Alert icon
We're changing our privacy policy. This stuff matters.  Learn more  Dismiss

Default Accounts + Google : a dangerous combination ;)

Sign in or sign up now!
Alert icon
Upgrade to the latest Flash Player for improved playback performance. Upgrade now or more info.
431 views
Loading...
Alert icon
Sign in or sign up now!
Alert icon

Uploaded by on Sep 7, 2010

IT-Security Screencast, Thema : Default users + Google .. a harmful combination. English translation further down.

In diesem kleinen IT-Security Screencast, möchte ich euch einmal vorführen, wie gefährlich Standardbenutzer/Passwörter in webbasierter Software in Kombination mit dem Datenkraken Google sein können.
Im ersten Teil des Videos, führe ich euch vor, wie einfach es ist, z.B. mit Metasploit + Cadaver (einem webdav-client, zum Up/Downloaden von Dateien auf den Webserver) den Standardbenutzer des Webdav-Dienstes auszunutzen, welcher von der bekannten Webserver-Software "Xampp für Windows V 1.7.3 (aktuellste Version!)" automatisch mitinstalliert wird. Hioerzu schleuse ich zunächst über den erwähnten Webdav-Dienst eine PHP-Datei auf den Webserver ein, welche dann wiederum bei Ausführung meinen Meterpreter-Schadcode nachlädt, und mir eine Meterpreter-Rootshell auf der Angreifermaschine öffnet. In dieser habe ich dann volle Administrationsrechte auf der Webserver-Machine.
Im 2. Teil des Videos, führe ich dann vor, wie ich anhand des Webserver-Banners der besagten XAMPP-Software, Google misbrauchen kann, um weitere, potenziell ungesicherte Server zu finden, oder auch, wie im Video mittels einer ungefährlichen Textwarnung vorgeführt, reihenweise ungeschützte Webserver automatisiert zu exploiten. Viel Spaß :)!

This is a screencast without audio, demonstrating, how dangerous and harmful default usernames/passes may be, in conjunction with google.
The first part of the video deals with the exploitation of the webdav-service, usually installed with Xampp for Windows 1.7.3. It shows how easily the default user may be abused to gain complete admin-privileges on the webserver-machine using metasploit and cadaver, a simple console-webdav-client. In the second part of the video, I try to show, how easily you can abuse google, to find other vulnerable/exploitable hosts, and how easily this could be automated with a simple ruby script. ENJOY!

  • likes, 0 dislikes

Link to this comment:

Share to:
see all

All Comments (0)

Sign In or Sign Up now to post a comment!
Loading...
Alert icon
0 / 00Unsaved Playlist Return to active list
    1. Your queue is empty. Add videos to your queue using this button:
      or sign in to load a different list.
    Loading...Loading...Saving...
    • Clear all videos from this list
    • Learn more