Review of Penetration Testing A Hands-On Introduction to Hacking
Wednesday, July 30, 2014
1 comments
Helping train a computer security incident response team (CSIRT) comes with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 territory when building out an enterprise incident response process. As I was reading No Starch's recently released Penetration Testing A Hands-On Introduction to Hacking book by Georgia Weldman I saw an opportunity. The book target's audience are beginners. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's words "I thought an introduction to pentesting would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience I most wanted to reach." The opportunity I saw was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book can also be leveraged by people new to incident response. Specifically, new to responding to systems hit with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r client-side or web application attacks. To see how a beginner pen testing book can become a beginner incident response book read on.
No Starch Press has a series of books with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "practical" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir title. These books are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of an entire training for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of a book. The reason is because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take a practical approach. They provide supplemental material which allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same hands-on activities cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are reading about throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Not only does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader learn through reading but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y learn by doing using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools and data described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books. The Penetration Testing book may not have "practical" in its title but it follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same approach, which is why it is a great book for beginners.
The book starts out by having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader configure four different virtual machines (VMs). One VM is a Kali box, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader launches attacks from. The three ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VMs (Windows XP, Windows 7, and Ubuntu) are configured very vulnerable to make it easier to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader progresses through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y read about performing various attacks followed by actually doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable VMs. It's an excellent approach to expose beginners to pen testing. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flip side, it's also an excellent approach to expose beginners to incident response. Not only does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader get familiar with different attacks, vulnerabilities, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payloads but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are creating compromised vulnerable VMs to examine after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader can compromise a system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to see what attack artifacts are present.
The book does cover numerous vulnerabilities and exploits. However, were two attack categories I thought excel at helping incident response beginners. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, attacks targeting client-side and web applications have been a significant issue for organizations. These attacks are so common that sooner or later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be encountered by most incident responders. As a result, exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks is of utmost important for people new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR field and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks thought-out different chapters. The reader may gain a thing or two from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attacks (i.e. MS08-067 exploitation) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits used in those attacks are something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may not see outside of training environments due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir age.
One step to perform in addition to what is outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Setting Up Your Virtual Lab chapter is to enable logging for Filezilla (FTP service) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP VM. To do so, access FileZill'a admin panel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select Edit -> Settings to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration window. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logging section check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enable Logging selection.
Before diving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client-side or web application attacks I need to take a moment to outline where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader needs to look for attack artifacts. I won't go into detail about all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts and will only cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pertinent ones to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows VMs.
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable applications installed on Windows XP is XAMPP. XAMPP is an "Apache distribution containing MySQL, PHP and Perl; this provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM with vulnerable web services. The following are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs and artifacts of interest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader would want to review after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks:
Apache logs location: C:\xampp\apache\logs
FileZilla log location: C:\xampp\FileZillaFTP\Logs
The Windows XP operating system artifacts of interest are:
NTFS Master File Table ($MFT)
NTFS Logfile ($Logfile)
Internet explorer browser artifacts
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 VM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web service IIS. The book provides a vulnerable web application (called BookApp) that runs on top of IIS. The ISS logging settings can be left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir default configuration. The following are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs and artifacts of interest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader would want to review after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks:
IIS logs location: C:\inetpub\logs\LogFiles\W3SVC1
Windows HTTP.sys error logging location: C:\Windows\System32\LogFiles\HTTPERR
The Windows 7 operating system artifacts of interest are:
NTFS Master File Table ($MFT)
NTFS Logfile ($Logfile)
NTFS Change Journal ($USNJrnl)
The last tidbit I'll cover before diving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to stay organized. As I worked my way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I took notes to record when and what attack I performed against what vulnerable VM. This reference made things easier as I was examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts; it was easier to match up attacks against activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts. The screenshot below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notes I kept
Keeping notes is not a necessity but something I highly recommend for beginners.
Artifacts left by client-side attacks have been well documented on this blog. To name a few: Java was documented here and here, Silverlight discussed here and here while Adobe Reader was mentioned here. Even though some artifacts have already been documented replicating client-side attacks is more beneficial than only reading research done by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Actually performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack against a vulnerable VM shows a completely different perspective and one that can't be attained by just reading about artifacts. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP parsed MFT around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was compromised with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aurora Internet Explorer exploit (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm page.)
The book covers numerous attacks against web applications on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP, Windows 7, and Ubuntu VMs. The variety of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks I thought provided a good starting point for exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different ways web servers and applications are compromised. In this post I'm only discussing a few items to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traces left in certain artifacts showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks took place.
Chapter 6 walks through a process for finding vulnerabilities on a VM. The chapter has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following methods: Nessus (vulnerability scanner), Nmap scripting engine (port scanner), Metasploit (exploitation framework), Nikto (web application scanner), and one manual technique. Exploring this aspect for incident response is important since for a system to be compromised a vulnerability had to be exploited. Seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traces left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different methods provides an idea about what one may come across during examinations.
The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nessus vulnerability scan activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 IIS logs. The image is only a small portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs but it illustrates how noisy vulnerability scanners are. This is obvious activity that most monitoring tools will detect fairly quickly. It's also activity that will most likely be tied to people authorized to perform this work for an organization and not an attacker.
In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIS logs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 W3SVC1 folder, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP.sys error logging provides additional clues about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability scanning activity as shown below.
The Nmap script scan activity leaves traces in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs as well but nothing close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount left by a vulnerability scanner. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 IIS logs where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nmap script scan activity was located (note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity will be dependent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script ran and won't always appear as it does in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.)
Part III in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book has eight different chapters focused on different types of attacks. I won't rehash what all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks are since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's table of contents is adequate enough. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks was against a command execution vulnerability, which allows a person to execute commands against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application. In order to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command's output - since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application doesn't display - it requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker (aka reader) to redirect it to a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is accessed.
The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command being executed though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "subscribe to a newsletter" functionality (line in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle.) It's not too apparent what is taking place since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP method used is a POST to send data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. The data is not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL. However, shortly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 POST cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a GET request for a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server named test.txt and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 200 status code means OK (file is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re). The POST method may not be too revealing but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GET method reveals a file is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server.
The server's MFT (parsed into a timeline) provides more clarity about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as shown below. The ipconfig.exe program executed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time as a new user (georgia) subscribed to a newsletter. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of test.txt shows it contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ipconfig command output.
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack that was discussed is leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PHPAdmin panel to execute SQL commands directly against a backend database. The attack involved executing a SQL command that creates a simple web shell on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system; shell only lets you execute commands in a supplied URL.
The Apache logs reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below. The line for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GET request at 21:17:01 (EDT) shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact SQL command that creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file called shell.php. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r highlighted lines show a request for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell.php file followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various commands that were executed through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell.
The server's MFT parsed into a timeline provides more clarity about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as shown below (time is in UTC).
As described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's introduction it is for beginners. Those who are new to pen testing field. I also see value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for incident response. For those who are eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r new to incident response without a background in offensive security or those who haven't been exposed to compromised web servers and applications. One shouldn't expect to know everything about investigating systems impacted by client-side and web attacks after working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Heck, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader may never see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se exact attacks (outside of pen testers) against production systems. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader will have a better understanding about attack vectors. The means by which an attacker can gain access to a system in order to deliver a payload or malicious outcome. The reader will have an even better understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector artifacts left on those systems. For anyone fitting what I just described should definitely pick up this book, build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMs, attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n discover what traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can find. It won't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir journey but it will be a good first one.
Practical Approach
No Starch Press has a series of books with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "practical" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir title. These books are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of an entire training for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of a book. The reason is because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take a practical approach. They provide supplemental material which allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same hands-on activities cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are reading about throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Not only does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader learn through reading but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y learn by doing using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools and data described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books. The Penetration Testing book may not have "practical" in its title but it follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same approach, which is why it is a great book for beginners.
The book starts out by having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader configure four different virtual machines (VMs). One VM is a Kali box, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader launches attacks from. The three ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VMs (Windows XP, Windows 7, and Ubuntu) are configured very vulnerable to make it easier to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader progresses through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y read about performing various attacks followed by actually doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable VMs. It's an excellent approach to expose beginners to pen testing. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flip side, it's also an excellent approach to expose beginners to incident response. Not only does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader get familiar with different attacks, vulnerabilities, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payloads but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are creating compromised vulnerable VMs to examine after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader can compromise a system cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system to see what attack artifacts are present.
The book does cover numerous vulnerabilities and exploits. However, were two attack categories I thought excel at helping incident response beginners. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, attacks targeting client-side and web applications have been a significant issue for organizations. These attacks are so common that sooner or later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be encountered by most incident responders. As a result, exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks is of utmost important for people new to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR field and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks thought-out different chapters. The reader may gain a thing or two from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attacks (i.e. MS08-067 exploitation) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits used in those attacks are something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may not see outside of training environments due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir age.
One Configuration Change for XP VM
One step to perform in addition to what is outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Setting Up Your Virtual Lab chapter is to enable logging for Filezilla (FTP service) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP VM. To do so, access FileZill'a admin panel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n select Edit -> Settings to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration window. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logging section check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enable Logging selection.
Where to Look
Before diving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client-side or web application attacks I need to take a moment to outline where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader needs to look for attack artifacts. I won't go into detail about all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts and will only cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pertinent ones to explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows VMs.
Windows XP
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable applications installed on Windows XP is XAMPP. XAMPP is an "Apache distribution containing MySQL, PHP and Perl; this provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM with vulnerable web services. The following are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs and artifacts of interest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader would want to review after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks:
Apache logs location: C:\xampp\apache\logs
FileZilla log location: C:\xampp\FileZillaFTP\Logs
The Windows XP operating system artifacts of interest are:
NTFS Master File Table ($MFT)
NTFS Logfile ($Logfile)
Internet explorer browser artifacts
Windows 7
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 VM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web service IIS. The book provides a vulnerable web application (called BookApp) that runs on top of IIS. The ISS logging settings can be left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir default configuration. The following are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs and artifacts of interest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader would want to review after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks:
IIS logs location: C:\inetpub\logs\LogFiles\W3SVC1
Windows HTTP.sys error logging location: C:\Windows\System32\LogFiles\HTTPERR
The Windows 7 operating system artifacts of interest are:
NTFS Master File Table ($MFT)
NTFS Logfile ($Logfile)
NTFS Change Journal ($USNJrnl)
Stay Organized
The last tidbit I'll cover before diving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to stay organized. As I worked my way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I took notes to record when and what attack I performed against what vulnerable VM. This reference made things easier as I was examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts; it was easier to match up attacks against activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts. The screenshot below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notes I kept
Keeping notes is not a necessity but something I highly recommend for beginners.
Client side attacks
Artifacts left by client-side attacks have been well documented on this blog. To name a few: Java was documented here and here, Silverlight discussed here and here while Adobe Reader was mentioned here. Even though some artifacts have already been documented replicating client-side attacks is more beneficial than only reading research done by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Actually performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack against a vulnerable VM shows a completely different perspective and one that can't be attained by just reading about artifacts. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP parsed MFT around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was compromised with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aurora Internet Explorer exploit (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 htm page.)
Web Application attacks
The book covers numerous attacks against web applications on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP, Windows 7, and Ubuntu VMs. The variety of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks I thought provided a good starting point for exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different ways web servers and applications are compromised. In this post I'm only discussing a few items to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traces left in certain artifacts showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks took place.
Vulnerability and Nmap Script Scan Against Windows 7
Chapter 6 walks through a process for finding vulnerabilities on a VM. The chapter has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following methods: Nessus (vulnerability scanner), Nmap scripting engine (port scanner), Metasploit (exploitation framework), Nikto (web application scanner), and one manual technique. Exploring this aspect for incident response is important since for a system to be compromised a vulnerability had to be exploited. Seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traces left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different methods provides an idea about what one may come across during examinations.
The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nessus vulnerability scan activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 IIS logs. The image is only a small portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs but it illustrates how noisy vulnerability scanners are. This is obvious activity that most monitoring tools will detect fairly quickly. It's also activity that will most likely be tied to people authorized to perform this work for an organization and not an attacker.
In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIS logs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 W3SVC1 folder, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP.sys error logging provides additional clues about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability scanning activity as shown below.
The Nmap script scan activity leaves traces in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs as well but nothing close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount left by a vulnerability scanner. The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 IIS logs where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nmap script scan activity was located (note: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity will be dependent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script ran and won't always appear as it does in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image.)
Command Execution Vulnerability Against Windows 7 IIS
Part III in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book has eight different chapters focused on different types of attacks. I won't rehash what all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks are since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's table of contents is adequate enough. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks was against a command execution vulnerability, which allows a person to execute commands against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application. In order to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command's output - since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application doesn't display - it requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker (aka reader) to redirect it to a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is accessed.
The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command being executed though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "subscribe to a newsletter" functionality (line in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle.) It's not too apparent what is taking place since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTP method used is a POST to send data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. The data is not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL. However, shortly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 POST cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a GET request for a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server named test.txt and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 200 status code means OK (file is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re). The POST method may not be too revealing but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GET method reveals a file is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server.
The server's MFT (parsed into a timeline) provides more clarity about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as shown below. The ipconfig.exe program executed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time as a new user (georgia) subscribed to a newsletter. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of test.txt shows it contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ipconfig command output.
PHPAdmin SQL Command Against Windows XP
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack that was discussed is leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PHPAdmin panel to execute SQL commands directly against a backend database. The attack involved executing a SQL command that creates a simple web shell on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system; shell only lets you execute commands in a supplied URL.
The Apache logs reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below. The line for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GET request at 21:17:01 (EDT) shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact SQL command that creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file called shell.php. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r highlighted lines show a request for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell.php file followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various commands that were executed through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell.
The server's MFT parsed into a timeline provides more clarity about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as shown below (time is in UTC).
Conclusion
As described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's introduction it is for beginners. Those who are new to pen testing field. I also see value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for incident response. For those who are eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r new to incident response without a background in offensive security or those who haven't been exposed to compromised web servers and applications. One shouldn't expect to know everything about investigating systems impacted by client-side and web attacks after working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Heck, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader may never see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se exact attacks (outside of pen testers) against production systems. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader will have a better understanding about attack vectors. The means by which an attacker can gain access to a system in order to deliver a payload or malicious outcome. The reader will have an even better understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vector artifacts left on those systems. For anyone fitting what I just described should definitely pick up this book, build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMs, attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n discover what traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can find. It won't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir journey but it will be a good first one.
Labels:
attack vectors,
book review,
exploits,
web
Posts
