Webgereedskap, of waar moet 'n pentester begin?

voortgaan praat oor nuttige gereedskap vir pentesters. In die nuwe artikel sal ons kyk na gereedskap vir die ontleding van die sekuriteit van webtoepassings.

Ons kollega BeLiefde Ek het al so iets gedoen samestelling sowat sewe jaar gelede. Dit is interessant om te sien watter gereedskap hul posisies behou en versterk het, en watter op die agtergrond vervaag het en word nou min gebruik.


Let daarop dat dit ook Burp Suite insluit, maar daar sal 'n aparte publikasie daaroor en sy nuttige inproppe wees.

Inhoud:

• stig
• Altdns
• akwatoon
• Massa-DNS
• nsec3kaart
• Acunetix
• Dirsearch
• wfuzz
• ffuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• sqlmap
• GeenSQLMap
• oxml_xxe
• tplmap
• CeWL
• Swakpas
• AEM_haker
• JoomScan
• WPScan

stig

stig - 'n Go-instrument om DNS-subdomeine te soek en op te noem en die eksterne netwerk te karteer. Amass is 'n OWASP-projek wat ontwerp is om te wys hoe organisasies op die internet vir 'n buitestander lyk. Amass verkry subdomeinname op verskeie maniere; die instrument gebruik beide rekursiewe opsomming van subdomeine en oopbronsoektogte.

Om onderling gekoppelde netwerksegmente en outonome stelselnommers te ontdek, gebruik Amass IP-adresse wat tydens werking verkry is. Alle inligting wat gevind word, word gebruik om 'n netwerkkaart te bou.

Pros:

• Inligtingsinsamelingstegnieke sluit in:
  * DNS - woordeboeksoektog van subdomeine, bruteforce-subdomeine, slim soek met mutasies gebaseer op subdomeine wat gevind is, omgekeerde DNS-navrae en soek na DNS-bedieners waar dit moontlik is om 'n sone-oordragversoek (AXFR) te maak;

  * Oopbronsoektog - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Soek TLS-sertifikaatdatabasisse - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Gebruik soekenjin API's - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Soek internet-webargiewe: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;

• Integrasie met Maltego;
• Bied die mees volledige dekking van die taak om na DNS-subdomeine te soek.

Nadele:

• Wees versigtig met amass.netdomains - dit sal probeer om elke IP-adres in die geïdentifiseerde infrastruktuur te kontak en domeinname van omgekeerde DNS-opsoeke en TLS-sertifikate te verkry. Dit is 'n "hoëprofiel" tegniek, dit kan jou intelligensie-aktiwiteite in die organisasie wat ondersoek word, openbaar.
• Hoë geheueverbruik, kan tot 2 GB RAM in verskillende instellings verbruik, wat jou nie sal toelaat om hierdie instrument in die wolk op 'n goedkoop VDS te laat loop nie.

Altdns

Altdns - 'n Python-instrument vir die samestelling van woordeboeke vir die opsomming van DNS-subdomeine. Laat jou toe om baie variante van subdomeine te genereer deur mutasies en permutasies te gebruik. Hiervoor word woorde gebruik wat dikwels in subdomeine voorkom (byvoorbeeld: toets, dev, staging), alle mutasies en permutasies word toegepas op reeds bekende subdomeine, wat by die Altdns-invoer ingedien kan word. Die uitvoer is 'n lys van variasies van subdomeine wat kan bestaan, en hierdie lys kan later gebruik word vir DNS brute force.

Pros:

• Werk goed met groot datastelle.

akwatoon

akwatoon - was voorheen beter bekend as 'n ander hulpmiddel om subdomeine te soek, maar die skrywer self het dit laat vaar ten gunste van die voorgenoemde Amass. Nou is aquatone in Go herskryf en is dit meer gerig op voorlopige verkenning op webwerwe. Om dit te doen, gaan aquatone deur die gespesifiseerde domeine en soek webwerwe op verskillende poorte, waarna dit al die inligting oor die webwerf versamel en 'n skermskoot neem. Gerieflik vir vinnige voorlopige verkenning van webwerwe, waarna u prioriteitsteikens vir aanvalle kan kies.

Pros:

• Die uitvoer skep 'n groep lêers en vouers wat gerieflik is om te gebruik wanneer jy verder met ander gereedskap werk:
  * HTML-verslag met versamelde skermkiekies en antwoordtitels gegroepeer volgens ooreenkoms;

  * 'n Lêer met alle URL's waar webwerwe gevind is;

  * Lêer met statistieke en bladsydata;

  * 'n gids met lêers wat antwoordopskrifte van gevind teikens bevat;

  * 'n gids met lêers wat die liggaam van die reaksie van die gevind teikens bevat;

  * Skermskote van webwerwe wat gevind is;

• Ondersteun werk met XML-verslae van Nmap en Masscan;
• Gebruik koplose Chrome/Chromium om skermkiekies weer te gee.

Nadele:

• Dit kan die aandag van inbraakdetectiestelsels trek, dus dit vereis konfigurasie.

Die skermskoot is geneem vir een van die ou weergawes van aquatone (v0.5.0), waarin DNS-subdomeinsoektog geïmplementeer is. Ouer weergawes kan gevind word by vrystellings bladsy.

Massa-DNS

Massa-DNS is nog 'n hulpmiddel om DNS-subdomeine te vind. Die belangrikste verskil is dat dit DNS-navrae direk na baie verskillende DNS-resolvers maak en dit teen aansienlike spoed doen.

Pros:

• Vinnig - in staat om meer as 350 duisend name per sekonde op te los.

Nadele:

• MassDNS kan aansienlike las veroorsaak op die DNS-resolvers wat gebruik word, wat kan lei tot verbod op daardie bedieners of klagtes by u ISP. Daarbenewens sal dit 'n groot las op die maatskappy se DNS-bedieners plaas, as hulle dit het en as hulle verantwoordelik is vir die domeine wat jy probeer oplos.
• Die lys van resolvers is tans verouderd, maar as jy die stukkende DNS-resolvers kies en nuwe bekendes byvoeg, sal alles in orde wees.

Skermskoot van aquatone v0.5.0

nsec3kaart

nsec3kaart is 'n Python-instrument vir die verkryging van 'n volledige lys van DNSSEC-beskermde domeine.

Pros:

• Ontdek gashere vinnig in DNS-sones met 'n minimum aantal navrae as DNSSEC-ondersteuning in die sone geaktiveer is;
• Sluit 'n inprop vir John the Ripper in wat gebruik kan word om die gevolglike NSEC3-hashes te kraak.

Nadele:

• Baie DNS-foute word nie korrek hanteer nie;
• Daar is geen outomatiese parallelisering van die verwerking van NSEC-rekords nie - jy moet die naamruimte handmatig verdeel;
• Hoë geheueverbruik.

Acunetix

Acunetix - 'n webkwesbaarheidskandeerder wat die proses outomatiseer om die sekuriteit van webtoepassings na te gaan. Toets die toepassing vir SQL-inspuitings, XSS, XXE, SSRF en baie ander webkwesbaarhede. Soos enige ander skandeerder, vervang 'n verskeidenheid webkwesbaarhede egter nie 'n pentester nie, aangesien dit nie komplekse kettings van kwesbaarhede of kwesbaarhede in logika kan vind nie. Maar dit dek baie verskillende kwesbaarhede, insluitend verskeie CVE's, waarvan die pentester dalk vergeet het, so dit is baie gerieflik om jou van roetine-kontroles te bevry.

Pros:

• Lae vlak van vals positiewe;
• Resultate kan as verslae uitgevoer word;
• Voer 'n groot aantal kontroles vir verskeie kwesbaarhede uit;
• Parallelle skandering van verskeie gashere.

Nadele:

• Daar is geen dedupliseringsalgoritme nie (Acunetix sal bladsye wat identies is in funksionaliteit as verskillend beskou, aangesien dit na verskillende URL's lei), maar die ontwikkelaars werk daaraan;
• Vereis installasie op 'n aparte webbediener, wat die toets van kliëntstelsels met 'n VPN-verbinding en die gebruik van die skandeerder in 'n geïsoleerde segment van die plaaslike kliëntnetwerk bemoeilik;
• Die diens wat bestudeer word, kan byvoorbeeld geraas maak deur te veel aanvalvektore na die kontakvorm op die webwerf te stuur, wat besigheidsprosesse baie bemoeilik;
• Dit is 'n eie en gevolglik nie gratis oplossing nie.

Dirsearch

Dirsearch - 'n Python-instrument om dopgehou en lêers op webwerwe te dwing.

Pros:

• Kan regte "200 OK" bladsye van "200 OK" bladsye onderskei, maar met die teks "bladsy nie gevind nie";
• Kom met 'n handige woordeboek wat 'n goeie balans tussen grootte en soekdoeltreffendheid het. Bevat standaard paaie gemeen aan baie CMS en tegnologie stapels;
• Sy eie woordeboekformaat, wat jou toelaat om goeie doeltreffendheid en buigsaamheid te bereik in die opsomming van lêers en dopgehou;
• Gerieflike uitvoer - gewone teks, JSON;
• Dit kan smoorwerk doen - 'n pouse tussen versoeke, wat noodsaaklik is vir enige swak diens.

Nadele:

• Uitbreidings moet as 'n string deurgegee word, wat ongerieflik is as jy baie uitbreidings gelyktydig moet slaag;
• Om jou woordeboek te gebruik, sal dit effens aangepas moet word na die Dirsearch woordeboek formaat vir maksimum doeltreffendheid.

wfuzz

wfuzz - Python webtoepassing fuzzer. Seker een van die bekendste webfasers. Die beginsel is eenvoudig: wfuzz laat jou toe om enige plek in 'n HTTP-versoek in te faseer, wat dit moontlik maak om GET/POST-parameters, HTTP-opskrifte, insluitend Koekie en ander verifikasie-opskrifte in te faseer. Terselfdertyd is dit ook gerieflik vir 'n eenvoudige brute krag van gidse en lêers, waarvoor u 'n goeie woordeboek benodig. Dit het ook 'n buigsame filterstelsel waarmee u antwoorde vanaf die webwerf kan filter volgens verskillende parameters, wat u toelaat om effektiewe resultate te behaal.

Pros:

• Multifunksioneel - modulêre struktuur, montering neem 'n paar minute;
• Gerieflike filter- en fuzzmeganisme;
• U kan enige HTTP-metode faseer, sowel as enige plek in 'n HTTP-versoek.

Nadele:

• Onder ontwikkeling.

ffuf

ffuf - 'n webfuzzer in Go, geskep in die "beeld en gelykenis" van wfuzz, laat jou toe om lêers, gidse, URL-paaie, name en waardes van GET/POST-parameters, HTTP-opskrifte, insluitend die Host-opskrif vir brute force, te brute van virtuele gashere. wfuzz verskil van sy broer in hoër spoed en 'n paar nuwe funksies, byvoorbeeld, dit ondersteun Dirsearch-formaat woordeboeke.

Pros:

• Filters is soortgelyk aan wfuzz-filters, hulle laat jou toe om brute force buigsaam op te stel;
• Laat jou toe om HTTP-kopwaardes, POST-versoekdata en verskeie dele van die URL te verduister, insluitend name en waardes van GET-parameters;
• U kan enige HTTP-metode spesifiseer.

Nadele:

• Onder ontwikkeling.

gobuster

gobuster — 'n Go-instrument vir verkenning, het twee werkswyses. Die eerste word gebruik om lêers en gidse op 'n webwerf te brute force, die tweede word gebruik om DNS-subdomeine te brute force. Die instrument ondersteun aanvanklik nie rekursiewe opsomming van lêers en gidse nie, wat natuurlik tyd bespaar, maar aan die ander kant moet die brute krag van elke nuwe eindpunt op die webwerf afsonderlik bekendgestel word.

Pros:

• Hoë spoed van werking, beide vir brute force-soektog van DNS-subdomeine en vir brute force van lêers en gidse.

Nadele:

• Die huidige weergawe ondersteun nie die stel van HTTP-opskrifte nie;
• By verstek word slegs sommige van die HTTP-statuskodes (200,204,301,302,307) as geldig beskou.

Arjun

Arjun - 'n instrument vir brute krag van verborge HTTP-parameters in GET/POST-parameters, sowel as in JSON. Die ingeboude woordeboek het 25 980 woorde, wat Ajrun in byna 30 sekondes nagaan. Die truuk is dat Ajrun nie elke parameter afsonderlik nagaan nie, maar ~1000 parameters op 'n slag nagaan en kyk of die antwoord verander het. As die antwoord verander het, verdeel dit hierdie 1000 parameters in twee dele en kontroleer watter van hierdie dele die antwoord affekteer. Dus, deur 'n eenvoudige binêre soektog te gebruik, word 'n parameter of verskeie versteekte parameters gevind wat die antwoord beïnvloed het en dus kan bestaan.

Pros:

• Hoë spoed as gevolg van binêre soektog;
• Ondersteuning vir GET/POST parameters, sowel as parameters in die vorm van JSON;

Die inprop vir Burp Suite werk op 'n soortgelyke beginsel - param-myner, wat ook baie goed is om verborge HTTP-parameters te vind. Ons sal jou meer daaroor vertel in 'n komende artikel oor Burp en sy inproppe.

LinkFinder

LinkFinder - 'n Python-skrip om na skakels in JavaScript-lêers te soek. Nuttig om verborge of vergete eindpunte/URL's in 'n webtoepassing te vind.

Pros:

• Vinnig;
• Daar is 'n spesiale inprop vir Chrome gebaseer op LinkFinder.

.

Nadele:

• Ongemaklike finale gevolgtrekking;
• Ontleed nie JavaScript oor tyd nie;
• Nogal 'n eenvoudige logika om na skakels te soek - as JavaScript op een of ander manier verduister is, of die skakels aanvanklik ontbreek en dinamies gegenereer word, dan sal dit niks kan vind nie.

JSParser

JSParser is 'n Python script wat gebruik Tornado и JSBeauifier om relatiewe URL's van JavaScript-lêers te ontleed. Baie nuttig om AJAX-versoeke op te spoor en 'n lys van API-metodes saam te stel waarmee die toepassing interaksie het. Werk effektief in samewerking met LinkFinder.

Pros:

• Vinnige ontleding van JavaScript-lêers.

sqlmap

sqlmap is waarskynlik een van die bekendste instrumente vir die ontleding van webtoepassings. Sqlmap outomatiseer die soektog en werking van SQL-inspuitings, werk met verskeie SQL-dialekte, en het 'n groot aantal verskillende tegnieke in sy arsenaal, wat wissel van reguit aanhalings tot komplekse vektore vir tydgebaseerde SQL-inspuitings. Daarbenewens het dit baie tegnieke vir verdere ontginning vir verskeie DBBS'e, so dit is nuttig nie net as 'n skandeerder vir SQL-inspuitings nie, maar ook as 'n kragtige hulpmiddel om reeds gevind SQL-inspuitings te ontgin.

Pros:

• 'n Groot aantal verskillende tegnieke en vektore;
• Lae aantal vals positiewe;
• Baie fyn-instelling opsies, verskeie tegnieke, teiken databasis, peuter skrifte vir omseil WAF;
• Vermoë om uitsetstorting te skep;
• Baie verskillende operasionele vermoëns, byvoorbeeld, vir sommige databasisse - outomatiese laai/aflaai van lêers, verkryging van die vermoë om opdragte uit te voer (RCE) en ander;
• Ondersteuning vir direkte verbinding met die databasis deur gebruik te maak van data wat tydens 'n aanval verkry is;
• U kan 'n tekslêer indien met die resultate van Burp as invoer - u hoef nie al die opdragreëlkenmerke met die hand saam te stel nie.

Nadele:

• Dit is moeilik om byvoorbeeld aan te pas om van jou eie tjeks uit te skryf weens die skaars dokumentasie hiervoor;
• Sonder die toepaslike instellings voer dit 'n onvolledige stel kontroles uit, wat misleidend kan wees.

GeenSQLMap

GeenSQLMap - 'n Python-instrument om die soektog en ontginning van NoSQL-inspuitings te outomatiseer. Dit is gerieflik om nie net in NoSQL-databasisse te gebruik nie, maar ook direk wanneer webtoepassings wat NoSQL gebruik, geoudit word.

Pros:

• Soos sqlmap, vind dit nie net 'n potensiële kwesbaarheid nie, maar kyk ook na die moontlikheid van die uitbuiting daarvan vir MongoDB en CouchDB.

Nadele:

• Ondersteun nie NoSQL vir Redis nie, Cassandra, ontwikkeling is in hierdie rigting aan die gang.

oxml_xxe

oxml_xxe - 'n instrument om XXE XML-uitbuitings in verskillende tipes lêers in te sluit wat die XML-formaat in een of ander vorm gebruik.

Pros:

• Ondersteun baie algemene formate soos DOCX, ODT, SVG, XML.

Nadele:

• Ondersteuning vir PDF, JPEG, GIF is nie ten volle geïmplementeer nie;
• Skep slegs een lêer. Om hierdie probleem op te los, kan jy die instrument gebruik docem, wat 'n groot aantal loonvraglêers op verskillende plekke kan skep.

Die bogenoemde nutsprogramme doen 'n uitstekende werk om XXE te toets wanneer dokumente wat XML bevat laai. Maar onthou ook dat XML-formaathanteerders in baie ander gevalle gevind kan word, byvoorbeeld XML kan as 'n dataformaat in plaas van JSON gebruik word.

Daarom beveel ons aan dat u aandag gee aan die volgende bewaarplek, wat 'n groot aantal verskillende loonvragte bevat: PayloadsAllTheThings.

tplmap

tplmap - 'n Python-instrument vir die outomatiese identifisering en ontginning van Server-Side Template Injection kwesbaarhede; dit het instellings en vlae soortgelyk aan sqlmap. Gebruik verskeie verskillende tegnieke en vektore, insluitend blinde inspuiting, en het ook tegnieke vir die uitvoering van kode en laai/oplaai van arbitrêre lêers. Daarbenewens het hy in sy arsenaal tegnieke vir 'n dosyn verskillende sjabloonenjins en 'n paar tegnieke om na eval()-agtige kode-inspuitings in Python, Ruby, PHP, JavaScript te soek. As dit suksesvol is, maak dit 'n interaktiewe konsole oop.

Pros:

• 'n Groot aantal verskillende tegnieke en vektore;
• Ondersteun baie sjabloonweergawe enjins;
• Baie bedryfstegnieke.

CeWL

CeWL - 'n woordeboekgenerator in Ruby, geskep om unieke woorde van 'n gespesifiseerde webwerf te onttrek, volg skakels op die webwerf tot 'n bepaalde diepte. Die saamgestelde woordeboek van unieke woorde kan later gebruik word om brute-force-wagwoorde op dienste of brute force-lêers en -gidse op dieselfde webwerf te gebruik, of om die gevolglike hashes aan te val met hashcat of John the Ripper. Nuttig wanneer 'n "teiken" lys van potensiële wagwoorde saamgestel word.

Pros:

• Maklik om te gebruik.

Nadele:

• U moet versigtig wees met die soekdiepte om nie 'n ekstra domein vas te lê nie.

Swakpas

Swakpas - 'n diens wat baie woordeboeke met unieke wagwoorde bevat. Uiters nuttig vir verskeie take wat verband hou met wagwoordkraking, wat wissel van eenvoudige aanlyn brute krag van rekeninge op teikendienste, tot vanlyn brute krag van ontvangde hashes met behulp van hasjkat of John The Ripper. Dit bevat ongeveer 8 miljard wagwoorde wat wissel van 4 tot 25 karakters lank.

Pros:

• Bevat beide spesifieke woordeboeke en woordeboeke met die mees algemene wagwoorde - jy kan 'n spesifieke woordeboek kies vir jou eie behoeftes;
• Woordeboeke word bygewerk en aangevul met nuwe wagwoorde;
• Woordeboeke word volgens doeltreffendheid gesorteer. Jy kan die opsie kies vir beide vinnige aanlyn brute force en gedetailleerde keuse van wagwoorde uit 'n lywige woordeboek met die nuutste lekkasies;
• Daar is 'n sakrekenaar wat die tyd wys wat dit neem om wagwoorde op jou toerusting te bruteer.

Ons wil graag gereedskap vir CMS-tjeks in 'n aparte groep insluit: WPScan, JoomScan en AEM-kraker.

AEM_haker

AEM hacker is 'n hulpmiddel vir die identifisering van kwesbaarhede in Adobe Experience Manager (AEM) toepassings.

Pros:

• Kan AEM-aansoeke identifiseer uit die lys URL's wat by sy insette ingedien is;
• Bevat skrifte vir die verkryging van RCE deur 'n JSP-dop te laai of SSRF te ontgin.

JoomScan

JoomScan - 'n Perl-instrument vir die outomatisering van die opsporing van kwesbaarhede wanneer Joomla CMS ontplooi word.

Pros:

• In staat om konfigurasiefoute en probleme met administratiewe instellings te vind;
• Lys Joomla-weergawes en gepaardgaande kwesbaarhede, op soortgelyke wyse vir individuele komponente;
• Bevat meer as 1000 uitbuitings vir Joomla-komponente;
• Uitvoer van finale verslae in teks- en HTML-formate.

WPScan

WPScan - 'n instrument om WordPress-webwerwe te skandeer, dit het kwesbaarhede in sy arsenaal vir beide die WordPress-enjin self en vir sommige inproppe.

Pros:

• In staat om nie net onveilige WordPress-inproppe en -temas te lys nie, maar ook 'n lys gebruikers en TimThumb-lêers te kry;
• Kan brute force-aanvalle op WordPress-webwerwe uitvoer.

Nadele:

• Sonder die toepaslike instellings voer dit 'n onvolledige stel kontroles uit, wat misleidend kan wees.

Oor die algemeen verkies verskillende mense verskillende gereedskap vir werk: hulle is almal goed op hul eie manier, en waarvan een persoon hou, pas dalk glad nie by 'n ander nie. As jy dink dat ons een of ander goeie nut onregverdig geïgnoreer het, skryf daaroor in die kommentaar!

Bron: will.com