YASUO — Scanner de Vulnerabilidades Web
0
0

YASUO — Scanner de Vulnerabilidades Web

Marcos Henrique
0 min
0
0
Email image

O YASUO é um script desenvolvido em Ruby que pode ser muito útil durante um PenTest com ele é possível realizar testes internos e externos de uma aplicação web.

Projeto : github.com/0xsauby/yasuo

01 — Passo

Realize o download do yasuo.

git clone https://github.com/0xsauby/yasuo

Email image

02 — Passo

Entre no diretório do yasuo e liste os arquivos.

cd yasuo/ls

Email image

03 — Passo

Tente executar o yasuo, se apresentar o erro apresentado será necessário instalar alguns pacotes.

./yasuo.rb

Email image

04 — Passo

Utilize o gem e instale os pacotes mencionados.

gem install ruby-nmap net-http-persistent mechanize colorize text-table

Email image
Email image

05 — Passo

Execute o yasuo.

./yasuo.br -r 10.10.10.200 -p 80 -b form

-r : Host Alvo
-p : Porta
-b : Método de Autenticação [all/form/basic]

Observação:
Caso o script não execute certifique-se que o pacote mechanize esteja instalado, caso contrário execute o comando: apt-get install mechanize*

Email image

06 — Passo

O scan foi iniciado para o host 10.10.10.200 na porta 80 e vai realizar um Brute-Force de Usuários e Senhas na aplicação Web que este Host possuir.

Dentro do diretório do yasuo possui 02 arquivos users.txt e pass.txt que podem ser manipulados.

Email image

07 — Passo

Foi encontrada a aplicação phpMyAdmin e baseado no WordList users.txt/pass.txt foi encontrado o usuário root e a senha toor.

Email image

08 — Passo

Certifique-se que o acesso pode ser realizado com as informações encontradas.

Email image
Email image

Como funciona?

Email image

Fonte: https://www.100security.com.br/yasuo