Veritabanı Sızma Testleri - 2

Description
1. Veritabanı Sızma Testleri - Hafta 2 BGM 553 - Sızma Testleri ve G¨uvenlik Denetlemeleri-I Bilgi G¨uvenli˘gi M¨uhendisli˘gi Y¨uksek Lisans Programı Dr. Ferhat…

Please download to get full document.

View again

of 14
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Information
Category:

Software

Publish on:

Views: 0 | Pages: 14

Extension: PDF | Download: 0

Share
Transcript
  • 1. Veritabanı Sızma Testleri - Hafta 2 BGM 553 - Sızma Testleri ve G¨uvenlik Denetlemeleri-I Bilgi G¨uvenli˘gi M¨uhendisli˘gi Y¨uksek Lisans Programı Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 1 / 14
  • 2. ˙Ic¸indekiler 1 Exploitation Giris¸ 2 Parola Kırma Saldırıları crunch Hydra ve Nmap Metasploit xp cmdshell Veritabanı Y¨onetici Bilgisayarları 3 ¨Ornekler Hydra Metasploit Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 2 / 14
  • 3. ˙Ic¸indekiler 1 Exploitation Giris¸ 2 Parola Kırma Saldırıları crunch Hydra ve Nmap Metasploit xp cmdshell Veritabanı Y¨onetici Bilgisayarları 3 ¨Ornekler Hydra Metasploit Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 3 / 14
  • 4. Exploitation Veritabanı sızma testlerinde 2. as¸ama : Exploitation Amac¸ : kes¸if as¸amasında elde edilen bilgiler kullanılarak hedef sisteme eris¸ebilmek. Kullanılan Y¨ontemler Veritabanı sistemlerinde bulunan zafiyetler Kaba kuvvet ve s¨ozl¨uk saldırılarıyla elde edilen kullanıcı adı ve parola bilgileri ˙Ic¸ a˘g testlerinde elde edilen veritabanı ba˘glantı bilgileri Veritabanı sistemlerinde bulunan ve is¸letim sistemi ¨uzerinde komut c¸alıs¸tırabilen mod¨uller Veritabanı y¨onetici bilgisayarları ¨uzerinden veritabanı sistemlerine eris¸me Veritabanı sisteminin kurulu oldu˘gu sunucuya eris¸im sa˘glayıp, sunucu ¨uzerinden veritabanı sistemlerine yetkili eris¸im sa˘glama Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 4 / 14
  • 5. ˙Ic¸indekiler 1 Exploitation Giris¸ 2 Parola Kırma Saldırıları crunch Hydra ve Nmap Metasploit xp cmdshell Veritabanı Y¨onetici Bilgisayarları 3 ¨Ornekler Hydra Metasploit Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 5 / 14
  • 6. crunch Crunch wordlist generator Verilen karakterler ic¸in olası b¨ut¨un kombinasyonlar ic¸in s¸ifre olus¸turur. Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 6 / 14
  • 7. Parola Kırma Saldırıları - Hydra ve Nmap C¸ evirimic¸i Parola Kırma Saldırıları - Hydra ve Nmap C¸ es¸itli arac¸lar kullanarak veritabanı ¨uzerinde yer alan kullanıcılara parola denemesi yapılmaktadır. Hydra (xhydra) hydra -v -V -l <user> -P <Pass file> -t 4 <host> mssql <user>: Saldırı ic¸in kullanılacak kullanıcı adı <Pass file>: Saldırı ic¸in kullanılacak parola dosyası <host>: Saldırının gerc¸ekles¸tirilece˘gi veritabanına ait IP adresi Nmap: ”ms-sql-brute.nse” scripti nmap -p 1433 –script ms-sql-brute –script-args userdb=<user file>, passdb=<pass file> <host> <user file>: Saldırı ic¸in kullanılacak kullanıcı isimlerinin bulundu˘gu dosya <pass file>: Saldırı ic¸in kullanılacak parola dosyası <host>: Saldırının gerc¸ekles¸tirilece˘gi veritabanına ait IP adresi Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 7 / 14
  • 8. Parola Kırma Saldırıları - Metasploit C¸ evirimic¸i Parola Kırma Saldırıları - Metasploit C¸ evrimic¸i parola kırma saldırısı gerc¸ekles¸tiren mod¨uller: Oracle auxiliary/admin/oracle/oracle login auxiliary/scanner/oracle/oracle login MsSQL Server auxiliary/scanner/mssql/mssql login auxiliary/admin/mssql/mssql enum sql logins xp cmdshell MySQL auxiliary/scanner/mysql/mysql login PostgreSQL auxiliary/scanner/postgres/postgres login Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 8 / 14
  • 9. xp cmdshell (Transact-SQL) xp cmdshell Yeni bir komut satırı (command shell) ac¸ar. Parametre olarak verilen stringi c¸alıs¸tırır. Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 9 / 14
  • 10. Veritabanı Y¨onetici Bilgisayarları Veritabanı Y¨onetici Bilgisayarları Veritabanı y¨oneticileri, veritabanı sistemlerini y¨onetmek ic¸in c¸o˘gunlukla uzaktan y¨onetim sa˘glayan arac¸lar kullanır. Veritabanı sistemlerinin y¨onetimini kolaylas¸tırmak ic¸in bu arac¸larda kullanıcı adı, parola ve veritabanına ait bilgileri saklı tutarlar. Sıklıkla kullandı˘gı arac¸lardan bazıları s¸unlardır Putty TOAD Aqua Data Studio Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 10 / 14
  • 11. Putty ve Toad Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 11 / 14
  • 12. ˙Ic¸indekiler 1 Exploitation Giris¸ 2 Parola Kırma Saldırıları crunch Hydra ve Nmap Metasploit xp cmdshell Veritabanı Y¨onetici Bilgisayarları 3 ¨Ornekler Hydra Metasploit Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 12 / 14
  • 13. ¨Ornekler - Hydra -v: Detaylı bilgi alınmasını sa˘glar. -V: Yapılan her denemeyi ekranda g¨osterir. -l: Saldırının yapılaca˘gı kullanıcı adı -P: Saldırıda kullanılacak parolaları ic¸eren dosya -t: Saldırı yapılırken ac¸ılacak paralel ba˘glantı sayısı Uygulama: hydrauser sqlsrv2 Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 13 / 14
  • 14. Metasploit-mssql login Dr. Ferhat ¨Ozg¨ur C¸ atak ozgur.catak@tubitak.gov.tr Veritabanı Sızma Testleri - Hafta 2 ˙Istanbul S¸ ehir ¨Universitesi 2016 - G¨uz 14 / 14
  • Related Search
    We Need Your Support
    Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

    Thanks to everyone for your continued support.

    No, Thanks