.xyz/api.php“, ¿cómo se vería todo el comando wfuzz para consultar el parámetro “raza” usando la lista de palabras “big.txt” (suponga que “big.txt” está en su directorio actual)?

Nota: Por razones legales, no no ¡Realmente ejecute este comando ya que el sitio en cuestión no ha dado su consentimiento para ser borrado!

  • Utilice GoBuster (contra el objetivo que implementó, no el dominio shibes.xyz) para encontrar el directorio API. ¿Qué archivo hay?
  • Borre el parámetro de fecha en el archivo que encontró en el directorio API. ¿Cuál es la bandera que se muestra en la publicación correcta?

Respuestas / Día 4

Implemente su AttackBox (el botón azul "Iniciar AttackBox") y la máquina de tareas (botón verde en esta tarea) si aún no lo ha hecho. Una vez que ambos se hayan implementado, abra Firefox en AttackBox y copie/pegue la IP de la máquina (MACHINE_IP) en la barra de búsqueda del navegador.

Dada la URL “http://shibes.xyz/api.php“, ¿cómo se vería todo el comando wfuzz para consultar el parámetro “raza” usando la lista de palabras “big.txt” (suponga que “big.txt” está en su directorio actual)?

Nota: Por razones legales, no no ¡Realmente ejecute este comando ya que el sitio en cuestión no ha dado su consentimiento para ser borrado!

Utilice GoBuster (contra el objetivo que implementó, no el dominio shibes.xyz) para encontrar el directorio API. ¿Qué archivo hay?

Borre el parámetro de fecha en el archivo que encontró en el directorio API. ¿Cuál es la bandera que se muestra en la publicación correcta?

Tutorial en vídeo

 

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos