Try Hack Me - Intro to Offensive Security

    Iniciamos então a jornada no Try Hack Me, se ainda não tem a conta, crie com nosso link que vai te das $5 de desconto na assinatura premium.

    Vamos começar a jornada com a trilha Jr Penetration Tester e o primeiro tópico se chama:

Acesso do laboratório: https://tryhackme.com/r/room/introtooffensivesecurity

    No site, o conteúdo está em inglês, porém, aqui comentaremos em português, o conteúdo do site, não vai ser copiado e colado aqui, a menos que seja extremamente necessário.

    Esse tópico resume e introduz o termo "Segurança Ofensiva". Basicamente esse termo está relacionado ao processo de invadir sistemas de computadores explorando bugs de softwares ou brechas em aplicações para obter acesso não autorizado. O objetivo disso, é entender como um Hacker pensa e derrota-lo em seu próprio campo de baralha. 

    Por outro lado, existe também a segurança defensiva. que é o processo de criar proteções nos sistemas de computador e na rede, contra as ameaças digitais mais comuns e também a Forense computacional (tópico que não será abordado aqui).

Responda a questão abaixo: 

Which of the following options better represents the process where you simulate a hacker's actions to find vulnerabilities in a system?

• Offensive Security
• Defensive Security

Resposta: Offensive Security

    Nesse ponto, as primeiras funcionalidades e interações da plataforma são apresentados. Nessa tarefa, haverá a primeira interação com uma das "ferramentas Hacker" mais famosas chamada gobuster. o gobuster é uma ferramenta de linha de comando, utilizada para descobrir arquivos e diretórios ocultos em sites, utilizando a técnica de força bruta, ou, tentativa e erro, utilizando uma lista de palavras previamente preparadas (wordlist). 

    Na plataforma, há a possibilidade de iniciar uma máquina virtual, chamada pela plataforma de "Attack box" (alternativamente, pode-se utilizar a sua própria máquina e a conexão VPN oferecida pela plataforma). A vantagem de usar a máquina oferecida pela plataforma é que ela já está preparada para o "ataque" a sua máquina, caso não esteja, deve ser preparada. Nessa tarefa, utilizaremos a "Attack box".

    

Iniciando a "Attack box"

    Assim que a máquina iniciar, abra o terminal reconhecido pelo ícone: 

    Assim que o terminal for aberto, pode-se iniciar o "scan" com o gobuster, utilizando a lista de palavras, fornecido pela plataforma. Comandos: 

gobuster -u http://fakebank.com -w wordlist.txt dir

    Explicando o comando:

• -u: Esse parâmetro passa ao comando a URL do site;
• -w: Esse parâmetro passa ao comando o arquivo com a lista de palavras a ser usada
• dir: Esse parâmetro indica que estamos buscando diretórios

    Foi possível encontrar uma página oculta no site do banco, a página http://fakebank.com/bank-transfer.

    Acessando essa página, a partir do navegador da "Attack box" podemos controlar as transferências bancárias:

    Seguindo as tarefas propostas ao final do exercício, vamos fazer a transferência de dinheiro como propõe o laboratório:

    Clicando no botão "Return to Your Account" seremos capazes de verificar as informações, e responder as questões: 

    If your transfer was successful, you should now be able to see your new balance reflected on your account page. Go there now and confirm you got the money! (You may need to hit Refresh for the changes to appear)

    Above your account balance, you should now see a message indicating the answer to this question. Can you find the answer you need?

Resposta: BANK-HACKED

As demais questões, não precisam de resposta.

    A última tarefa, também não tem nenhuma questão a ser respondida, isso não significa que ela não precisa ser avaliada. Ela da algumas dicas de estudo, carreiras e formas de conseguir o primeiro emprego/estágio na área de segurança da informação. Leia, fique por dentro das dicas de pessoas que já estão atuando na área, espelhe-se em quem já chegou onde você quer chegar. 

    Para finalizar o primeiro módulo, basta clicar no botão "complete" e será finalizado automaticamente.

    Com isso, o primeiro passo na jornada do "pentester" foi dado! Agora, continuaremos seguindo a trilha, trazendo mais informações aqui e no nosso canal no YouTube.

Vídeo desse walkthrough

Let's Hacking