Tehtävien raportit:
6. hash
Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Santos et al 2017: Security Penetration Testing – The Art of Hacking Series LiveLessons: Lesson 6: Hacking User Credentials Authentication and Authorization mechanisms user credentials are stored in database or textfiles, for webapplications in SQL database, in active directory domain in proprietary database Petya – exploited system using EternalBlue exploit, payload used…
5. walkthrough
Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ walktrough artikkeleita – https://0xdf.gitlab.io/ HTB: Laboratory – https://0xdf.gitlab.io/2021/04/17/htb-laboratory.html Tässä läpikäynnissä ja Linux koneessa on tarkoitus hyväksikäyttää GitLabin instanssia. Tiedustelu – nmap, wfuzz, gobuster, searchsploit avoimet portit 22/tcp ssh, 80/tcp http, 443/tcp https sivustot laboratory.htb + git.laboratory.htb, GitLab versio 12.8.1 searchsploit tunnistaa arbitrary file read haavoittuvuuden GitLab versiossa 12.9 haavoittuvuus (CVE-2020-10977) “GitLab EE/CE…
4. aktiivinen tiedustelu ja nmap
Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Santos et al: The Art of Hacking (Video Collection): [..] 4.3 Surveying Essential Tools for Active Reconnaissance. Active reconnaissance sending information to target network, using portscans set off alarms in logs – if monitored (passive reconnaissance is invisible to logs) vulnerability scanning Successful reconnaissance gives you an idea which systems and services…
3. social engineering
Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Vierailijaluento: Social Engineering – Riku Juurikko “Social engineering is any act that influences a person to take an action that may or mat not be in his or her best interests.” Christopher Hadnagy Mikä on social engineering? Toisen henkilön vaikuttaminen tai manipuloiminen, ei välttämättä aina negaatiivisesti Tavallisin tapa saada pääsy organisaatioon,…
2. kybertappoketju, nmap, metasploit ja harjoitusmaalit
Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ Hutchins et al 2011: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains Tutkielma esittää uuden tunkeutumisen tappoketjun mallin, jonka antaa uusia näkemyksiä tunkeutumisen analysointiin sekä puolustaviin toimenpiteisiin. Uusi uhka-tyyppi: Advanced Persistent Threat (APT) aikomus on vaarantaa taloudellisia tai sotilallisia tietoja (kohteena esim. teollisuus ja hallitukset…
1. Kutsu, vuohi ja pimeän verkon päiväkirjat
Kurssisivu ja tehtävät: https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/ a) Hanki kutsu HackTheBoxiin. HackTheBoxin harjoitusten aloittaminen vaatii, että ensin onnistuu selvittämään kutsu-koodia. Päätän tarkistaa mitä sivun taustalla tapahtuu, eli avaan selaimen (Google Chrome) Developer toolsit. Tästä heti paljastuu seuraavat askeleet. Tässä kohtaa jouduin Googlaamaan tuntemattoman sanan obfuscated, jolloin löysin myös työkaluja, joiden avulla koodia pystyy kaunistaa. Tästä löytyy kiinnostavat kohdat, url,…
Tunkeutumistestaus
Tällä sivulla julkaisen raporttini ja kotitehtäväni tunkeutumistestaus-kurssilla. Kurssi on osa opintojani Haaga-Helian Ammattikorkeakoulussa. Kurssilla on tarkoitus opiskella erilaisia tunkeutumistestaukseen liittyviä menetelmiä sekä myös kokeilla ja harjoitella niiden käyttöä käytännössä. Osa tehtävistä on salasanan takana koska niissä käsitellään HackTheBoxin koneita ja en halua spoilata.
Tehtävät ja kurssisivu:
https://terokarvinen.com/2021/hakkerointi-kurssi-tunkeutumistestaus-ict4tn027-3005/
Materiaali:
Santos et al: The Art of Hacking (Video Collection)
Jaswal 2020: Mastering Metasploit – 4ed: Chapter 1: Approaching a Penetration Test Using Metasploit
Hellun sivu 