_______ _______ _______ _______ ______ |______ _____ ______ | |_____] |_____] ______| .

| |______ |_____| | | | ___

| |______ | | | | | . |_____] . ________________________________________________________ _____________________________ No Iremos Desistir, No Iremos Recuar, Somos SecPr0j3ctBr4sil; -> Ttulo: Teste para entrada no grupo ciberativis ta SecPr0j3ctBr4sil; -> Vagas disponveis: 5 (cinco); -> Etapas para conclur a avaliao: 5; -> Sistema operacional recomendado: Kali Linux | Tails; -> Modelo de website: gov.br ou jus.br; <-- IMPO RTANTE. Instrues: 1. - Utilizar Google Hacking para achar uma vulnerabil idade de: SQL Injection (SQLi) ou Remote File Incl usion (RFI); 2. - Caso SQLi: Explorar a falha de SQL Injection manu almente, seja ela SQli bsico ou blind; Caso RFI: Explorar a falha de Incluso de Arquivo R emota normalmente, aps ter acesso via shell, pular para etapa '5'; 3. - (Falha para conclur Etapa 3 - 5: SQLi), Obter info rmaes de login administrativo, se necessitar quebrar as hashes, quebralas, seja qual for a criptografia, penetrar na rea de administrao do website, certificar-se de ter acesso formularios de subida de arquivos (uploa d) para futura subida de webshell. 4. - Como informado na Etapa 4: fazer a subida de uma webshell qualquer no servidor, 4.1 - Verificar verso linux(Kernel), a pr ocura de um kernel vulnervel; 4.2 - Se houver um kernel vulnervel: expl ora-lo e obter privilgios raz(root), caso no houver kernel vulnervel: prossiga para etapa 5; 4.3 - Caso consiga o acesso root: fazer um deface em massa(mass defacement), conforme etapa 5; 4.4 - Caso no consiga acesso root: prossi ga para etapa 5. 5. - Com uma webshell subida no servidor pela etapa 4, fazer uma desconfigurao completa na pgina inicial do website invadido, opes

para a desconfigurao(1 e 2): 1 - Fazer a desconfigurao do website com a index da Security Pr0j3ct Br4sil; 2 - Fazer a desconfigurao com sua prpria i ndex, contudo inserindo a Security Pr0j3ct Br4sil nos a gradecimentos como: SecPr0j3ctBr4sil. Ciente das opes: realizar a desconfigurao co m alguma das opes acima. Realizada a desconfigurao aps todas as etapas acima: nos contatar com algum dos meios de contato abaixo: 1 - Nossa FanPage no facebook(inbox): www.facebo ok.com/SecProj3ctBr4sil; 2 - Nosso perfil no Twitter(meno): @TeamSPB; 3 - Nosso e-mail oficial(e-mail, obviamente): co ntato@secpr0j3ctbr4sil.bl.ee; OBS .: Informe-nos algum meio de contato para lh e informar seu resultado (APROVADO ou REPROVADO). Como nos entregar o relatrio das cinco etapas(prova do qu e voc fez): modelo de relatrio: Identificao: aqui nos mande seu nickname/codename e modo de contato; Website: x website que foi penetrado; Vulnerabilidade: vuln que voc escolheu, aqui deve ser apresentado o link a expondo; Explorao: aqui deve ser apresentado um link provan do que voc seguiu a etapa 2, SQLi: link da falha expl orada manualmente; RFI: link mostrando a fa lha. Obteve acesso ras(root): sim ou no; Realizao de mass defacement: sim ou no, se sim: lis te os websites atacados; Link do deface realizado: x link; Opo para deface: 1 ou 2, conforme etapa 5; Ciente de todas as instrues de realizao dos testes, contato e modelo de relatrio: Desejamos uma Boa Avaliao. Atenciosamente, Equipe Security Pr0j3ct Br4sil.