ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Ataque CSRF


Enviado por   •  21 de Enero de 2019  •  Tareas  •  432 Palabras (2 Páginas)  •  135 Visitas

Página 1 de 2

Ataque CSRF  

  1. Iniciar la MV de Metasplitable e ingresar las credenciales siguientes:
  •  Login: msfadmin 
  • Password: msfadmin

Obtener la dirección IP de la máquina victima con el comando ifconfig, para posteriormente poder interactuar con la máquina virtual de metasploitable.

[pic 1]

Imagen 1

Nota: Para este caso la dirección IP es: 192.168.10.129. Así que para poder interactuar con la máquina de metasploitable la url será: http://192.168.10.129 

  1. Teniendo preparado nuestro escenario, procederemos a hacer la prueba de concepto del ataque SQL.
  2. Abrir nuestro navegador web en nuestra máquina virtual atacante y escribir la url http://192.168.10.129. (Imagen 2).

[pic 2]

Imagen 2

  1. Seleccionar la opción DVWA, o escribir la url  http://192.168.10.129/dvwa/login.php.

Posteriormente escribir las credenciales: Username: admin y Password: password y después dar clic en la opción Login.

[pic 3] 

Imagen 3

  1. Debemos cambiar el grado de seguridad de la aplicación para lograr exitosamente el ataque, para ello se deberá seleccionar DVWA Security y después se cambiara el nivel de seguridad a low(imagen 4) y dar clic en submit.

[pic 4] 

Imagen 4

  1. Seleccionar la opción CSRF( Imagen 5).

[pic 5]

Imagen 5

  1. Comprobar la comunicación entre  Kali y Metasploitable (Imagen 6).

[pic 6]

Imagen 6

  1. Ejecutar la herramienta CSRFTester instalado en Kali con el comando ./start.sh (imagen 7 y 8). Posteriormente hacer clic en la opción Start Recording.

[pic 7]

Imagen 7

[pic 8]

Imagen 8

  1. Abrir el navegador (Iceweasel) dar clic en el menú Edit>Preferences, después en la opción Advanced>Network>Settings (Figura 9).

[pic 9]

Imagen 9

  1. Seleccionar la opción Manual Proxy Configuration y llenar los campos HTTP Proxy y Port, tal como se muestra en la imagen 10. Finalmente dar clic en la opción OK.

[pic 10]

Imagen 10

  1. Abrir o actualizar nuevamente la aplicación DVWA en nuestro navegador e inicializar la herramienta CSRFTester seleccionando la opción Start Recording (imagen 11).

[pic 11]

Imagen 11

  1. Escribir un nuevo password y confirmarlo (para este caso el password es: dukenukem) (imagen 12).

[pic 12]

Imagen 12

  1. Abrir la herramienta CSRFTester y seleccionar la opción Stop Recording y posteriormente seleccionar la opción Generate HTML (imagen 15) y guardar el archivo en el escritorio (imagen 13).

[pic 13] 

Imagen 13

  1. Abrimos el archivo Index.html que genero la herramienta CSRFTester (imagen 14 y 15). Para ello usaremos el comando nano para poder editar dicho archivo.

[pic 14]

Imagen 14

[pic 15]

Imagen 15. Index.html no modificado

[pic 16]

Imagen 16. Index.html modificado

  1. Finalmente abrimos el archivo index.html y observamos la leyenda “Password Changed” (imagen 17).

[pic 17]

Imagen 17

  1. Para comprobar que el password fue cambiado se sugiere autenticarse y desautenticarse de la aplicación.

[pic 18] 

Imagen 18

...

Descargar como (para miembros actualizados)  txt (3 Kb)   pdf (673.2 Kb)   docx (766 Kb)  
Leer 1 página más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com