Retas situs web pertama Anda (secara legal di lingkungan yang aman) dan rasakan pekerjaan peretas etis.
Sebelum masuk ke karir keamanan cyber dan apa itu keamanan ofensif, mari kita hacking (dan ya, legal, semua latihan adalah simulasi palsu)
Your first hack
Klik tombol "Start Machine". Setelah dimuat di Split View di browser Anda, Anda akan memiliki akses ke mesin yang akan Anda gunakan untuk meretas aplikasi bank palsu yang disebut FakeBank. Jika Anda tidak melihat mesin muncul, gunakan tombol biru Tampilkan Tampilan Terpisah di kanan atas halaman ini.
Selanjutnya copy IP dapa gambar dibawah:
Catatan : IP address yang tertera menunjukan bahwa IP tersebut adalah IP yang di berikan secara otomatis oleh OpenVPN di Tryhackme.
Kemudian buka jendela baru pada browser.
Kami akan menggunakan aplikasi baris perintah yang disebut "GoBuster" untuk memaksa situs web FakeBank menemukan direktori dan halaman tersembunyi. GoBuster akan mengambil daftar nama halaman atau direktori potensial dan mencoba mengakses situs web dengan masing-masingnya; jika halaman itu ada, itu memberitahu Anda.
Step 1) Open a terminal
Terminal, juga dikenal sebagai baris perintah, memungkinkan kita untuk berinteraksi dengan komputer tanpa menggunakan antarmuka pengguna grafis. Di mesin, buka terminal menggunakan ikon Terminal:
Step 2) Find hidden website pages
Sebagian besar perusahaan akan memiliki halaman portal admin, memberikan staf mereka akses ke kontrol admin dasar untuk operasi sehari-hari. Untuk bank, seorang karyawan mungkin perlu mentransfer uang ke dan dari rekening klien. Seringkali halaman ini tidak dibuat pribadi, memungkinkan penyerang menemukan halaman tersembunyi yang menampilkan, atau memberikan akses ke, kontrol admin atau data sensitif.
Ketik perintah berikut ke terminal untuk menemukan halaman yang berpotensi tersembunyi di situs web FakeBank menggunakan GoBuster (aplikasi keamanan baris perintah).
gobuster dir -u http://10.10.62.29/ -w directory-list-2.3-medium.txt
Setelah melakukan brute force direktori terdapat direktori:
/bank-transfer
Pada perintah di atas, -u digunakan untuk menyatakan situs web yang kami pindai, -w mengambil daftar kata untuk diulang untuk menemukan halaman tersembunyi.
Anda akan melihat bahwa GoBuster memindai situs web dengan setiap kata dalam daftar, menemukan halaman yang ada di situs. GoBuster akan memberi tahu Anda halaman yang ditemukan dalam daftar nama halaman/direktori (ditunjukkan dengan Status: 200).
Step 3) Hack the bank
Anda seharusnya menemukan halaman transfer bank rahasia yang memungkinkan Anda mentransfer uang antar rekening di bank (/bank-transfer). Ketik halaman tersembunyi ke situs web FakeBank di mesin.
Halaman ini memungkinkan penyerang mencuri uang dari rekening bank mana pun, yang merupakan risiko kritis bagi bank. Sebagai peretas etis, Anda akan (dengan izin) menemukan kerentanan dalam aplikasi mereka dan melaporkannya ke bank untuk diperbaiki sebelum peretas mengeksploitasinya.
Transfer $2000 dari rekening bank 2276, ke rekening Anda (nomor rekening 8881).
Answer the questions below
Setelah Anda mentransfer uang ke rekening Anda, kembali ke halaman rekening bank Anda. Apa jawaban yang ditampilkan di halaman saldo bank Anda?
Kembali ke halaman awal untuk melihat jawabannya
Answare => BANK-HACKED
Singkatnya, keamanan ofensif adalah proses membobol sistem komputer, mengeksploitasi bug perangkat lunak, dan menemukan celah dalam aplikasi untuk mendapatkan akses tidak sah ke sana.
Untuk mengalahkan seorang hacker, Anda harus berperilaku seperti seorang hacker, menemukan kerentanan dan merekomendasikan patch sebelum penjahat cyber melakukannya, seperti yang Anda lakukan di ruangan ini!
Di sisi lain, ada juga keamanan defensif, yaitu proses melindungi jaringan dan sistem komputer organisasi dengan menganalisis dan mengamankan potensi ancaman digital; pelajari lebih lanjut di ruang forensik digital.
Dalam peran cyber defensif, Anda dapat menyelidiki komputer atau perangkat yang terinfeksi untuk memahami cara peretasan, melacak penjahat dunia maya, atau memantau infrastruktur untuk aktivitas jahat.