exploiting web applications ausnutzen von sicherheitslÜcken in web applikationen mit kali linux und...
TRANSCRIPT
EXPLOITINGWEB APPLICATIONS
AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF
1
EXPLOITINGWEB APPLICATIONSZiel•Angriff auf die MySQL Datenbank der Web Applikation•Auslesen von sensiblen Daten
2
EXPLOITINGWEB APPLICATIONS1. Versuchsaufbau•Angreifer
• VM Kali Linux• IP 192.168.178.50
3
EXPLOITINGWEB APPLICATIONS
4
EXPLOITINGWEB APPLICATIONS1. Versuchsaufbau•Opfer
• VM Metasploitable Linux• IP 192.168.178.51
5
EXPLOITINGWEB APPLICATIONS
6
EXPLOITINGWEB APPLICATIONS1. Versuchsaufbau•Beide VMs befinden sich im gleichen Netzwerk•Der Angriff läuft über die Web Applikation DVWA
7
EXPLOITINGWEB APPLICATIONS
8
EXPLOITINGWEB APPLICATIONS2. Vorbereitung des Angriffs•Einloggen in die Web Applikation•Auslesen des Session Cookies
9
EXPLOITINGWEB APPLICATIONS
10
EXPLOITINGWEB APPLICATIONS
11
EXPLOITINGWEB APPLICATIONS2. Vorbereitung des Angriffs•Gültige URL finden
12
EXPLOITINGWEB APPLICATIONS
13
EXPLOITINGWEB APPLICATIONS2. Vorbereitung des Angriffs•SQLMAP Befehl für den Angriff zusammenstellen
14
EXPLOITINGWEB APPLICATIONS
15
EXPLOITINGWEB APPLICATIONS3. Angriff durchführen•SQLMAP Befehl ausführen und Ergebnisse überprüfen
16
EXPLOITINGWEB APPLICATIONS
17
EXPLOITINGWEB APPLICATIONS
18
EXPLOITINGWEB APPLICATIONS
19
EXPLOITINGWEB APPLICATIONS
20
EXPLOITINGWEB APPLICATIONS3. Angriff durchführen•URL ist verwundbar•Auslesen von Informationen
21
EXPLOITINGWEB APPLICATIONS
22
EXPLOITINGWEB APPLICATIONS
23
EXPLOITINGWEB APPLICATIONS
24
EXPLOITINGWEB APPLICATIONS
25
EXPLOITINGWEB APPLICATIONS
26
EXPLOITINGWEB APPLICATIONS
27
EXPLOITINGWEB APPLICATIONS
28
EXPLOITINGWEB APPLICATIONS
29
EXPLOITINGWEB APPLICATIONS4. Angriff erfolgreich•Datenbank der Web Applikation mit Benutzernamen und Passwörtern erfolgreich ausgelesen
30
EXPLOITINGWEB APPLICATIONS5. Weitere Möglichkeiten•Einloggen in die Applikation als Administrator•Versuchen Shell Zugriff mit erhaltenen Benutzernamen zu erhalten•Angriffe gegen Kernel und andere Subsysteme
31
EXPLOITINGWEB APPLICATIONS6. Links•http://www.offensive-security.com/metasploit-unleashed/Metasploitable•http://www.kali.org/•http://sqlmap.org/•http://www.dvwa.co.uk/
32
EXPLOITINGWEB APPLICATIONS
VIELEN DANK
MARC LANGSDORF
33