2. Giovanni Cattani
Security Specialist @ Secure Network S.r.l.
#penetrationtest
#vulnerabilityassessment
#web #mobile #network
#riskassessment
Penetration Testing Aziendale con BeEF
3. BeEF
The Browser Exploitation Framework
• Creato da Wade Alcorn nel 2005
• Gratuito e Open-Source
• Sviluppo continuo e rilasci mensili
• Sviluppato in Ruby (framework) e in JavaScript (moduli)
– I collaboratori sono sempre benvenuti!
beefproject.com
@beefproject
Penetration Testing Aziendale con BeEF
20. A penetration test is a method of
evaluating the security of a computer
system or network by simulating an
attack.
Source: https://www.owasp.org/index.php/Testing:_Introduction_and_objectives
Penetration Testing Aziendale con BeEF
40. Dillo Anche a Me!
Penetration Testing Aziendale con BeEF
41. Dillo Anche a Me!
Penetration Testing Aziendale con BeEF
42. Dillo Anche a Me!
Penetration Testing Aziendale con BeEF
43. Pronti all’Uso
Numerosi exploit già integrati
Exploit pronti per essere eseguiti
Nuove vulnerabilità Nuovi exploit
Exploit esterni sono facili da integrare
Target: server, router, switch, NAS, etc.
Penetration Testing Aziendale con BeEF
46. Basically, social engineering is the art
and science of getting people to
comply to your wishes.
Harl – “People Hacking: The Psychology of Social Engineering” (1997)
Penetration Testing Aziendale con BeEF
76. • Sviluppato da Rapid7
• Framework per sviluppare ed eseguire exploit
• Diverse versioni, sia gratuite che a pagamento
Integrazione di Metasploit Framework (MSF) in BeEF
Interfaccia web di BeEF per lanciare gli exploit
Accesso diretto a numerosi exploit aggiornati
Usare i browser agganciati come pivot per gli attacchi
Penetration Testing Aziendale con BeEF
97. adminforums.com
getBrowserDetails()
v. 6.0.0M1
Windows XP SP3
Internet Explorer 8
getBrowserPlugins()
MSF Exploit
Adobe Flash Player 10.2.153.1
SWF Memory Corruption
Flash Player
v. 10.2.153.1
Payload
Reverse Meterpreter TCP
Exploit
HEAD Request JSP Shell
Penetration Testing Aziendale con BeEF
98. adminforums.com
getBrowserDetails()
v. 6.0.0M1
Windows XP SP3
Internet Explorer 8
getBrowserPlugins()
Flash Player
v. 10.2.153.1
MSF Exploit
Adobe Flash Player 10.2.153.1
SWF Memory Corruption
Payload
Reverse Meterpreter TCP
Exploit
HEAD Request JSP Shell
Penetration Testing Aziendale con BeEF
> insert command
100. Percorsi Aruba: E-Security
Partecipate ad almeno 2 tra i workshop selezionati da
Aruba e ritirare il vostro attestato.
Penetration Testing Aziendale con BeEF
_______________________
Stand Aruba – Padiglione 2
Penetration Testing Aziendale con BeEF