[PENTEST] Méthodologie d’intrusion d’un serveur web

Je ne pourrais être tenu pour responsable des dégâts résultants de la mauvaise utilisation des connaissances et techniques décrites dans ce guide.

 

Petit rappel de la loi :

L’article L.323-1 du Nouveau code pénal prévoit que ” le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 euros d’amende “. Ces systèmes comprennent, entre autre, les sites web.

 

Dans ce document, est décrite la méthodologie d’intrusion d’un serveur web, de la cartographie jusqu’au contrôle à distance. La machine cible est disponible afin de réaliser les actions décrites.

 

Nous verrons toutes les phases d’audit (test d’intrusion) d’un serveur jusqu’à en prendre le contrôle. Plusieurs vulnérabilités seront exploitées afin de varier les techniques d’attaques.

 

Au sommaire :

• Cartographier les ressources d’un serveur
• Détecter et exploiter des vulnérabilités des services suivants :
  • Web (cms de type Joomla et Drupal)
  • Tomcat
  • SSH
• Escalader ses privilèges
  • Escalade de privilèges via une vulnérabilité noyau
  • Escalade de privilèges via sudo
• La phase post-exploitation
  • Récupération de mots de passe
  • Installation de porte dérobée
    • Backdoorer Apache
    • Backdoor port-knocking
    • Et d’autres

 

Les ressources :

• Le guide : Intrusion d’un serveur web_v1.5
• demo_cybersec.ova

 

 

Vues : 334