O YASUO é um script desenvolvido em Ruby que pode ser muito útil durante um PenTest com ele é possível realizar testes internos e externos de uma aplicação web.

Projeto : github.com/0xsauby/yasuo

01 - Passo

Realize o download do yasuo.

  Linux
git clone https://github.com/0xsauby/yasuo

02 - Passo

Entre no diretório do yasuo e liste os arquivos.

  Linux
cd yasuo/

ls

03 - Passo

Tente executar o yasuo, se apresentar o erro apresentado será necessário instalar alguns pacotes.

  Linux
./yasuo.rb

04 - Passo

Utilize o gem e instale os pacotes mencionados.

  Linux
gem install ruby-nmap net-http-persistent mechanize colorize text-table

05 - Passo

Execute o yasuo.

  Linux
./yasuo.br -r 10.10.10.200 -p 80 -b form

-r : Host Alvo
-p : Porta
-b : Método de Autenticação [all/form/basic]

Observação:
Caso o script não execute certifique-se que o pacote mechanize esteja instalado, caso contrário execute o comando: apt-get install mechanize*

06 - Passo

O scan foi iniciado para o host 10.10.10.200 na porta 80 e vai realizar um Brute-Force de Usuários e Senhas na aplicação Web que este Host possuir.

Dentro do diretório do yasuo possui 02 arquivos users.txt e pass.txt que podem ser manipulados.

07 - Passo

Foi encontrada a aplicação phpMyAdmin e baseado no WordList users.txt/pass.txt foi encontrado o usuário root e a senha toor.

08 - Passo

Certifique-se que o acesso pode ser realizado com as informações encontradas.

Como funciona?



  Autor

Marcos Henrique

 São Paulo/SP



  Análise de Vulnerabilidades

© 2020 - 100SECURITY

Contato