Penetration testing H3

Tässä blogissa käytetyt menetelmät ovat väärin käytettynä laittomia, käytä omalla vastuulla.

WebGoatin Docker asennus ja MitmProxyn käyttöönotto Blogissa Penetration testing H2.

FoxyProxy Firefoxille

Asensin FoxyProxyn Firefox Add-ons sivulta suoraan “+Add to Firefox” linkistä. Konfiguroin FoxyProxyn WebGoat palvelinta varten menemällä alku asetuksista “+Add”.

Edit Proxy Local:iin lisäsin MitmProxyn käyttämän portin 8888 ja localhostin, koska käytän Proxyä paikallisesti.

Painoin juuri luomani Proxy linkityksen kohdasta Patterns.

Lisäsin Palvelun eli WebGoatin Dockerin portilla 8080 eli nyt MitmProxyä käytetään vain Sivulla localhost:8080/WebGoat. Nyt esim google.com ei torju yhteydenottojani.

WebGoat tehtävät AJAX Security

Tehtävissä näkyy vain vastaukset ei kaikkea mitä olen kokeillut kyseisiin tehtäviin.

DOM Injection

Tehtävässä on Websivulla nappi “Activate!”, joka on lukittu. Tehtävän tarkoitus saada napin lukitus pois.

Avasin Firefoxin ohjelman verkkosivujen tutkimiseen F12 näppäimellä. Etsin Inspectorilla kyseisen napin rivit, jossa luki rivi <input id=”SUBMIT” value=”Activate!” disabled=””… Vaihdoin riviltä tekstin disabled –> enabled.

Websivun-napin lukitus aukesi ja tehtävä on ratkaistu.

LAB: Client Side Filtering

Tehtävässä kirjauduttu käyttäjälle Moe Stooge, joka voi katsella kaikkien muiden palkka tietoja paitsi Neville Bartholomew:in. Tehtävässä tarkoituksena löytää Neville Bartholomews:in vuosi palkka.

Avasin valmiiksi konfiguroimani MitmProxyn ja painoin WebGoat palvelun sivulta Choose Employee, joka lähettää GET paketin josta tiedot pystyin lukemaan suoraan selko kielellä.

<tr id='112'>
 <td>112</td>
 <td>Neville</td>
 <td>Bartholomew</td>
 <td>111-111-1111</td>
 <td>450000</td>
</tr>

Tästä saadaan tieto Nevillen palkasta, joka on 450-tuhatta vuodessa eli tehtävä on ratkaistu.

XML Injection

Tehtävän tavoite avata asiakkaalle 836239 lisää palkintoja websivulle, joihin asiakkaalla ei ole oikeutta.

Avasin MitmProxyn kirjoitin asiakas ID, painoin Submit nappia ja etsin tiedoston, joka voisi olla tekemisissä tietojen lisäyksessä websivulle. Löysin GET funktion, joka tuo palkinnot sivulle, mutta tarvitsin vielä intersept toimintoa, joka menee päälle MitmProxyssä näppäimestä “i”. Kirjoitin intersept toimintoon sivun alku tunnuksen “attack” laitoin followin päälle näppäimillä “Shift+F” ja menin eteenpäin näppäimellä “a”. Löysin haluamani GET funktion ja lisäsin sen response-body:yn Core Duo Laptopin ja Hawaii Cruisen.

<root>
<reward>WebGoat Mug 20 Pts </reward>
<reward>WebGoat t-shirt 50 Pts </reward>
<reward>WebGoat Secure Kettle 30 Pts </reward>
<reward>WebGoat Core Duo Laptop 2000 Pts </reward>
<reward>WebGoat Hawaii Cruise 3000 Pts </reward>
</root>
 

Otin vielä intersept=attack pois päältä, ennekuin lähetin tiedoston eteenpäin näppäimillä “Shift+A”.

Lopuksi sain kaikki palkinnot valittua eli tehtävä ratkaistu.

JSON Injection

Tehtävänä vaihtaa kalliimpi lentolipun hinta halvemmaksi webbisivulla.

Aloitin täyttämällä kentät ja painamalla Submit, löysin MitmProxyllä GET paketin, joka sisälsi lennot, pysähdykset ja hinnat. Seuraavaksi käytin intercept toimintoa “i” näppäimellä attack hakusanalla siepatakseni paketin, jotta voin editoida ja lähettää tiedot väärällä hinnalla takaisin. Vaihdoin lennon hinnaksi 200$.

{
 "From": "Boston",
 "To": "Seattle",
 "flights": [
 {"stops": "0", "transit" : "N/A", "price": "$200"},
 {"stops": "2", "transit" : "Newark,Chicago", "price": "$300"}
 ]
 }

Kalliimman lennon hinta vaihtui 200$ ja pystyin valitsemaan ja lähettämään sen eli tehtävä ratkaistu.

Lähteet

Pohjana Tero Karvinen 2019: Penetration Testing kurssi, http://terokarvinen.com

FoxyProxy addon sivu: https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/?src=search

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s