Pentesting2015

From
Jump to navigation Jump to search

Wikiseite für das Thema Pentesting vom IT-Security Workshop 2015.

allgemeine Planung

Einarbeitung ins Pentesting für Web-Applikationen mit Hilfe von dvwa.

1. Tag:

  • Einrichten von DVWA aus Raspberry Pi und VMs
  • Brute-Force Angriff auf DVWA

Brute-Force Angriff auf DVWA

Zum Angriff auf DVWA wurde das Programm Hydra verwendet. Hydra können zwei Dateien übergeben werden, z.B. users.txt mit den Login-Namen und pwd.txt mit den zu testenden Passwörtern. Hydra wird wie folgt verwendet:

hydra {IP-Adresse} {http-form-post|http-get-form} -L {users.txt} -P {pwd.txt} "{Pfad auf dem Server}/index.php:{zu setzende Variablen}:S={Teil eines Strings, der im Erfolgfall angezeigt wird}"

Command Execution

Tip für medium security: http://stackoverflow.com/questions/5130847/shell-multiple-commands-in-one-line

Links

Wörterbücher

https://wiki.skullsecurity.org/Passwords

https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm