[PENTEST] Méthodologie d’intrusion d’un serveur web
Je ne pourrais être tenu pour responsable des dégâts résultants de la mauvaise utilisation des connaissances et techniques décrites dans ce guide.
Petit rappel de la loi :
L’article L.323-1 du Nouveau code pénal prévoit que ” le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 euros d’amende “. Ces systèmes comprennent, entre autre, les sites web.
Dans ce document, est décrite la méthodologie d’intrusion d’un serveur web, de la cartographie jusqu’au contrôle à distance. La machine cible est disponible afin de réaliser les actions décrites.
Nous verrons toutes les phases d’audit (test d’intrusion) d’un serveur jusqu’à en prendre le contrôle. Plusieurs vulnérabilités seront exploitées afin de varier les techniques d’attaques.
Au sommaire :
- Cartographier les ressources d’un serveur
- Détecter et exploiter des vulnérabilités des services suivants :
- Escalader ses privilèges
- La phase post-exploitation
- Récupération de mots de passe
- Installation de porte dérobée
- Backdoorer Apache
- Backdoor port-knocking
- Et d’autres
Les ressources :
- Le guide : Intrusion d’un serveur web_v1.5
- demo_cybersec.ova
Vues : 334