Network tools, ці з чаго пачаць пентэстару?

Toolkit пачаткоўца пентэстара: уяўляем кароткі дайджэст галоўных прылад, якія спатрэбяцца пры пентэсце ўнутранай сеткі. Гэтыя прылады ўжо актыўна выкарыстоўваюцца шырокім колам адмыслоўцаў, таму ведаць аб іх магчымасцях і валодаць у дасканаласці будзе карысна кожнаму.

Змест:

• Nmap
• Zmap
• Masscan
• Nessus
• Net-Creds
• network-miner
• mitm6
• адказ
• Evil_Foca
• Bettercap
• gateway_finder
• mitmproxy
• СЕМ
• іерсінія
• proxychains

Nmap

Nmap - opensource ўтыліта для сканавання сетак, з'яўляецца адным з самых папулярных інструментаў у бяспечнікаў і сістэмных адміністратараў. У першую чаргу выкарыстоўваецца для сканавання партоў, але, акрамя гэтага, мае вялізную масу карысных функцый, што, па сутнасці, робіць Nmap супер-камбайнам для даследавання сетак.

Акрамя праверкі адчыненых/зачыненых партоў nmap можа ідэнтыфікаваць сэрвіс, які слухае адчынены порт, і яго версію, а часам дапамагае вызначыць АС. У Nmap ёсць падтрымка скрыптоў для сканавання (NSE – Nmap Scripting Engine). З выкарыстаннем скрыптоў магчыма праверыць уразлівасці для розных сэрвісаў (калі, вядома, для іх ёсць скрыпт, альбо можна заўсёды напісаць свой) ці пабруціць паролі ад розных сэрвісаў.

Такім чынам, Nmap дазваляе скласці падрабязную карту сеткі, атрымаць максімум інфармацыі аб запушчаных сэрвісах на хастах у сетцы, а таксама прэвентыўна праверыць некаторыя ўразлівасці. Nmap таксама мае гнуткія налады сканавання, магчымая настройка хуткасці сканавання, колькасці патокаў, колькасці груп для сканавання і г.д.
Зручны для сканавання невялікіх сетак і незаменны для кропкавага сканавання асобных хастоў.

Плюсы:

• Хутка працуе з невялікім дыяпазонам хастоў;
• Гнуткасць налад - можна камбінаваць опцыі такім чынам, каб атрымаць максімальна інфарматыўныя дадзеныя за прымальны час;
• Паралельнае сканаванне - спіс мэтавых хастоў падзяляецца на групы, а потым кожная група па чарзе скануецца, усярэдзіне груп выкарыстоўваецца раўналежнае сканаванне. Таксама падзел на групы з'яўляецца невялікім недахопам (гл.ніжэй);
• Наканаваныя наборы скрыптоў для розных задач - можна не марнаваць шмат часу на падбор пэўных скрыптоў, а паказаць групы скрыптоў;
• Выснова вынікаў - 5 розных фарматаў, уключаючы XML, які можа быць імпартаваны ў іншыя інструменты;

Мінусы:

• Сканіраванне групы хастоў – інфармацыя аб якім-небудзь хасце недаступная, пакуль не скончыцца сканаванне ўсёй групы. Гэта вырашаецца ўсталёўкай у опцыях максімальнага памеру групы і максімальнага часавага інтэрвалу, на працягу якога будзе чакацца адказ на запыт, перад тым, як спыніць спробы ці здзейсніць яшчэ адну;
• Пры сканаванні Nmap адпраўляе SYN-пакеты на мэтавы порт і чакае любога пакета ў адказ або наступу таймаўту, у выпадку калі адказу няма. Гэта негатыўна адбіваецца на прадукцыйнасці сканара ў цэлым, у параўнанні з асінхроннымі сканарам (напрыклад, zmap або masscan);
• Пры сканаванні вялікіх сетак з выкарыстаннем сцягоў для паскарэння сканавання (-min-rate, -min-parallelism) можа даваць false-negative вынікі, прапускаючы адкрытыя парты на хасце. Таксама выкарыстоўваць дадзеныя опцыі варта з асцярожнасцю, улічваючы што вялікі packet-rate можа прывесці да ненаўмыснага DoS.

Zmap

Zmap (не блытаць з ZenMap) - таксама сканер з адкрытым зыходным кодам, ствараўся як хутчэйшая альтэрнатыва Nmap.

У адрозненні ад nmap – Zmap пры адпраўцы SYN-пакетаў не чакае пакуль вернецца адказ, а працягвае сканаванне, раўналежна чакаючы адказы ад усіх хастоў, такім чынам фактычна ён не падтрымлівае стан злучэння. Калі адказ на SYN-пакет прыйдзе Zmap па ўтрыманні пакета зразумее які порт і на якім хасце быў адчынены. Акрамя таго, Zmap адпраўляе толькі адзін SYN-пакет на сканаваны порт. Таксама ёсць магчымасць выкарыстання PF_RING для хуткага сканавання вялікіх сетак, калі ў вас раптам апынуўся пад рукой 10-гігабітны інтэрфейс і сумяшчальная сеткавая карта.

Плюсы:

• Хуткасць сканавання;
• Zmap генеруе Ethernet-фрэймы абыходзячы сістэмны стэк TCP/IP;
• Магчымасць выкарыстання PF_RING;
• ZMap рандомізуе мэты для раўнамернага размеркавання нагрузкі на сканаваным боку;
• Магчымасць інтэграцыі з ZGrab (інструмент для збору інфармацыі аб сэрвісах на прыкладным узроўні L7).

Мінусы:

• Можа стаць прычынай адмовы ў абслугоўванні сеткавага абсталявання, напрыклад, вывесці са строю прамежкавыя маршрутызатары, нягледзячы на ​​размеркаваную нагрузку, паколькі ўсе пакеты будуць праходзіць праз адзін маршрутызатар.

Masscan

Masscan - Дзіўна, але таксама сканер з адкрытым зыходным кодам, які ствараўся з адной мэтай - сканаваць Інтэрнэт яшчэ хутчэй (менш, чым за 6 хвілін з хуткасцю ~ 10 млн пакетаў / с). Па сутнасці працуе амаль таксама як і Zmap, толькі яшчэ хутчэй.

Плюсы:

• Сінтаксіс падобны на Nmap, а таксама праграма падтрымлівае некаторыя сумяшчальныя з Nmap опцыі;
• Хуткасць працы - адзін з самых хуткіх асінхронных сканараў.
• Гнуткі механізм сканавання - аднаўленне перапыненага сканавання, размеркаванне нагрузкі па некалькіх прыладам (як і ў Zmap).

Мінусы:

• Аналагічна як і з Zmap нагрузка на саму сетку вельмі высокая, што можа прывесці да DoS;
• Па змаўчанні няма магчымасці сканаваць на прыкладным узроўні L7;

Nessus

Nessus - сканер для аўтаматызацыі праверкі і выяўлення вядомых уразлівасцяў у сістэме. Зыходны код зачынены, існуе бясплатная версія Nessus Home, якая дазваляе сканаваць да 16 IP-адрасоў з такой жа хуткасцю і падрабязным аналізам, што і ў платнай версіі.

Здольны вызначаць уразлівыя версіі службаў або сервераў, выяўляць памылкі ў канфігурацыі сістэмы, выконваць bruteforce слоўнікавых пароляў. Можна выкарыстоўваць для вызначэння карэктнасці налад сэрвісаў (пошта, абнаўленні і да т.п.), а таксама пры падрыхтоўцы да PCI DSS аўдыту. Акрамя таго ў Nessus можна перадаць уліковыя дадзеныя для хаста (SSH або даменная ўліковы запісы ў Active Directory) і сканер атрымае доступ да хаста і правядзе праверкі прама на ім, гэтая опцыя называецца credential scan. Зручны для кампаній, якія праводзяць аўдыты ўласных сетак.

Плюсы:

• Асобныя сцэнары для кожнай уразлівасці, база якіх увесь час абнаўляецца;
• Выснова вынікаў - просты тэкст, XML, HTML і LaTeX;
• API Nessus - дазваляе аўтаматызаваць працэсы сканавання і атрымання вынікаў;
• Credential Scan, можна выкарыстоўваць уліковыя дадзеныя Windows або Linux для праверкі абнаўленняў ці іншых уразлівасцяў;
• Магчымасць пісаць уласныя ўбудаваныя модулі бяспекі - у сканары маецца ўласную мову сцэнарыяў NASL (Nessus Attack Scripting Language);
• Можна задаць час для рэгулярнага сканавання лакальнай сеткі - за кошт гэтага Служба Інфармацыйнай Бяспекі будзе ў курсе ўсіх змен у канфігурацыі бяспекі, з'яўленні новых хастоў і выкарыстанні слоўнікавых пароляў ці пароляў па змаўчанні.

Мінусы:

• Магчымыя парушэнні ў працы сканаваных сістэм - з адключанай опцыяй safe checks патрабуецца працаваць акуратна;
• Версія дапускаючая камерцыйнае выкарыстанне не з'яўляецца бясплатнай.

Net-Creds

Net-Creds - інструмент на мове Python для збору пароляў і хэшаў, а таксама іншай інфармацыі, напрыклад, наведаных URL, загружаных файлаў і іншай інфармацыі з трафіку, як у рэальным часе пры правядзенні MiTM-напады, так і з папярэдне захаваных PCAP-файлаў. Падыходзіць для хуткага і павярхоўнага аналізу вялікіх аб'ёмаў трафіку, напрыклад, пры сеткавых MiTM-атаках, калі час абмежаваны, а ручны аналіз з дапамогай Wireshark патрабуе шмат часу.

Плюсы:

• Ідэнтыфікацыя сэрвісаў заснавана на аналізе пакетаў замест вызначэння сэрвісу па нумары порта;
• Просты ў выкарыстанні;
• Шырокі спектр вымаемых дадзеных - у тым ліку лагіны і паролі для FTP, POP, IMAP, SMTP, пратаколы NTLMv1/v2, а таксама інфармацыю з HTTP-запытаў, напрыклад login-формы і basic auth;

network-miner

network-miner – аналаг Net-Creds па прынцыпе працы, аднак мае вялікую функцыянальнасць, напрыклад ёсць магчымасць вымання файлаў перададзеных па пратаколах SMB. Як і Net-Creds, зручны, калі трэба хутка прааналізаваць вялікі аб'ём трафіку. Таксама мае зручны графічны інтэрфейс.

Плюсы:

• Графічны інтэрфейс;
• Візуалізацыя і класіфікацыя дадзеных па групах - спрашчае аналізу трафіку і робіць яго хуткім.

Мінусы:

• У азнаямленчай версіі некаторы функцыянал абмежаваны.

mitm6

mitm6 - Інструмент для правядзення нападаў на IPv6 (SLAAC-attack). IPv6 з'яўляецца прыярытэтным у АС Windows (наогул кажучы, і ў астатніх АС таксама), і ў канфігурацыі па змаўчанні IPv6-інтэрфейс уключаны, гэта дазваляе зламысніку ўсталяваць ахвяры свой DNS-сервер, выкарыстаючы пакеты Router Advertisement, пасля чаго зламыснік атрымлівае магчымасць падмяніць DNS ахвяры . Выдатна падыходзіць для правядзення Relay-напад разам з утылітай ntlmrelayx, што дазваляе паспяхова атакаваць Windows-сеткі.

Плюсы:

• Працуе выдатна ў шматлікіх сетках як раз з-за стандартных канфігурацыі Windows-хастоў і сетак;

адказ

адказ - інструмент для спуфінгу шырокавяшчальных пратаколаў дазволу імёнаў (LLMNR, NetBIOS, MDNS). Незаменная прылада ў Active Directory сетках. Акрамя спуфінгу ўмее перахапляць NTLM-аўтэнтыфікацыю, у камплекце таксама ідзе набор прылад для збору інфармацыі і рэалізацыі нападаў NTLM-Relay.

Плюсы:

• Па змаўчанні паднімае мноства сервераў з падтрымкай NTLM-аўтэнтыфікацыі: SMB, MSSQL, HTTP, HTTPS, LDAP, FTP, POP3, IMAP, SMTP;
• Дазваляе падмяняць DNS у выпадку MITM-нападаў (ARP-спуфінг і г.д.);
• Fingerprint хастоў, якія здзейснілі шырокавяшчальны запыт;
• Analyze mode - для пасіўнага назірання за запытамі;
• Фармат перахопленых хэшаў пры NTLM-аўтэнтыфікацыі сумяшчальны з John the Ripper і Hashcat.

Мінусы:

• Пры запуску пад Windows біндзінг 445 порта (SMB) спалучаны з некаторымі складанасцямі (патрабуецца прыпынак адпаведных сэрвісаў і перазагрузка);

Evil_Foca

Evil Foca - Інструмент для праверак розных сеткавых нападаў у сетках IPv4 і IPv6. Скануе лакальную сетку, ідэнтыфікуючы прылады, маршрутызатары і іх сеткавыя інтэрфейсы, пасля чаго можна здзяйсняць розныя напады на ўдзельнікаў сеткі.

Плюсы:

• Зручны для правядзення MITM-нападаў (ARP спуфінг, DHCP ACK-ін'екцыі, атака SLAAC, DHCP-спуфінг);
• Можна праводзіць DoS-напады - з ARP-спуфінгам для IPv4-сетак, з SLAAC DoS у IPv6-сетках;
• Можна ажыццявіць DNS hijacking;
• Просты ў выкарыстанні, зручны графічны інтэрфейс.

Мінусы:

• Працуе толькі пад Windows.

Bettercap

Bettercap — магутны фрэймворк для аналізу і напады сетак, прычым гаворка тут таксама і пра напады на бесправадныя сеткі, BLE (bluetooth low energy) і нават напады MouseJack на бесправадныя HID прылады. Акрамя таго, утрымоўвае ў сабе функцыянальнасць для збору інфармацыі з трафіку (аналагічна net-creds). Увогуле, швейцарскі нож (all in one). З нядаўніх часоў яшчэ мае графічны web-based інтэрфейс.

Плюсы:

• Сніфер уліковых дадзеных - можна адлоўліваць наведаныя URL і HTTPS-хасты, HTTP-аўтэнтыфікацыю, уліковыя дадзеныя па мностве розных пратаколаў;
• Шмат убудаваных MITM-нападаў;
• Модульны HTTP(S) празрысты проксі - можна кіраваць трафікам у залежнасці ад запатрабаванняў;
• Убудаваны HTTP-сервер;
• Падтрымка caplets - файлаў, якія дазваляюць апісаць скрыптовай мовай складаныя і аўтаматызаваныя напады.

Мінусы:

• Некаторыя модулі - да прыкладу, ble.enum - часткова не падтрымліваюцца macOS і Windows, некаторыя разлічаны толькі на Linux - packet.proxy.

gateway_finder

gateway finder - Скрыпт на Python, які дапамагае вызначыць магчымыя gateway'і ў сетцы. Зручны для праверкі сегментацыі або пошуку хастоў, якія могуць маршрутызаваць у неабходную падсетку або Інтэрнэт. Падыходзіць для ўнутраных пентэстаў, калі трэба хутка праверыць наяўнасць несанкцыянаваных маршрутаў ці маршрутаў да іншых унутраных лакальных сетак.

Плюсы:

• Просты ў выкарыстанні і кастамізацыі.

mitmproxy

mitmproxy - opensource інструмент для аналізу трафіку, абароненага з дапамогай SSL/TLS. mitmproxy зручны для перахопу і мадыфікацыі абароненага трафіку, зразумела, з некаторымі агаворкамі; прылада не ажыццяўляе напады на дэшыфраванне SSL/TLS. Выкарыстоўваецца, калі трэба перахапіць і зафіксаваць змены ў трафіку, абароненым SSL/TLS. Складаецца з Mitmproxy - для праксіравання трафіку, mitmdump - падобны на tcpdump, але для HTTP(S)-трафіку, і mitmweb - вэб-інтэрфейсу для Mitmproxy.

Плюсы:

• Працуе з рознымі пратаколамі, а таксама падтрымлівае мадыфікацыю розных фарматаў, ад HTML да Protobuf;
• API для Python - дазваляе пісаць скрыпты для нестандартных задач;
• Можа працаваць у рэжыме празрыстага проксі з перахопам трафіку.

Мінусы:

• Фармат дампа ні з чым не сумяшчальны - цяжка выкарыстоўваць grep, даводзіцца пісаць скрыпты;

СЕМ

СЕМ - прылада для эксплуатацыі магчымасцяў пратаколу Cisco Smart Install. Магчыма атрыманне і мадыфікацыя канфігурацыі, а таксама захоп кантролю над прыладай Cisco. Калі вы змаглі атрымаць канфігурацыю прылады Cisco, то можна праверыць яе з дапамогай CCAT, гэты інструмент карысны для аналізу бяспекі канфігурацыі прылад Cisco.

Плюсы:

Выкарыстанне пратаколу Cisco Smart Install дазваляе:

• Змяніць адрас tftp-сервера на кліенцкай прыладзе, даслаўшы адзін скажоны пакет TCP;
• Скапіяваць канфігурацыйны файл прылады;
• Замяніць канфігурацыю прылады, напрыклад, дадаўшы новага карыстальніка;
• Абнавіць выяву iOS на прыладзе;
• Выканаць адвольны набор каманд на прыладзе. Гэта новая функцыя, якая працуе толькі ў версіях 3.6.0E і 15.2/2 (XNUMX) E iOS;

Мінусы:

• Працуе з абмежаваным наборам прылад Cisco, таксама патрэбен "белы" ip для атрымання адказу ад прылады, ці неабходна знаходзіцца з прыладай у адной сетцы;

іерсінія

іерсінія - Фрэймворк для L2-нападаў, створаны, каб эксплуатаваць недахопы бяспекі ў розных сеткавых пратаколах L2.

Плюсы:

• Дазваляе ажыццяўляць напады на пратаколы STP, CDP, DTP, DHCP, HSRP, VTP і іншыя.

Мінусы:

• Не самы зручны інтэрфейс.

proxychains

proxychains - Інструмент, які дазваляе перанакіраваць трафік прыкладання праз паказаны SOCKS-проксі.

Плюсы:

• Дапамагае перанакіраваць трафік некаторых прыкладанняў, якія па змаўчанні не ўмеюць працаваць з проксі;

У гэтым артыкуле мы коратка разгледзелі перавагі і недахопы асноўных інструментаў для пентэста ўнутранай сеткі. Сачыце за абнаўленнямі, мы плануем выкладваць такія падборкі і далей: Web, базы дадзеных, мабільныя прыкладанні - пра гэта таксама абавязкова напішам.

Дзяліцеся сваімі любімымі ўтылітамі ў каментарах!

Крыніца: habr.com