الوسوم:
حالة الموضوع:
مغلق
  1. Anti-Trust

    Anti-Trust Developer

    الأنتساب:
    ‏12 مايو 2012
    المشاركات:
    15
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الوظيفة:
    w00t
    الإقامة:
    jordan
    بسم الله الرحمن الرحيم


    WebGoat insecure Web Application


    طبعا سأقوم باستباق الاحداث للان حيث ان هذا الــ Hacking Lab طبعا لن اقوم بارفاق روابط تحميلية للمشروع حيث ان منتدي شبكة عراق تيم سيقدم هذه الخدمه علي شكل تحدي لجميع الاعضاء ( توريط عيني عينك ) i:q2^: لكن الي حصل البارحه من حديث ان هذا التحدي هو صعب لدي الكثيرين ويعتبر الــ WebGoate كأفضل مثال تعليمي للكثير من الــ Web Application Flow


    حيث سيتعلم الطلاب الكثير والجديد من انواع الثغرات علي الــ Web Application لكن ما حدث انني قمت بالمراهنه عليكم انكم تستطيعون انهاء التحدي - والاستمتاع بمحتوي التدريب كاملا حيث سيتعلم الطالب الكثير عن Cross Site Script - Backdooring MYSQL والكثير من التحديات القادمه ..


    ما جعلني القيام لكتابة هذ الموضوع اولا .. لتعلم كيفية التعامل مع الــ WebGoat كبداية ثانيا التعلم عن كيفية عمل Setup كامل - وخصوصا Over Lan Access حيث اي مستخدم سيلاحظ ان الــ WebGoat لايسمح بالاتصالات الخارجية ..


    لنشاهد الان كيفية تثبيت الــ WebGoat علي الــ Backtrack


    اولا سنقوم بالعمل علي النسخه التالية :


    [​IMG]


    نقوم بفك الضغط عن النسخه كالتالي :


    [​IMG]


    نقوم الان بنقل النسخه الي مسار الــ Web Root

    كود PHP:
                           mv WebGoat-5.3_RC1/ /var/www/  
    [​IMG]

    نقوم باعطاء تصريح Execute لملف webgoat.sh

    الان لاحظ ان في حالة تشغيل الــ WebGoat كالتالي ..

    [​IMG]

    في حالة محاولة الدخول الي الــ LAB عبر Host اخر نحصل علي الخطأ التالي :

    The connection was reset


    كيفية حل المشكلة التالية يلزمنا الان اعداد الـ WebGoat لعملية Access Online كالتالي :


    اولا نقوم بعمل stop لــ Webgoat

    كود PHP:
    webgoat.sh stop  

    نذهب الي المسار التالي :


    كود PHP:
                           /var/www/WebGoat-5.3_RC1/tomcat/conf  

    نقوم بتغير اعدادات الملف التالي :

    nano server_80.xml

    [[​IMG]


    بتغير الاعدادات كما بالصورة اعلاه ..

    نقوم بعمل run مرة اخري للــ WebGoat

    [​IMG]


    لدخول المشروع حيث انه يستخدم Basic Authentication مع العلم بالامكان تغيرها


    Guest : Guest

    مع ملاحظة ان هناك اكثر من Role لعمل المشروع .. كما الصورة ادناه

    [​IMG]

    حيث سنقوم ضمن الأب بتغير اسماء اليوزرات والباسورادت Brute Force Basic Auth


    هي تعتبر اسهل مرحلة ..



     
  2. Anti-Trust

    Anti-Trust Developer

    الأنتساب:
    ‏12 مايو 2012
    المشاركات:
    15
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الوظيفة:
    w00t
    الإقامة:
    jordan
    رد: WebGoat insecure Web Application

    بسم الله الرحمن الرحيم


    WebGoat insecure Web Application


    Basic Hacking Method

    لاحظ ان الــ Hacking Challenge هو مرتب بشكل منسق للبدء مع الثغرات من الاسهل الي الاصعب

    لنبدأ بتوضيح اول ثغرة وهي HTTP Spliting وهي ما تعرف بـ عملية تحويل HTTP Splitiung الي Cach Poisoning لعملية تسميم POST Method

    اغلبنا يعلم ما هيه HTTP Message من 200 الي 302 الي 400 الي 500 وبطبيعه الحال كيف يتم الطلب حيث يقوم المتصفح بطلب صفحه معينه ويرسل الطلب الي السيرفر حيث يقوم بناءا علي وجود صحه الطلب او عدمه ..

    لاحظ الان ان طلب HTTP بحاله طبيعيه هو كالتالي :

    نقوم بعمل Run لــ ADD-on HTTP Header


    هنا هو السناريو الحقيقي عند الضغط علي Search

    [​IMG]

    لكن لاحظ الان لو قمنا بخداع السيرفر بالطلب التالي مع ملاحظة انني سأقوم بعملية تشفير لــ POST Double URL Encode


    وسأقوم بارسال الطلب التالي لعمل Test For HTTP Spliting

    en
    Content-Lenght: 0

    HTTP/1.1 200 OK
    Content-type: text/html
    Content-Lenght: 31
    <html> Hacked !! </html>

    حيث سيصبح الطلب كالتالي :

    [​IMG]


    سنقوم الان بارسال الطلب عبر نسخه ولصقه بخانه البحث كالتالي :



    [​IMG]

    نقوم الان بعمل بحث .. لنشاهد النتائج





    [​IMG]
     
  3. mr.3need

    mr.3need Developer

    الأنتساب:
    ‏16 ديسمبر 2011
    المشاركات:
    42
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الوظيفة:
    Pharm
    الإقامة:
    PrIv8
    رد: WebGoat insecure Web Application

    وعليكم السلام ورحمة الله وبركاته

    ماشاء الله عليك مبدـــــ
    &:":ـــع
     
  4. Dr.LoranS

    Dr.LoranS Developer

    الأنتساب:
    ‏18 مايو 2012
    المشاركات:
    17
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الوظيفة:
    hacker
    الإقامة:
    saudia
    رد: WebGoat insecure Web Application

    مبدع ي بطل .$

    لأهنت .

    bye1~`
     
  5. AdDiCt HaCkeR

    AdDiCt HaCkeR Developer

    الأنتساب:
    ‏19 ديسمبر 2011
    المشاركات:
    50
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    ● في قـلـوب محـبيـني ●
    رد: WebGoat insecure Web Application

    بطل وربي واصل

    )4:")4:")4:"
     
  6. ghost prince

    ghost prince Developer

    الأنتساب:
    ‏5 سبتمبر 2011
    المشاركات:
    66
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    بيت أبوي
    رد: WebGoat insecure Web Application


    ماشاء لله تبارك الله عـليك

    بصراحه مبدع بمعنى الكلمة


    واصل بانتظار جديدك يا مبدع
     
  7. Mr.L4iVe

    Mr.L4iVe Developer

    الأنتساب:
    ‏15 ديسمبر 2011
    المشاركات:
    51
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    h34rT D4t4b4s3
    رد: WebGoat insecure Web Application


    يعطيك العآفيــه ، &:":
     
  8. fantome195

    fantome195 Developer

    الأنتساب:
    ‏4 يونيو 2012
    المشاركات:
    89
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الوظيفة:
    Student
    الإقامة:
    Morocco
    رد: WebGoat insecure Web Application


    مــشـــكور على الموضــوع ،،،&:":
     
  9. The-Worm

    The-Worm Active DeveloPer

    الأنتساب:
    ‏10 سبتمبر 2011
    المشاركات:
    84
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    IQ-T34M
    رد: WebGoat insecure Web Application


    عليكم السلام ورحمة الله وبركاته
    ماشاء الله , ابداع ي بطل , موضوع مميز
    تم التقييم , وهذا قليل !
     
  10. سلام

    سلام Developer

    الأنتساب:
    ‏2 يونيو 2012
    المشاركات:
    30
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    رد: WebGoat insecure Web Application


    وعليكم السلام ورحمة الله وبركاتة

    جزاك الله خير اخوي العزيز ،،

    جاري المشاهده
    ،،

    تسلم ع الطرح
    ،،

    )5:")5:"
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة