no one is safe ...
//secure it#

Metasploit Expert Training - Ein paar kleine Eindrücke

Letzte Woche war es soweit und das Metasploit Trainings-Highlight von diesem Jahr hat stattgefunden!

Das erste fünftägige, sehr intensive Metasploit Expert Training hat stattgefunden...

Bei diesem Training haben wir in die Tiefen der offensiven IT Security geblickt und dabei folgende Themen behandelt (ein paar Bilder sagen mehr als Worte)

Client Side Angriffe (Java Angriff vom Sommer bzw. Oracle Debakel)


Umgehung von AV Software


Metasploit - Das Handbuch zum Penetration-Testing-Framework - Kindle Edt. verfügbar

Ich freue mich, dass mittlerweile die Kindle Edt. meines Buches verfügbar ist. Weiterhin viel Spaß mit Metasploit :)

have phun,
mIke

Artikel in Linux Magazin 10/2012 - Durch die Hintertür: Pentests spüren Sicherheitslücken in IPv6-Netzen auf

Wer unbedacht IPv6 in seinem Netzwerk aktiviert hat und dabei grundlegende Sicherheitsfragen außer Acht lässt, öffnet Angreifern Tür und Tor.


Dieser Workshop zeigt einen erfolgreichen Einbruch via IPv6 auf einen Server und erläutert, wie die gängigen Sicherheitstools mit IPv6 arbeiten

Weitere Infos findet ihr auf der Webseite des Linux Magazins.

Viel Spaß damit

Hakin9 Exploiting Software 07/12 - Die Metasploit Community Edt.

In der aktuellen hakin9 Ausgabe findet ihr einen Artikel der die Metasploit Community Edt. betrachtet.


Das Metasploit Penetration-Testing-Framework erfreut sich bei technischen Sicherheitsanalysen bzw. Penetrationstests immer größerer Beliebtheit. Das liegt nicht zuletzt an dem enormen Entwicklungsschub, den die Übernahme des Projektes durch Rapid7 im Jahr 2009 mit sich brachte.

Weiter Informationen findet ihr auf der Webseite von hakin9.

Automatisierung im Rahmen eines Pentests - part 11 (Auto-Exploitation)

In den bisherigen Posts rund um Automatisierungsmöglichkeiten mit Metasploit Resource Files fehlte bislang der automatische Exploitingprozess. Bis vor kurzem war db_autopwn das Maß aller Dinge. Dieses wurde allerdings von Smart Exploitation in Metasploit Pro abgelöst. In der Metasploit Konsole gab es somit keine weiteren Möglichkeiten eines automatischen Exploit Vorganges. Die Tage habe ich mit großer Unterstützung durch sinn3r von Rapid7 ein kleines Resource Skript entwickelt das in unterschiedlichen Fällen Abhilfe schafft.
Dieses Skript hilft bei der automatischen Anwendung eines einzelnen Exploits gegen mehrere Systeme. Dafür werden vorab bereits Schwachstelleninformationen in der Metasploit Datenbank benötigt. Beispielsweise lassen sich diese mit Vulnerability Scannern importieren. Das Skript lässt sich entweder innerhalb der Metasploit Konsole mit dem resource Kommando aufrufen oder über den -r Parameter der Metasploit Konsole. Wird es direkt mit der Metasploit Konsole aufgerufen lässt sich mit dem Argument help eine kurze Hilfe ausgeben: