EXPLOITATION-TUTORIAL: In 3 ÜBERRASCHEND einfachen Schritten zum perfekten Hack

preview_player
Показать описание
In diesem Video wird die Exploitation eines infizierten Web-Servers erklärt und die allgemeine Vorgehensweise bei Hackerangriffen.

⭐️INHALT⭐️

⌨️ 00:00 – 04:14 1.0 Identfizieren von Schwachstellen
⌨️ 04:14 – 12:40 1.1 Exploit-Code analysieren
⌨️ 12:40 – 20:22 1.2 Die Kunst der Exploitation
------------------------------------------------------------------------
► Die Kunst des Hackens ◀
Exploit was ist das? Hacken erfordert in Wahrheit ein akribisches Vorgehen und oftmals sehr viel Geduld. In Film und Fernsehen wird aber fast immer nur ein kleiner Teilbereich dargestellt, nämlich die Phase, in der das Zielsystem letztendlich angegriffen wird. Schwachstellen, die für solche Angriffe ausgenutzt werden können, lassen sich aber nicht ohne Weiteres aus dem Ärmel schütteln. Ohne korrekte Vorbereitung wird auch der beste Hacker nur einen Bruchteil der möglichen Ergebnisse erzielen.
Professionelles Hacken hat viel mit der Arbeit eines Detektivs zutun. Man hangelt sich von Hinweis zu Hinweis und versucht anhand der Brotkrumen einen Weg abseits der vorgesehenen Norm zu finden. Ziel ist es, die uns zur Verfügung stehenden Mitteln so auszunutzen, dass wir einen Computer zu einem völlig neuen Verhalten bringen können. Wie die einzelnen Phasen dabei genau ablaufen, schauen wir jetzt im Detail an.
------------------------------------------------------------------------
► Die 5 Phasen eines Pentests ◀
Ein Pentest lässt sich in 5 Phasen unterteilen: (1) passiven Reconnaissance, bei der wir uns ausschließlich öffentlicher Informationen bedienen. Phase zwei ist die (2) aktive Reconnaissance, in der wir tatsächlich mit unserem Ziel interagieren und uns einen Gesamtüberblick über die Angriffsoberfläche verschaffen. Schritt drei, die (3) Exploitation-Phase, ist der eigentliche Angriff auf unser Ziel, bei dem wir vorhandene Schwachstellen aktiv ausnutzen. Anschließend weiten wir in der (4) Post-Exploitation-Phase unsere Berechtigungen aus, öffnen uns eine dauerhafte Hintertür und verwischen unsere Spuren. Die Ergebnisse fassen wir letztendlich in der (5) Reporting-Phase in einem detaillierten und einfach nachvollziehbaren Bericht zusammen.
------------------------------------------------------------------------
► Phase 3: Exploitation (Exploit Erklärung bzw. exploit erklärt) ◀
In Phase 3, der Exploitation-Phase, kommen wir dann zum Teil, der oftmals als das eigentliche Hacken angesehen wird. Ein Exploit was ist das? Ein genaues Verständnis der Zielumgebung ist dafür aber Grundvoraussetzung. Wir gehen jetzt alle Schnittstellen der Reihe nach durch und prüfen zum einen, ob die durch die Schwachstellen-Scanner identifizierten Befunde tatsächlich ausnutzbar sind, also ob es sich um False oder True Positives handelt, und zum anderen, welche Schwachstellen wir manuell finden und ausnutzen können. Grundsätzlich gibt es dafür kein allgemeingültiges Rezept. Wie bzw. ob ein Service angreifbar ist, hängt immer sehr stark von den Konfigurationen, Versionen oder zusätzlichen Sicherheitsmaßnahmen wie Firewalls und Intrusion Prevention Systemen ab. Mit der Zeit erkennt man aber, welche Fehler immer wieder gemacht werden und welche Angriffstaktiken eine gute Erfolgschance haben.
Ein guter Hacker hat jedoch niemals ausgelernt und muss sich durchgehend über aktuelle Trends auf dem Laufenden halten. So simpel es auch klingt, aber Twitter ist der perfekte Ort, um sich über die neuesten Entwicklungen in der Szene zu informieren. Geheime Untergrundforen im Darknet gehören der Vergangenheit an.
------------------------------------------------------------------------
► Rechtliche Aspekte ◀
Die erlernten Techniken und Angriffsvektoren dürfen nur in der gezeigten Übungsumgebung angewandt werden und niemals außerhalb der Übungs-Labs. Bitte beachte, dass die meisten Attacken, die für die Übungssysteme beschrieben werden, verboten sind, falls hierfür keine explizite Genehmigung vorliegt. Bitte nutze die Angriffstechniken NIEMALS gegen echte Systeme ohne schriftliche Erlaubnis.
------------------------------------------------------------------------
► Mein Equipment* ◀
Mikrofon Rode NT1a
Gaming-PC
Samsung Curved Monitor - das "Curved" hat keine besondere Funktion, aber sieht epic aus
Mein wichtigstes Equipment im Sommer:

*Es handelt sich bei den Links um sogenannte Affiliate-Links. Falls ein Einkauf hierdurch zustandekommt, erhalte ich eine Provision von Amazon.
Рекомендации по теме
Комментарии
Автор

Sehr schön! Da passt der Spruch..."Viele Wege führen nach Rom"! Denke es ist eine gute Übung für Anfänger, diese verschiedenen Vorgehensweisen mal in einer Box zu testen!

sharky
Автор

7:30 .. ok meine neugier ist geweckt 🤔

13:08 hast du nicht kurz vorher gesagt: "das ist nicht einfach kopieren und einfügen.. das wär ja auch zu einfach ?? 😅😂😂
Jaa ok, du hast den code in einer datei gespeichert, und dann erst ausgeführt
Dennoch ist es einfach nur copy&paste 😂👌🏻
Es ist sogar teilsweise noch einfacher als ich dachte LOL
Aber gefällt mir sehr.. daumen hoch für diese meisterleistung an video 💪😇

Unlck-mde
Автор

Es ist ein sehr gutes Video und du hast alles sehr klar erklärt👍

masterbloon
Автор

Unbedingt auch auf MEHR ANSEHEN clicken! Lohnt sich! Pen erklärt da die 5 Phasen des Hackens, die Vorgehensweise, und gibt einen kurzen Überblick unter dem Titel "Die Kunst des Hackens" und weist darauf hin, dass Hacken eigentlich viel mit Detektiv Arbeit zu tun hat! Wie wahr!

sharky
Автор

Firewalls....wäre das nicht auch mal eine Idee für ein Video! Und zwar aus der Hacking perspektive! Oder Red team vs. Blue team! Ansichten!

sharky
Автор

Interessant ist auch dass man das sehr gut in BURP suite machen kann. Was neu für mich war ist, dass du den richtigen USER AGENT nicht ERSETZT durch den fake USER AGENTT, sondern ihn einfach hinzu fügst! Dachte immer man muss zwingend den ORIGINAL User-Agent ändern bzw. manipulieren! Sonst würde das nicht funktionieren!

sharky
Автор

Könnte mir vllt jemand den link zu dem raum schicken ich find den nicht. Cooles Video mach so weiter :D

rm.os.system