O YASUO é um script desenvolvido em Ruby que pode ser muito útil durante um PenTest com ele é possível realizar testes internos e externos de uma aplicação web. | ||
Projeto : github.com/0xsauby/yasuo | ||
01 — Passo | ||
Realize o download do yasuo. | ||
git clone https://github.com/0xsauby/yasuo | ||
02 — Passo | ||
Entre no diretório do yasuo e liste os arquivos. | ||
cd yasuo/ls | ||
03 — Passo | ||
Tente executar o yasuo, se apresentar o erro apresentado será necessário instalar alguns pacotes. | ||
./yasuo.rb | ||
04 — Passo | ||
Utilize o gem e instale os pacotes mencionados. | ||
gem install ruby-nmap net-http-persistent mechanize colorize text-table | ||
05 — Passo | ||
Execute o yasuo. | ||
./yasuo.br -r 10.10.10.200 -p 80 -b form | ||
-r : Host Alvo | ||
Observação: | ||
06 — Passo | ||
O scan foi iniciado para o host 10.10.10.200 na porta 80 e vai realizar um Brute-Force de Usuários e Senhas na aplicação Web que este Host possuir. | ||
Dentro do diretório do yasuo possui 02 arquivos users.txt e pass.txt que podem ser manipulados. | ||
07 — Passo | ||
Foi encontrada a aplicação phpMyAdmin e baseado no WordList users.txt/pass.txt foi encontrado o usuário root e a senha toor. | ||
08 — Passo | ||
Certifique-se que o acesso pode ser realizado com as informações encontradas. | ||
Como funciona? | ||