Frage:
Server für Penetrationstests
py_script
2011-01-19 21:18:07 UTC
view on stackexchange narkive permalink

Ich lerne, Metasploit als Teil einer meiner College-Lektionen zu verwenden. Wie Sie vielleicht wissen, gibt es Software-Builds wie NOWASP (Mutillidae) oder Damn Vulnerable Linux, mit denen Sie mit Pentest oder ähnlichen Dingen trainieren können. Ich habe gehört, dass das Zielopfer seinen PC als Server ausführen sollte, damit die Nutzdaten funktionieren. Ich habe versucht, einen Server auf demselben Computer (über Virtualbox) einzurichten und als Ziel festzulegen, aber es ist fehlgeschlagen. Wissen Sie also, ob es einen Server oder ähnliches gibt, mit dem ich üben kann (legal gegen Testsysteme)?

Warum hat die Verwendung von VirtualBox nicht funktioniert? Haben Sie das Netzwerk korrekt eingerichtet (Hinzufügen eines Nur-Host-Adapters zur VM)?
Weitere Informationen finden Sie unter "Einrichten eines Pentesting-Labors" unter Rapid 7 http://blog.rapid7.com/?p=5791
Ich denke, Sie fragen nach einem echten Live-Server, der von jemand anderem betrieben wird und Sie dazu einlädt, ihn legal zu hacken. Bei den meisten Antworten geht es jedoch um hackbare Server-Distributionen, die Sie lokal installieren und auf sich selbst hacken können. Können Sie Ihre Frage bearbeiten, um zu klären, ob diese Frage die eine oder die andere betreffen soll? Jeder ist von potentiellem Interesse.
-1
Fünf antworten:
#1
+45
labmice
2011-01-19 22:14:55 UTC
view on stackexchange narkive permalink

http://www.irongeek.com/i.php?page=security/wargames

WebGoat. WebGoat ist eine Reihe von absichtlich unsicheren Java-Serverseiten

http://www.hackthissite.org/

http: // www. smashthestack.org/wargames

aus den häufig gestellten Fragen:

Das Smash the Stack Wargaming-Netzwerk hostet mehrere Wargames. Ein Wargame in unserem Kontext kann als ethische Hacking-Umgebung beschrieben werden, die die Simulation realer Theorien oder Konzepte zur Verwundbarkeit von Software unterstützt und die legale Ausführung von Ausnutzungstechniken ermöglicht. Software kann ein Betriebssystem, ein Netzwerkprotokoll oder eine beliebige Userland-Anwendung sein.

http://www.astalavista.com/page/wargames.html

http: //www.governmentsecurity .org / forum / index.php? showtopic = 15442

http://www.overthewire.org/wargames/

the Liste ist lang ... einige sind aktiv, andere nicht ...

Update 26. Februar 2011, Ich habe einen schönen Beitrag von http: //r00tsec.blogspot gefunden .com / 2011/02 / pentest-lab-gefährdete-server.html. Einige Links sind möglicherweise defekt. Ich kopiere von dort:

Holynix Holynix ist ein Ubuntu-Server-VMware-Image, das absichtlich so erstellt wurde, dass es Sicherheitslücken für Penetrationstests aufweist. Ähnlich wie bei den Enteisungs-CDs und pWnOS. Eher ein Hindernisparcours als ein Beispiel aus der Praxis. http://pynstrom.net/index.php?page=holynix.php

WackoPickoWackoPicko ist eine Website, die bekannte Schwachstellen enthält . Es wurde erstmals für das Papier Warum Johnny nicht pentestieren kann: Eine Analyse von Black-Box-Web-Schwachstellenscannern gefunden: http://cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010 .pdf https://github.com/adamdoupe/WackoPicko

De-ICE PenTest LiveCDs Die PenTest LiveCDs stammen von Thomas Wilhelm, der in ein Penetrationstest-Team des Unternehmens versetzt wurde, für das er gearbeitet hat. Um so schnell wie möglich so viel wie möglich über Penetrationstests zu lernen, suchte Thomas nach Werkzeugen und Zielen. Er fand eine Reihe von Werkzeugen, aber keine brauchbaren Ziele, gegen die er üben konnte. Um die Lernlücke zu schließen, erstellte Thomas schließlich PenTest-Szenarien mit LiveCDs. http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

MetasploitableMetasploitable ist eine Ubuntu 8.04-Serverinstallation auf einem VMWare 6.5-Image. Eine Reihe anfälliger Pakete ist enthalten, darunter eine Installation von Tomcat 5.5 (mit schwachen Anmeldeinformationen), distcc, tikiwiki, twiki und einem älteren MySQL. Http://blog.metasploit.com/2010/05/introducing- metasploitable.html

OwaspbwaOpen Webanwendungssicherheitsprojekt (OWASP) Broken Web Applications Project, eine Sammlung anfälliger Webanwendungen. http://code.google.com/p/owaspbwa /

Web Security DojoEine kostenlose Open-Source-eigenständige Schulungsumgebung für Penetrationstests zur Sicherheit von Webanwendungen. Tools + Targets = Dojo http://www.mavensecurity.com/web_security_dojo/

Das LampsecurityLAMPSecurity-Training besteht aus einer Reihe anfälliger Images virtueller Maschinen und einer ergänzenden Dokumentation Unterrichten von Linux, Apache, PHP, MySQL-Sicherheit. http://sourceforge.net/projects/lampsecurity/files/

Verdammt anfällige Web-App (DVWA) Verdammt anfällige Web-App ist eine PHP / MySQL-Webanwendung, die verdammt anfällig ist. Seine Hauptziele sind es, Sicherheitsexperten dabei zu helfen, ihre Fähigkeiten und Werkzeuge in einem rechtlichen Umfeld zu testen, Webentwicklern zu helfen, die Prozesse zum Sichern von Webanwendungen besser zu verstehen, und Lehrern / Schülern zu helfen, die Sicherheit von Webanwendungen in einer Klassenzimmerumgebung zu lehren / zu lernen .www.dvwa.co.uk

Hacking-Lab Dies ist das Hacking-Lab LiveCD-Projekt. Es befindet sich derzeit im Beta-Stadion. Die Live-CD ist eine standardisierte Client-Umgebung zur Lösung unserer Hacking-Lab-Wargame-Herausforderungen aus der Ferne. http://www.hacking-lab.com/hl_livecd/

MothMoth ist Ein VMware-Image mit einer Reihe anfälliger Webanwendungen und Skripts, die Sie verwenden können für: http://www.bonsai-sec.com/en/research/moth.php

Verdammt gefährdetes Linux (DVL) Verdammt gefährdetes Linux ist alles, was eine gute Linux-Distribution nicht ist. Die Entwickler haben Stunden damit verbracht, es mit defekter, schlecht konfigurierter, veralteter und ausnutzbarer Software zu füllen, die es anfällig für Angriffe macht. DVL kann nicht auf Ihrem Desktop ausgeführt werden - es ist ein Lernwerkzeug für Sicherheitsstudenten. http://www.damnvulnerablelinux.org

pWnOSpWnOS befindet sich auf einem "VM-Image". , das ein Ziel schafft, an dem Penetrationstests durchgeführt werden können; mit dem "Endziel" ist es, Wurzeln zu schlagen. Es wurde entwickelt, um die Verwendung von Exploits mit mehreren Einstiegspunkten zu üben http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html http://www.krash.in/bond00/pWnOS%20v1.0.zip

Virtual Hacking Lab Ein Spiegel absichtlich bewusster Anwendungen und alter Software mit bekannten Schwachstellen. Wird für Proof-of-Concept- / Sicherheitstrainings- / Lernzwecke verwendet. Verfügbar in virtuellen Bildern oder Live-ISO- oder Standalone-Formaten. Http://sourceforge.net/projects/virtualhacking/files/

BadstoreBadstore.net soll Ihnen helfen, zu verstehen, wie Hacker machen Schwachstellen in Webanwendungen zum Opfer und zeigen Ihnen, wie Sie Ihre Gefährdung reduzieren können. http://www.badstore.net/

Katana Katana ist eine tragbare Multi-Boot-Sicherheitssuite, die viele der besten Sicherheitsdistributionen und tragbaren Anwendungen von heute zusammenführt, um auf einem einzigen Flash-Laufwerk ausgeführt zu werden. Es enthält Distributionen, die sich auf Pen-Testing, Auditing, Forensik, Systemwiederherstellung, Netzwerkanalyse und Malware-Entfernung konzentrieren. Katana enthält außerdem über 100 tragbare Windows-Anwendungen. wie Wireshark, Metasploit, NMAP, Cain & Able und viele mehr. www.hackfromacave.com/katana.html

natürlich. WebGoat ist nur ein anfälliger Server. Alle anderen Links enthalten Informationen (IP, Benutzer / Passwort usw.) zu realen (physischen oder virtuellen) Servern. Und die meisten von ihnen sind auf dem neuesten Stand. Mit allen installierten Hotfixes und Patches. Es ist wie die reale Sache. Der Besitzer lernt die 0-Tage-Methode kennen, mit der Sie sie erstellt haben. Zu all diesen Servern gibt es keine Beschreibung. Sie sollten jeden Link besuchen und die FAQ oder Bedingungen / EULA usw. lesen :-(
#2
+20
Rory McCune
2011-01-19 21:38:43 UTC
view on stackexchange narkive permalink

Es gibt verschiedene Optionen zum Einrichten eines Testnetzwerks, an dem gearbeitet werden soll. In dieser Frage finden Sie eine gute Liste bekannter anfälliger Betriebssysteme, einschließlich DVL und Metasploitable.

Um sie als Server in Ihrem Netzwerk einzurichten, benötigen Sie in erster Linie einige funktionierende Virtualisierungssoftware.

Sie sind sich nicht sicher, welche Probleme Sie mit Virtualbox haben. Sie können VMWare Player ausprobieren. Es ist ein kostenloses und relativ einfaches Virtualisierungssystem, mit dem Sie die oben genannten anfälligen Betriebssysteme installieren können. Sobald es funktioniert hat, sollten Sie in der Lage sein, die Software auf virtuellen Maschinen zu installieren, auf die von Ihrem Host-Computer über ein virtuelles Netzwerk zugegriffen werden kann, und Sie sollten in der Lage sein, diese zu testen.

#3
+16
HD Moore
2011-01-19 23:15:21 UTC
view on stackexchange narkive permalink

Metasploitable und UltimateLAMP-0.2 sind großartige virtuelle Zielmaschinen, gegen die getestet werden kann.

Zusätzliche Informationen sind immer willkommen, um dem Poster zu helfen (z. B. Links, Implementierungsprobleme oder in diesem Fall Anleitungen zum Einrichten) - obwohl VMWare mit Metasploitable nur ein Fall ist, in dem Sie der Readme-Datei folgen :-)
#4
+7
symcbean
2011-01-20 15:57:07 UTC
view on stackexchange narkive permalink

Ich habe versucht, einen Server auf demselben Computer (über virtualbox) einzurichten und als Ziel festzulegen, aber es ist fehlgeschlagen.

Die Verwendung virtueller Maschinen ist wahrscheinlich der richtige Weg Um das Problem zu lösen - Wenn Sie gesagt hätten, warum Sie diese nicht zum Laufen gebracht haben, könnten Sie möglicherweise Hilfe bei der Lösung dieser Probleme erhalten (Serverfehler sind möglicherweise ein geeigneterer Ort, um das Erstellen von VMs zu diskutieren).

#5
+4
nealmcb
2011-01-20 01:24:15 UTC
view on stackexchange narkive permalink

Nur zum Spaß werde ich feststellen, dass es vor den Wahlen 2010 in DC einen großartigen öffentlichen Live-Test eines Internet-Abstimmungspakets gab. Aber jetzt ist es vorbei, sodass Sie nicht mitmachen können.

Es hat einigen Sicherheitsforschern an der Universität von Michigan geholfen, Wahlverwaltern einige großartige Lektionen darüber beizubringen, wie Internet Voting eine ungelöste Weltklasse ist Sicherheitsproblem. Siehe auch Gefahren der Internet-Abstimmung bestätigt | Verifizierter Abstimmungsblog



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...