Exploiting Web Applications

Präsentation zum Thema: "Exploiting Web Applications"—  Präsentation transkript:

1 Exploiting Web Applications
Ausnutzen von sicherheitslücken in Web Applikationen mit Kali Linux und Sqlmap von marc Langsdorf

2 Exploiting Web Applications
Ziel Angriff auf die MySQL Datenbank der Web Applikation Auslesen von sensiblen Daten

3 Exploiting Web Applications
1. Versuchsaufbau Angreifer VM Kali Linux IP

4 Exploiting Web Applications

5 Exploiting Web Applications
1. Versuchsaufbau Opfer VM Metasploitable Linux IP

6 Exploiting Web Applications

7 Exploiting Web Applications
1. Versuchsaufbau Beide VMs befinden sich im gleichen Netzwerk Der Angriff läuft über die Web Applikation DVWA

8 Exploiting Web Applications

9 Exploiting Web Applications
2. Vorbereitung des Angriffs Einloggen in die Web Applikation Auslesen des Session Cookies

10 Exploiting Web Applications

11 Exploiting Web Applications

12 Exploiting Web Applications
2. Vorbereitung des Angriffs Gültige URL finden

13 Exploiting Web Applications

14 Exploiting Web Applications
2. Vorbereitung des Angriffs SQLMAP Befehl für den Angriff zusammenstellen

15 Exploiting Web Applications

16 Exploiting Web Applications
3. Angriff durchführen SQLMAP Befehl ausführen und Ergebnisse überprüfen

17 Exploiting Web Applications

18 Exploiting Web Applications

19 Exploiting Web Applications

20 Exploiting Web Applications

21 Exploiting Web Applications
3. Angriff durchführen URL ist verwundbar Auslesen von Informationen

22 Exploiting Web Applications

23 Exploiting Web Applications

24 Exploiting Web Applications

25 Exploiting Web Applications

26 Exploiting Web Applications

27 Exploiting Web Applications

28 Exploiting Web Applications

29 Exploiting Web Applications

30 Exploiting Web Applications
4. Angriff erfolgreich Datenbank der Web Applikation mit Benutzernamen und Passwörtern erfolgreich ausgelesen

31 Exploiting Web Applications
5. Weitere Möglichkeiten Einloggen in die Applikation als Administrator Versuchen Shell Zugriff mit erhaltenen Benutzernamen zu erhalten Angriffe gegen Kernel und andere Subsysteme

32 Exploiting Web Applications
6. Links security.com/metasploit- unleashed/Metasploitable

33 Exploiting Web Applications
Vielen Dank Marc Langsdorf