EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND...

33
EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1

Transcript of EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND...

Page 1: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF

1

Page 2: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONSZiel•Angriff auf die MySQL Datenbank der Web Applikation•Auslesen von sensiblen Daten

2

Page 3: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS1. Versuchsaufbau•Angreifer

• VM Kali Linux• IP 192.168.178.50

3

Page 4: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

4

Page 5: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS1. Versuchsaufbau•Opfer

• VM Metasploitable Linux• IP 192.168.178.51

5

Page 6: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

6

Page 7: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS1. Versuchsaufbau•Beide VMs befinden sich im gleichen Netzwerk•Der Angriff läuft über die Web Applikation DVWA

7

Page 8: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

8

Page 9: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS2. Vorbereitung des Angriffs•Einloggen in die Web Applikation•Auslesen des Session Cookies

9

Page 10: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

10

Page 11: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

11

Page 12: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS2. Vorbereitung des Angriffs•Gültige URL finden

12

Page 13: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

13

Page 14: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS2. Vorbereitung des Angriffs•SQLMAP Befehl für den Angriff zusammenstellen

14

Page 15: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

15

Page 16: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS3. Angriff durchführen•SQLMAP Befehl ausführen und Ergebnisse überprüfen

16

Page 17: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

17

Page 18: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

18

Page 19: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

19

Page 20: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

20

Page 21: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS3. Angriff durchführen•URL ist verwundbar•Auslesen von Informationen

21

Page 22: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

22

Page 23: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

23

Page 24: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

24

Page 25: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

25

Page 26: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

26

Page 27: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

27

Page 28: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

28

Page 29: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

29

Page 30: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS4. Angriff erfolgreich•Datenbank der Web Applikation mit Benutzernamen und Passwörtern erfolgreich ausgelesen

30

Page 31: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS5. Weitere Möglichkeiten•Einloggen in die Applikation als Administrator•Versuchen Shell Zugriff mit erhaltenen Benutzernamen zu erhalten•Angriffe gegen Kernel und andere Subsysteme

31

Page 32: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS6. Links•http://www.offensive-security.com/metasploit-unleashed/Metasploitable•http://www.kali.org/•http://sqlmap.org/•http://www.dvwa.co.uk/

32

Page 33: EXPLOITING WEB APPLICATIONS AUSNUTZEN VON SICHERHEITSLÜCKEN IN WEB APPLIKATIONEN MIT KALI LINUX UND SQLMAP VON MARC LANGSDORF 1.

EXPLOITINGWEB APPLICATIONS

VIELEN DANK

MARC LANGSDORF

33


BAADER PLANETARIUM GmbH - astro-t-2-system.com · Um das Format 6x7 der Pentax 67 möglichst vignettierungsfrei ausnutzen zu können, wurden spezielle Zubehörteile entwickelt, die

BAADER PLANETARIUM GmbH - astro-t-2-system.com · Um das Format 6x7 der Pentax 67 möglichst vignettierungsfrei ausnutzen zu können, wurden spezielle Zubehörteile entwickelt, die

Die sichersten Drucker der Welt 81 % 43% · die Hand nehmen. HP Experten unterstüt zen Sie dabei, die Sicherheitslücken Ihrer Druckumgebung zu bewerten, unter Berücksichtigung

Die sichersten Drucker der Welt 81 % 43% · die Hand nehmen. HP Experten unterstüt zen Sie dabei, die Sicherheitslücken Ihrer Druckumgebung zu bewerten, unter Berücksichtigung

Theorie der Evolution - sendhoff.eu · Block 1 - Theorie der Evolution Folie: 2 Prinzip Hummelflug Konstruktive Ausnutzen nichtlinearer Phänomene zur “Optimierung” der Flugeigenschaften

Theorie der Evolution - sendhoff.eu · Block 1 - Theorie der Evolution Folie: 2 Prinzip Hummelflug Konstruktive Ausnutzen nichtlinearer Phänomene zur “Optimierung” der Flugeigenschaften

Www.fem.tu- ilmenau.de Exploiting Pocket PC. ilmenau.de Exploiting Pocket PC PocketPC existiert seit über 5 Jahren (Windows CE seit ca. 10)

Www.fem.tu- ilmenau.de Exploiting Pocket PC. ilmenau.de Exploiting Pocket PC PocketPC existiert seit über 5 Jahren (Windows CE seit ca. 10)

R.I.E.MPP - Partner des gesamten Mittelstandes Service ...3474.is6.ntz.de/pdf/MAA_0308.pdf · Instandhaltung konsequent ausnutzen! R.I.E.MPP ist Ihr innovativer Partner für Planung,

R.I.E.MPP - Partner des gesamten Mittelstandes Service ...3474.is6.ntz.de/pdf/MAA_0308.pdf · Instandhaltung konsequent ausnutzen! R.I.E.MPP ist Ihr innovativer Partner für Planung,

Sicherheitslücken in der x86 / amd64 - Architekturheld/teaching/wiss_arbeiten/slides_18-19/x86... · Sicherheitslücken in der x86 / amd64 - Architektur Marcell Haritopoulos Matthias

Sicherheitslücken in der x86 / amd64 - Architekturheld/teaching/wiss_arbeiten/slides_18-19/x86... · Sicherheitslücken in der x86 / amd64 - Architektur Marcell Haritopoulos Matthias

ISSN 1864-0907 VIRTUALISIERUNG - files.vogel.de · Das auch „Virtual Shielding“ genannte Verfahren wirkt wie ein Software-Patch auf Basis schüt-zender Netzwerkregeln: Sicherheitslücken

ISSN 1864-0907 VIRTUALISIERUNG - files.vogel.de · Das auch „Virtual Shielding“ genannte Verfahren wirkt wie ein Software-Patch auf Basis schüt-zender Netzwerkregeln: Sicherheitslücken

Barrierefreiheit digitaler Medien - Inklusionskataster …...•Kurze Produktlebenszyklen, gerade bei preisgünstigen Geräten •Folge: Sicherheitslücken in der Software •Grundlegende

Barrierefreiheit digitaler Medien - Inklusionskataster …...•Kurze Produktlebenszyklen, gerade bei preisgünstigen Geräten •Folge: Sicherheitslücken in der Software •Grundlegende

Metasploit Framework Unleashed beyond Metasploit · Penetration Tests vs. Vulnerability Scanning Exploiting Frameworks Metasploit History Payloads Bind- vs. Reverse Shell Meterpreter

Metasploit Framework Unleashed beyond Metasploit · Penetration Tests vs. Vulnerability Scanning Exploiting Frameworks Metasploit History Payloads Bind- vs. Reverse Shell Meterpreter

Polar-, Kugel-, Zylinderkoordinaten/ Mehrfachintegrale · PDF filePolar-, Kugel-, Zylinderkoordinaten/ Mehrfachintegrale Wozu verschiedene Koordinatensysteme? Ausnutzen der Geometrie

Polar-, Kugel-, Zylinderkoordinaten/ Mehrfachintegrale · PDF filePolar-, Kugel-, Zylinderkoordinaten/ Mehrfachintegrale Wozu verschiedene Koordinatensysteme? Ausnutzen der Geometrie

Exploiting Network Printers - Ruhr-Universität Bochum · 2017-01-13 · Exploiting Network Printers A Survey of Security Flaws in Laser Printers and Multi-Function Devices Schriftliche

Exploiting Network Printers - Ruhr-Universität Bochum · 2017-01-13 · Exploiting Network Printers A Survey of Security Flaws in Laser Printers and Multi-Function Devices Schriftliche

Aus dem Auge des Nutzers: Authentifizierungsverfahren auf ... · Dachuan Liu, Bo Dong, Xing Gao, and Haining Wang. Exploiting eye tracking for smartphone authentication. In ACNS,

Aus dem Auge des Nutzers: Authentifizierungsverfahren auf ... · Dachuan Liu, Bo Dong, Xing Gao, and Haining Wang. Exploiting eye tracking for smartphone authentication. In ACNS,

Demonstration and evaluation of an optimized RFS comb for ...€¦ · lexible grids are a promising solution for next generation optical communications exploiting software defined

Demonstration and evaluation of an optimized RFS comb for ...€¦ · lexible grids are a promising solution for next generation optical communications exploiting software defined

Exploiting Network Printersnds.rub.de/media/ei/arbeiten/2017/01/13/exploiting-printers.pdf · Remember the old hacker days when Angelina Jolie and Jonny Miller went dumpster diving

Exploiting Network Printersnds.rub.de/media/ei/arbeiten/2017/01/13/exploiting-printers.pdf · Remember the old hacker days when Angelina Jolie and Jonny Miller went dumpster diving

Exploiting the Structure-Property Relationship in Bragg ... · Exploiting the Structure-Property Relationship in Bragg Stacks: From Phononic Superlattices to Bioinspired Hybrids Dissertation

Exploiting the Structure-Property Relationship in Bragg ... · Exploiting the Structure-Property Relationship in Bragg Stacks: From Phononic Superlattices to Bioinspired Hybrids Dissertation

Kap.3 Mikroarchitektur - ira.informatik.uni-freiburg.de · z Um Pipelining im Datenpfad ausnutzen zu können, muß die Abarbeitung eines Maschinenbefehls in mehrere Phasen mit möglichst

Kap.3 Mikroarchitektur - ira.informatik.uni-freiburg.de · z Um Pipelining im Datenpfad ausnutzen zu können, muß die Abarbeitung eines Maschinenbefehls in mehrere Phasen mit möglichst

Wie sicher ist Ihr Online-Shop - Sicherheitslücken im System

Wie sicher ist Ihr Online-Shop - Sicherheitslücken im System

INDOOR NAVIGATION AND MAPPING: PERFORMANCE …...compares positioning results obtained with a simultaneous localization and mapping (SLAM) algorithm, exploiting a standard and a Time-of-Flight

INDOOR NAVIGATION AND MAPPING: PERFORMANCE …...compares positioning results obtained with a simultaneous localization and mapping (SLAM) algorithm, exploiting a standard and a Time-of-Flight

Nahwaermeverbundnetze optimal ausnutzen von jens heimann zum uponor kongress 2013

Nahwaermeverbundnetze optimal ausnutzen von jens heimann zum uponor kongress 2013

Penetrationstest und IT-Sicherheitsanalyse · Title: Penetrationstest und IT-Sicherheitsanalyse Author: TÜV Rheinland Subject: Penetrationstest und IT-Sicherheitsanalyse - Sicherheitslücken

Penetrationstest und IT-Sicherheitsanalyse · Title: Penetrationstest und IT-Sicherheitsanalyse Author: TÜV Rheinland Subject: Penetrationstest und IT-Sicherheitsanalyse - Sicherheitslücken