Pentesting2015: Difference between revisions

From
Jump to navigation Jump to search
Line 8: Line 8:
*Einrichten von DVWA aus Raspberry Pi und VMs
*Einrichten von DVWA aus Raspberry Pi und VMs
*Brute-Force Angriff auf DVWA
*Brute-Force Angriff auf DVWA

==Brute-Force Angriff auf DVWA==

Zum Angriff auf DVWA wurde das Programm Hydra verwendet. Hydra können zwei Dateien übergeben werden, z.B. users.txt mit den Login-Namen und pwd.txt mit den zu testenden Passwörtern. Hydra wird wie folgt verwendet:

hydra {IP-Adresse} {http-form-post|http-get-form} -L {users.txt} -P {pwd.txt} "{Pfad auf dem Server}/index.php:{zu setzende Variablen}:S={Teil eines Strings, der im Erfolgfall angezeigt wird}"


==Links==
==Links==

Revision as of 13:14, 29 September 2015

Wikiseite für das Thema Pentesting vom IT-Security Workshop 2015.

allgemeine Planung

Einarbeitung ins Pentesting für Web-Applikationen mit Hilfe von dvwa.

1. Tag:

  • Einrichten von DVWA aus Raspberry Pi und VMs
  • Brute-Force Angriff auf DVWA

Brute-Force Angriff auf DVWA

Zum Angriff auf DVWA wurde das Programm Hydra verwendet. Hydra können zwei Dateien übergeben werden, z.B. users.txt mit den Login-Namen und pwd.txt mit den zu testenden Passwörtern. Hydra wird wie folgt verwendet:

hydra {IP-Adresse} {http-form-post|http-get-form} -L {users.txt} -P {pwd.txt} "{Pfad auf dem Server}/index.php:{zu setzende Variablen}:S={Teil eines Strings, der im Erfolgfall angezeigt wird}"

Links

Wörterbücher

https://wiki.skullsecurity.org/Passwords

https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm