IDOR wir kommen!
Task 1 What is an IDOR?
Frage 1:
What does IDOR stand for?
Die Antwort erhalten wir aus der Erklärung.
Antwort 1:
Insecure Direct Object Reference
Monat: August 2022 (Seite 1 von 2)
Mit Lichtgeschwindigkeit geht es an den Authentifizierungen vorbei *badum tss*
Task 1 Brief
Der Name sagt alles. Keine Fragen, keine Antworten.
Task 2 Username Enumeration
Frage 1:
What is the username starting with si*** ?
Wir benutzen wieder den vorgegebenen Befehl, passen ihn aber an unsere Verzeichnisse an:
ffuf -w /usr/share/seclists/Usernames/Names/names.txt -X POST -d "username=FUZZ&email=x&password=x&cpassword=x" -H "Content-Type: application/x-www-form-urlencoded" -u http://10.10.138.227/customers/signup -mr "username already exists"Keine Müdigkeit und gleich weiter mit Subdomain Enumeration!
Task 1 Brief
Frage 1:
What is a subdomain enumeration method beginning with B?
Antwort 1:
Brute Force
Wir wollen keine Zeit verlieren und machen gleich mit Content Discovery weiter!
Task 1 What Is Content Discovery?
Frage 1:
What is the Content Discovery method that begins with M?
Antwort 1:
Manually
Los geht es also mit Web Applications und ihren Schwachstellen!
Task 1 Walking An Application
Wie immer, eine kurze Einleitung und keine Fragen. Wir werden uns also eine Website ansehen und mit unserem Brwoser Schwachstellen aufdecken!
WeiterlesenWeiter geht es mit Principles of Security, ob es auch eine Wiederholung wird? (Ja, ziemlich sicher!)
Task 1 Introduction
Wie immer, eine kurze Einleitung ohne Fragen.
Task 2 The CIA Triad
Frage 1:
What element of the CIA triad ensures that data cannot be altered by unauthorised people?
Antwort 1:
Integrity
Nachdem wir den CompTIA Pentest+ Pfad abgeschlossen haben, habe ich mich entschlossen mit dem Jr Penetration Tester Pfad weiterzumachen. In diesem Pfad haben wir bereits (druch die anderen Pfade und Räume) 39% abgeschlossen und machen damit auch gleich den Web Fundamentals Pfad fertig. Starten wir also mit Pentesting Fundamentals!
Task 1 What is Penetration Testing?
Eine kurze Einleitung zu Penetration Tests und keine Fragen.
Task 2 Penetration Testing Ethics
Frage 1:
You are given permission to perform a security audit on an organisation; what type of hacker would you be?
Antwort 1:
White Hat
Python ist eine sehr wichtige und vielseitige Programmiersprache, die auch sehr anfängerfreundlich ist. Nachdem wir die Python Basics bereits kennengelernt haben, bekommen wir hier Wissen für Penetration-Tester vermittelt.
Was genau, erfahren wir in der Einleitung:
Throughout this room, you will see how to:
- Use Python to enumerate the target’s subdomain
- Build a simple keylogger
- Scan the network to find target systems
- Scan any target to find the open ports
- Download files from the internet
- Crack hashes
Der letzte Raum im CompTIA Pentest+ Path, die Grundlagen der Post-Exploitation!
Task 1 Introduction
Nur ein kleiner Überblick und keine Aufgaben.
Task 2 Enumeration w/ Powerview
Wir folgen der Anleitung und lernen die ersten Schritte mit PowerView. Im Cheatsheet suchen wir nun nach Lösungen für die Fragen.
Frage 1:
What is the shared folder that is not set by default?
Mit Get-NetShare werden uns die Shared Folder angezeigt (hier muss ich sagen, dass das Cheatsheet ziemlich nutzlos war und ich einfach etwas herumprobiert habe):
Ursprünglich der letzte Raum im CompTIA Pentest+ Pfad, seit kurzem der Vorletzte. Lernen wir die Grundfunktionen von Kerberos kennen und wie wir diese ausnutzen können.
Task 1 Introduction
Alle Fragen können mit dem Erklärungstext beantwortet werden.
Frage 1:
What does TGT stand for?
Antwort 1:
Ticket Granting Ticket
Frage 2:
What does SPN stand for?
Antwort 2:
Service Principal Name
Frage 3:
What does PAC stand for?
Antwort 3:
Privilege Attribute Certificate
Frage 4:
What two services make up the KDC?
Antwort 4:
AS, TGS