Category Archives: Tunkeutumistestaus

Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Santos et al 2017: Security Penetration Testing – The Art of Hacking Series LiveLessons: Lesson 6: Hacking User Credentials  Authentication and Authorization mechanisms user credentials are stored in database or textfiles, for webapplications in SQL database, in active directory domain in proprietary database Petya – exploited system using EternalBlue exploit, payload usedContinue reading “6. hash”

Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ walktrough artikkeleita – https://0xdf.gitlab.io/ HTB: Laboratory – https://0xdf.gitlab.io/2021/04/17/htb-laboratory.html Tässä läpikäynnissä ja Linux koneessa on tarkoitus hyväksikäyttää GitLabin instanssia. Tiedustelu – nmap, wfuzz, gobuster, searchsploit avoimet portit 22/tcp ssh, 80/tcp http, 443/tcp https sivustot laboratory.htb + git.laboratory.htb, GitLab versio 12.8.1 searchsploit tunnistaa arbitrary file read haavoittuvuuden GitLab versiossa 12.9 haavoittuvuus (CVE-2020-10977) “GitLab EE/CEContinue reading “5. walkthrough”

Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Santos et al: The Art of Hacking (Video Collection): [..] 4.3 Surveying Essential Tools for Active Reconnaissance. Active reconnaissance sending information to target network, using portscans set off alarms in logs – if monitored (passive reconnaissance is invisible to logs) vulnerability scanning Successful reconnaissance gives you an idea which systems and servicesContinue reading “4. aktiivinen tiedustelu ja nmap”

Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Vierailijaluento: Social Engineering – Riku Juurikko “Social engineering is any act that influences a person to take an action that may or mat not be in his or her best interests.” Christopher Hadnagy Mikä on social engineering? Toisen henkilön vaikuttaminen tai manipuloiminen, ei välttämättä aina negaatiivisesti Tavallisin tapa saada pääsy organisaatioon,Continue reading “3. social engineering”

Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Hutchins et al 2011: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains Tutkielma esittää uuden tunkeutumisen tappoketjun mallin, jonka antaa uusia näkemyksiä tunkeutumisen analysointiin sekä puolustaviin toimenpiteisiin. Uusi uhka-tyyppi: Advanced Persistent Threat (APT) aikomus on vaarantaa taloudellisia tai sotilallisia tietoja (kohteena esim. teollisuus ja hallituksetContinue reading “2. kybertappoketju, nmap, metasploit ja harjoitusmaalit”

Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ a) Hanki kutsu HackTheBoxiin. HackTheBoxin harjoitusten aloittaminen vaatii, että ensin onnistuu selvittämään kutsu-koodia. Päätän tarkistaa mitä sivun taustalla tapahtuu, eli avaan selaimen (Google Chrome) Developer toolsit. Tästä heti paljastuu seuraavat askeleet. Tässä kohtaa jouduin Googlaamaan tuntemattoman sanan obfuscated, jolloin löysin myös työkaluja, joiden avulla koodia pystyy kaunistaa. Tästä löytyy kiinnostavat kohdat, url,Continue reading “1. Kutsu, vuohi ja pimeän verkon päiväkirjat”