Toolkit für angehende Penetrationstester: Hier präsentieren wir einen kurzen Überblick über die wichtigsten Tools, die bei der Penetrationstestung von internen Netzwerken nützlich sind. Diese Werkzeuge werden bereits von einer breiten Masse an Fachleuten aktiv genutzt, daher ist es für jeden von Vorteil, ihre Möglichkeiten zu kennen und sie zu meistern.

Inhalt:
Nmap
– eine Open-Source-Utility für die Netzwerkscannung und eines der beliebtesten Werkzeuge unter Sicherheitsfachleuten und Systemadministratoren. Sie wird in erster Linie zum Scannen von Ports verwendet, bietet jedoch darüber hinaus eine Vielzahl nützlicher Funktionen, die Nmap im Grunde genommen zu einem Alleskönner für die Netzwerkanalyse machen.
Neben der Überprüfung offener/geschlossener Ports kann Nmap den Dienst identifizieren, der einen offenen Port überwacht, und dessen Version bestimmen, und manchmal hilft es auch, das Betriebssystem zu erkennen. Nmap unterstützt Skripting für Scans (NSE — Nmap Scripting Engine). Mit Skripten können Schwachstellen für verschiedene Dienste überprüft werden (sofern ein Skript dafür vorhanden ist oder man kann immer sein eigenes schreiben) oder Passwörter für verschiedene Dienste durch Brute-Force-Angriffe ermitteln.
Auf diese Weise ermöglicht Nmap die Erstellung einer detaillierten Netzwerkkarte, bietet umfassende Informationen über die laufenden Dienste auf Hosts im Netzwerk und ermöglicht präventive Überprüfungen einiger Schwachstellen. Nmap hat auch flexible Scan-Einstellungen, man kann die Scan-Geschwindigkeit, die Anzahl der Threads, die Anzahl der Gruppen für das Scannen usw. anpassen.
Es ist nützlich zum Scannen kleiner Netzwerke und unverzichtbar für gezielte Scans einzelner Hosts.
Vorteile:
- Es arbeitet schnell mit einem kleinen Bereich von Hosts;
- Die Flexibilität der Einstellungen — man kann Optionen so kombinieren, dass man maximal informativ Daten in einem akzeptablen Zeitraum erhält;
- Paralleles Scannen – die Liste der Zielhosts wird in Gruppen unterteilt, und dann wird jede Gruppe nacheinander gescannt, wobei innerhalb der Gruppe paralleles Scannen genutzt wird. Die Gruppierung stellt jedoch einen kleinen Nachteil dar (siehe unten);
- Vordefinierte Skriptsätze für verschiedene Aufgaben – Sie müssen nicht viel Zeit mit der Auswahl spezifischer Skripts verbringen, sondern können einfach Skriptgruppen angeben;
- Ergebnisausgabe – 5 verschiedene Formate, einschließlich XML, das in andere Tools importiert werden kann;
Nachteile:
- Scan einer Hostgruppe – Informationen zu einem bestimmten Host sind nicht verfügbar, bis der Scan der gesamten Gruppe abgeschlossen ist. Dies kann durch Festlegung der maximalen Gruppengröße und des maximalen Zeitintervalls, in dem auf eine Antwort gewartet wird, bevor die Versuche abgebrochen oder erneut versucht werden, gelöst werden.
- Beim Scannen sendet Nmap SYN-Pakete an den Zielport und wartet auf irgendein Antwortpaket oder einen Timeout, falls keine Antwort kommt. Dies beeinträchtigt die Leistung des Scanners insgesamt im Vergleich zu asynchronen Scannern (z. B. zmap oder masscan);
- Beim Scannen großer Netzwerke unter Verwendung von Flags zur Beschleunigung des Scannens (—min-rate, —min-parallelism) kann es zu falschen Negativen kommen, indem offene Ports auf dem Host übersehen werden. Diese Optionen sollten auch mit Vorsicht verwendet werden, da eine hohe Paketrate zu unbeabsichtigten DoS-Angriffen führen kann.

Zmap
(nicht zu verwechseln mit ZenMap) – ist ebenfalls ein Open-Source-Scanner, der als schnellere Alternative zu Nmap entwickelt wurde.
Im Gegensatz zu nmap wartet Zmap beim Senden von SYN-Paketen nicht auf eine Rückmeldung, sondern führt das Scannen fort, während es parallel auf Antworten von allen Hosts wartet, wodurch es tatsächlich keinen Verbindungszustand aufrechterhält. Wenn eine Antwort auf das SYN-Paket eintrifft, erkennt Zmap anhand des Paketinhalt, welcher Port und auf welchem Host offen war. Darüber hinaus sendet Zmap nur ein einziges SYN-Paket an den gescannten Port. Es besteht auch die Möglichkeit, PF_RING für ein schnelles Scannen großer Netzwerke zu verwenden, falls Sie zufällig eine 10-Gigabit-Schnittstelle und eine kompatible Netzwerkkarte zur Verfügung haben.
Vorteile:
- Scangeschwindigkeit;
- Zmap generiert Ethernet-Frames und umgeht dabei den System-Stack TCP/IP;
- Möglichkeit der Nutzung von PF_RING;
- ZMap randomisiert Ziele für eine gleichmäßige Verteilung der Last auf der gescannten Seite;
- Möglichkeit der Integration mit ZGrab (ein Tool zur Erfassung von Informationen über Dienste auf Anwendungsebene L7).
Nachteile:
- Kann zu einem Denial-of-Service von Netzwerkgeräten führen, indem zum Beispiel Zwischenrouter außer Betrieb gesetzt werden, selbst bei verteilter Last, da alle Pakete durch einen Router geleitet werden.

Masscan
— erstaunlicherweise ist dies ebenfalls ein Open-Source-Scanner, der mit dem Ziel entwickelt wurde, das Internet noch schneller zu scannen (in weniger als 6 Minuten mit einer Geschwindigkeit von ~10 Millionen Paketen/Sekunde). Im Wesentlichen funktioniert er fast genauso wie Zmap, jedoch noch schneller.
Vorteile:
- Die Syntax ähnelt der von Nmap, zudem unterstützt das Programm einige mit Nmap kompatible Optionen.
- Die Geschwindigkeit — einer der schnellsten asynchronen Scanner.
- Flexibles Scan-Verfahren — Wiederaufnahme unterbrochener Scans, Lastverteilung auf mehrere Geräte (ähnlich wie bei Zmap).
Nachteile:
- Ähnlich wie bei Zmap ist die Belastung des Netzwerks extrem hoch, was zu einem DoS führen kann.
- Standardmäßig besteht keine Möglichkeit, auf Anwendungsebene L7 zu scannen.

Nessus
— ein Scanner zur Automatisierung der Überprüfung und Erkennung bekannter Sicherheitsanfälligkeiten im System. Der Quellcode ist geschlossen, es gibt eine kostenlose Version Nessus Home, die das Scannen von bis zu 16 IP-Adressen mit der gleichen Geschwindigkeit und detaillierten Analyse wie die kostenpflichtige Version ermöglicht.
Kann anfällige Versionen von Diensten oder Servern erkennen, Konfigurationsfehler im System feststellen und Brute-Force-Attacken auf Wörterbuch-Passwörter durchführen. Er kann verwendet werden, um die Richtigkeit der Diensteinstellungen (z. B. E-Mail, Updates usw.) zu überprüfen und zur Vorbereitung auf ein PCI DSS-Audit. Zudem kann man Nessus Zugangsdaten für den Host (SSH oder Domänenkonto in Active Directory) übergeben, und der Scanner erhält Zugang zum Host und führt die Prüfungen direkt auf diesem durch; diese Option wird als Credential Scan bezeichnet. Dies ist nützlich für Unternehmen, die Audits ihrer eigenen Netzwerke durchführen.
Vorteile:
- Getrennte Skripte für jede Schwachstelle, deren Datenbank ständig aktualisiert wird;
- Ergebnisse in einfacher Textform, XML, HTML und LaTeX;
- Nessus API — ermöglicht die Automatisierung von Scan-Prozessen und das Abrufen von Ergebnissen;
- Credential Scan, bei dem Windows- oder Linux-Anmeldeinformationen zur Überprüfung von Updates oder anderen Schwachstellen verwendet werden können;
- Möglichkeit, eigene eingebettete Sicherheitsmodule zu schreiben – der Scanner verfügt über eine eigene Skriptsprache, NASL (Nessus Attack Scripting Language);
- Sie können die Zeit für regelmäßige Scans des lokalen Netzwerks festlegen. Damit bleibt der Informationssicherheitsdienst über alle Änderungen in der Sicherheitskonfiguration, die Einführung neuer Hosts sowie die Verwendung von Wörterbuchpasswörtern oder Standardpasswörtern informiert.
Nachteile:
- Es können Störungen im Betrieb der gescannten Systeme auftreten – bei deaktivierter Option für sichere Prüfungen ist vorsichtige Arbeit erforderlich.
- Die kommerziell nutzbare Version ist nicht kostenlos.

Net-Creds
— ein Tool in Python zum Sammeln von Passwörtern und Hashes sowie weiteren Informationen, wie zum Beispiel besuchte URLs, heruntergeladene Dateien und andere Informationen aus dem Datenverkehr, sowohl in Echtzeit während einer MiTM-Attacke als auch aus zuvor gespeicherten PCAP-Dateien. Ideal für eine schnelle und oberflächliche Analyse großer Datenmengen, etwa bei Netzwerk-MiTM-Angriffen, wenn die Zeit begrenzt ist und die manuelle Analyse mit Wireshark viel Zeit benötigt.
Vorteile:
- Die Identifizierung von Diensten basiert auf der Analyse von Paketen anstelle der Bestimmung des Dienstes durch die Nummer des verwendeten Ports.
- Einfach zu bedienen.
- Ein breites Spektrum an extrahierbaren Daten – einschließlich Login- und Passwortinformationen für FTP, POP, IMAP, SMTP, NTLMv1/v2-Protokolle sowie Daten aus HTTP-Anfragen, wie z.B. Login-Formulare und Basic Auth;

network-miner
– ähnlich wie Net-Creds in der Funktionsweise, jedoch mit erweiterten Funktionen, wie z.B. der Möglichkeit, Dateien, die über SMB-Protokolle übertragen wurden, zu extrahieren. Wie Net-Creds ist es nützlich, wenn eine schnelle Analyse eines großen Datenverkehrsvolumens erforderlich ist. Es verfügt auch über eine benutzerfreundliche grafische Oberfläche.
Vorteile:
- Grafische Benutzeroberfläche;
- Visualisierung und Klassifizierung von Daten in Gruppen – vereinfacht die Analyse des Datenverkehrs und beschleunigt sie.
Nachteile:
- In der Demoversion ist einige Funktionalität eingeschränkt.

mitm6
– ein Werkzeug zur Durchführung von Angriffen auf IPv6 (SLAAC-Angriff). IPv6 hat in Windows-Betriebssystemen (und allgemein auch in anderen Betriebssystemen) Priorität, und in der Standardkonfiguration ist die IPv6-Schnittstelle aktiviert. Dies ermöglicht es einem Angreifer, dem Opfer seinen eigenen DNS-Server über Router Advertisement-Pakete zuzuweisen, wodurch der Angreifer letztendlich in der Lage ist, den DNS des Opfers zu manipulieren. Es eignet sich hervorragend für Relay-Angriffe in Kombination mit dem Tool ntlmrelayx, was es ermöglicht, Windows-Netzwerke erfolgreich anzugreifen.
Vorteile:
- Funktioniert hervorragend in vielen Netzwerken, insbesondere dank der Standardkonfigurationen von Windows-Hosts und -netzwerken;
Responder
— ein Tool zum Spoofing von Broadcast-Protokollen zur Namensauflösung (LLMNR, NetBIOS, MDNS). Unverzichtbares Werkzeug in Active Directory Netzwerken. Neben dem Spoofing kann es auch NTLM-Authentifizierung abfangen; außerdem enthält es ein Set von Tools zur Informationsbeschaffung und zur Durchführung von NTLM-Relay-Angriffen.
Vorteile:
- Standardmäßig werden zahlreiche Server mit Unterstützung für NTLM-Authentifizierung gestartet: SMB, MSSQL, HTTP, HTTPS, LDAP, FTP, POP3, IMAP, SMTP;
- Ermöglicht DNS-Manipulationen im Falle von MITM-Angriffen (ARP-Spoofing usw.);
- Fingerprint von Hosts, die eine Broadcast-Anfrage gesendet haben;
- Analysemodus — für die passive Überwachung von Anfragen;
- Das Format der abgefangenen Hashes bei NTLM-Authentifizierung ist kompatibel mit John the Ripper und Hashcat.
Nachteile:
- Beim Start unter Windows ist das Binden des Ports 445 (SMB) mit einigen Schwierigkeiten verbunden (es ist erforderlich, die entsprechenden Dienste zu stoppen und neu zu starten);


Evil_Foca
— ein Tool zur Überprüfung verschiedener Netzwerkangriffe in IPv4- und IPv6-Netzwerken. Es scannt das lokale Netzwerk, identifiziert Geräte, Router und deren Netzwerkschnittstellen, woraufhin verschiedene Angriffe auf die Teilnehmer des Netzwerks durchgeführt werden können.
Vorteile:
- Geeignet für MITM-Angriffe (ARP-Spoofing, DHCP ACK-Injektionen, SLAAC-Angriffe, DHCP-Spoofing);
- Es sind DoS-Angriffe möglich — mit ARP-Spoofing für IPv4-Netzwerke, mit SLAAC DoS in IPv6-Netzwerken;
- DNS-Hijacking kann durchgeführt werden;
- Einfach zu bedienen, benutzerfreundliche grafische Oberfläche.
Nachteile:
- Funktioniert nur unter Windows.

Bettercap
— ein leistungsstarkes Framework zum Analysieren und Angreifen von Netzwerken, einschließlich Angriffe auf drahtlose Netzwerke, BLE (Bluetooth Low Energy) und sogar MouseJack-Angriffe auf drahtlose HID-Geräte. Es bietet zudem Funktionen zum Sammeln von Informationen aus dem Datenverkehr (ähnlich wie net-creds). Insgesamt ein Schweizer Taschenmesser (alles in einem). Neuerdings hat es auch .
Vorteile:
- Credential Sniffer — es können besuchte URLs und HTTPS-Hosts, HTTP-Authentifizierung, Anmeldedaten über verschiedene Protokolle erfasst werden;
- Viele integrierte MITM-Angriffe;
- Modularer HTTP(S) transparenter Proxy — der Datenverkehr kann je nach Bedarf verwaltet werden;
- Integrierter HTTP-Server;
- Unterstützung von Caplets — Dateien, die es ermöglichen, komplexe und automatisierte Angriffe in einer Skriptsprache zu beschreiben.
Nachteile:
- Einige Module, wie z.B. ble.enum, werden nur teilweise von macOS und Windows unterstützt, während andere ausschließlich für Linux konzipiert sind – packet.proxy.

gateway_finder
Ein Python-Skript, das Ihnen hilft, mögliche Gateways im Netzwerk zu identifizieren. Es ist nützlich zur Überprüfung der Segmentierung oder um Hosts zu finden, die in das benötigte Subnetz oder ins Internet routen können. Ideal für interne Penetrationstests, wenn Sie schnell das Vorhandensein von unautorisierten Routen oder Routen zu anderen internen Netzwerken überprüfen möchten.
Vorteile:
- Einfach zu bedienen und anzupassen.

mitmproxy
Ein Open-Source-Werkzeug zur Analyse von durch SSL/TLS geschützten Datenströmen. mitmproxy ist praktisch zum Abfangen und Modifizieren von geschütztem Datenverkehr, natürlich mit einigen Vorbehalten; das Werkzeug führt keine Angriffe auf die Entschlüsselung von SSL/TLS durch. Es wird verwendet, wenn es darum geht, Änderungen im durch SSL/TLS geschützten Datenverkehr abzufangen und festzuhalten. Es besteht aus Mitmproxy – zum Proxieren von Datenverkehr, mitmdump – ähnlich wie tcpdump, jedoch für HTTP(S)-Datenverkehr, und mitmweb – einer Web-Oberfläche für Mitmproxy.
Vorteile:
- Arbeitet mit verschiedenen Protokollen und unterstützt die Modifikation verschiedener Formate, von HTML bis Protobuf.
- API für Python – ermöglicht das Schreiben von Skripten für spezielle Aufgaben;
- Kann im transparenten Proxy-Modus mit Traffic-Intercept betrieben werden.
Nachteile:
- Das Dump-Format ist mit nichts kompatibel – es ist schwierig, grep zu verwenden, und man muss Skripte schreiben;


SIET
– ein Werkzeug zur Nutzung der Möglichkeiten des Cisco Smart Install-Protokolls. Es ermöglicht das Abrufen und Modifizieren von Konfigurationen sowie die Übernahme der Kontrolle über Cisco-Geräte. Wenn Sie die Konfiguration eines Cisco-Gerätes erhalten haben, können Sie diese mit , einem nützlichen Werkzeug zur Sicherheitsanalyse von Cisco-Gerätekonfigurationen, überprüfen.
Vorteile:
Die Verwendung des Cisco Smart Install-Protokolls ermöglicht es:
- Die Adresse des TFTP-Servers auf dem Client-Gerät zu ändern, indem ein verzerrtes TCP-Paket gesendet wird;
- Die Konfigurationsdatei des Geräts zu kopieren;
- Die Konfiguration des Geräts zu ersetzen, beispielsweise durch Hinzufügen eines neuen Benutzers;
- Das iOS-Image auf dem Gerät zu aktualisieren;
- Einen beliebigen Befehlssatz auf dem Gerät auszuführen. Dies ist eine neue Funktion, die nur in den Versionen 3.6.0E und 15.2 (2) E iOS funktioniert;
Nachteile:
- Funktioniert nur mit einer begrenzten Anzahl von Cisco-Geräten; zudem wird eine „weiße“ IP benötigt, um eine Antwort vom Gerät zu erhalten, oder man muss sich im selben Netzwerk wie das Gerät befinden.

yersinia
— ein Framework für L2-Angriffe, das entwickelt wurde, um Sicherheitsanfälligkeiten in verschiedenen L2-Netzprotokollen auszunutzen.
Vorteile:
- Ermöglicht Angriffe auf die Protokolle STP, CDP, DTP, DHCP, HSRP, VTP und andere.
Nachteile:
- Nicht die benutzerfreundlichste Oberfläche.

proxychains
— ein Tool, das es ermöglicht, Datenverkehr von Anwendungen über einen angegebenen SOCKS-Proxy umzuleiten.
Vorteile:
- Hilft, den Datenverkehr bestimmter Anwendungen umzuleiten, die standardmäßig nicht mit Proxys umgehen können.

In diesem Artikel haben wir kurz die Vor- und Nachteile der wichtigsten Werkzeuge für Penetrationstests in internen Netzwerken betrachtet. Bleiben Sie dran, wir planen, solche Zusammenstellungen auch weiterhin zu veröffentlichen: Web, Datenbanken, mobile Anwendungen – darüber werden wir ebenfalls berichten.
Teilen Sie Ihre Lieblings-Tools in den Kommentaren!
Quelle: habr.com
