O YASUO é um script desenvolvido em Ruby que pode ser muito útil durante um PenTest com ele é possível realizar testes internos e externos de uma aplicação web.
Projeto: github.com/0xsauby/yasuo
Desenvolvedor: Saurabh Harit (@0xsauby)
01 Passo
Realize o download do graudit
root@kali:/# git clone https://github.com/0xsauby/yasuo
02 Passo
Entre no diretório do yasuo e liste os arquivos.
root@kali:/# cd yasuo/
root@kali:/yasuo# ls -l
03 Passo
Tente executar o yasuo, se apresentar o erro apresentado será necessário instalar alguns pacotes.
root@kali:/yasuo# ./yasuo.rb
04 Passo
Utilize o gem e instale os pacotes mencionados.
root@kali:/yasuo# gem install ruby-nmap net-http-persistent mechanize colorize text-table
05 Passo
Execute o yasuo.
root@kali:/yasuo# ./yasuo.br -r 10.10.10.200 -p 80 -b form
-r : Host Alvo
-p : Porta
-b : Método de Autenticação [all/form/basic]
Observação: Caso o script não execute certifique-se que o pacote mechanize esteja instalado, caso contrário execute o comando: apt-get install mechanize*
06 Passo
O scan foi iniciado para o Host 10.10.10.200 na Porta 80 e vai realizar um Brute-Force de Usuários e Senhas na aplicação Web que este Host possuir.
Dentro do diretório do yasuo possui 02 arquivos users.txt e pass.txt que podem ser manipulados.
07 Passo
Foi encontrada a aplicação PHPMyAdmin e baseado no WordList (users.txt/pass.txt) foi encontrado o usuário root e a senha toor.
08 Passo
Certifique-se que o acesso pode ser realizado com as informações encontradas.
COMO FUNCIONA?
