Sprechen Sie über nützliche Tools für Pentester. Im neuen Artikel befassen wir uns mit Tools zur Analyse der Sicherheit von Webanwendungen.
Unser Kollege So etwas habe ich schon gemacht vor etwa sieben Jahren. Es ist interessant zu sehen, welche Instrumente ihre Stellung behalten und gestärkt haben und welche in den Hintergrund geraten sind und nur noch selten genutzt werden.
Beachten Sie, dass dazu auch Burp Suite gehört, es wird jedoch eine separate Veröffentlichung darüber und seine nützlichen Plugins geben.
Inhalt:
Anhäufen
– ein Go-Tool zum Suchen und Aufzählen von DNS-Subdomains und zum Zuordnen des externen Netzwerks. Amass ist ein OWASP-Projekt, das zeigen soll, wie Organisationen im Internet für Außenstehende aussehen. Amass erhält Subdomain-Namen auf verschiedene Weise; das Tool verwendet sowohl rekursive Aufzählung von Subdomains als auch Open-Source-Suchen.
Um miteinander verbundene Netzwerksegmente und autonome Systemnummern zu erkennen, verwendet Amass im Betrieb erhaltene IP-Adressen. Alle gefundenen Informationen werden zum Erstellen einer Netzwerkkarte verwendet.
Profis:
- Zu den Techniken zur Informationsbeschaffung gehören:
* DNS – Wörterbuchsuche von Subdomains, Bruteforce-Subdomains, intelligente Suche mithilfe von Mutationen basierend auf gefundenen Subdomains, umgekehrte DNS-Abfragen und Suche nach DNS-Servern, bei denen eine Zonenübertragungsanforderung (AXFR) gestellt werden kann;* Open-Source-Suche – Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;
* Durchsuchen Sie TLS-Zertifikatdatenbanken – Censys, CertDB, CertSpotter, Crtsh, Entrust;
* Verwendung von Suchmaschinen-APIs – BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;
* Durchsuchen Sie Internet-Webarchive: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;
- Integration mit Maltego;
- Bietet die umfassendste Abdeckung der Aufgabe der Suche nach DNS-Subdomänen.
Nachteile:
- Seien Sie vorsichtig mit amass.netdomains – es wird versuchen, jede IP-Adresse in der identifizierten Infrastruktur zu kontaktieren und Domänennamen aus Reverse-DNS-Lookups und TLS-Zertifikaten zu erhalten. Hierbei handelt es sich um eine „High-Profile“-Technik, die Ihre Geheimdienstaktivitäten in der untersuchten Organisation aufdecken kann.
- Hoher Speicherverbrauch, kann in verschiedenen Einstellungen bis zu 2 GB RAM verbrauchen, sodass Sie dieses Tool nicht in der Cloud auf einem billigen VDS ausführen können.
Altdns
– ein Python-Tool zum Kompilieren von Wörterbüchern zur Aufzählung von DNS-Subdomänen. Ermöglicht die Generierung vieler Varianten von Subdomains mithilfe von Mutationen und Permutationen. Hierzu werden Wörter verwendet, die häufig in Subdomains vorkommen (zum Beispiel: test, dev, staging), alle Mutationen und Permutationen werden auf bereits bekannte Subdomains angewendet, die an die Altdns-Eingabe übermittelt werden können. Die Ausgabe ist eine Liste der Variationen von Subdomains, die existieren können, und diese Liste kann später für DNS-Brute-Force verwendet werden.
Profis:
- Funktioniert gut mit großen Datenmengen.
Aquaton
- war früher besser als weiteres Tool zur Suche nach Subdomains bekannt, der Autor selbst hat dies jedoch zugunsten des oben genannten Amass aufgegeben. Jetzt wurde Aquatone in Go umgeschrieben und ist stärker auf die Vorerkundung auf Websites ausgerichtet. Dazu durchsucht Aquatone die angegebenen Domains und sucht nach Websites auf verschiedenen Ports, sammelt anschließend alle Informationen über die Website und erstellt einen Screenshot. Praktisch für die schnelle vorläufige Erkundung von Websites, wonach Sie vorrangige Ziele für Angriffe auswählen können.
Profis:
- Die Ausgabe erstellt eine Gruppe von Dateien und Ordnern, die bei der weiteren Arbeit mit anderen Tools bequem zu verwenden sind:
* HTML-Bericht mit gesammelten Screenshots und nach Ähnlichkeit gruppierten Antworttiteln;* Eine Datei mit allen URLs, unter denen Websites gefunden wurden;
* Datei mit Statistiken und Seitendaten;
* Ein Ordner mit Dateien, die Antwortheader von gefundenen Zielen enthalten;
* Ein Ordner mit Dateien, die den Hauptteil der Antwort der gefundenen Ziele enthalten;
* Screenshots gefundener Websites;
- Unterstützt die Arbeit mit XML-Berichten von Nmap und Masscan;
- Verwendet Headless Chrome/Chromium zum Rendern von Screenshots.
Nachteile:
- Es könnte die Aufmerksamkeit von Einbruchmeldesystemen auf sich ziehen und erfordert daher eine Konfiguration.
Der Screenshot wurde für eine der alten Versionen von Aquatone (v0.5.0) erstellt, in der die DNS-Subdomain-Suche implementiert war. Ältere Versionen finden Sie unter .
MassenDNS
ist ein weiteres Tool zum Auffinden von DNS-Subdomains. Der Hauptunterschied besteht darin, dass DNS-Anfragen direkt an viele verschiedene DNS-Resolver gestellt werden, und zwar mit beträchtlicher Geschwindigkeit.
Profis:
- Schnell – kann mehr als 350 Namen pro Sekunde auflösen.
Nachteile:
- MassDNS kann die verwendeten DNS-Resolver erheblich belasten, was zu Sperrungen dieser Server oder Beschwerden bei Ihrem ISP führen kann. Darüber hinaus werden die DNS-Server des Unternehmens stark belastet, sofern diese über solche verfügen und für die Domänen verantwortlich sind, die Sie auflösen möchten.
- Die Liste der Resolver ist derzeit veraltet, aber wenn Sie die defekten DNS-Resolver auswählen und neue bekannte hinzufügen, ist alles in Ordnung.
Screenshot von Aquatone v0.5.0
nsec3map
ist ein Python-Tool zum Abrufen einer vollständigen Liste DNSSEC-geschützter Domänen.
Profis:
- Erkennt schnell Hosts in DNS-Zonen mit einer minimalen Anzahl von Abfragen, wenn die DNSSEC-Unterstützung in der Zone aktiviert ist;
- Enthält ein Plugin für John the Ripper, mit dem die resultierenden NSEC3-Hashes geknackt werden können.
Nachteile:
- Viele DNS-Fehler werden nicht richtig behandelt;
- Es gibt keine automatische Parallelisierung der Verarbeitung von NSEC-Datensätzen – Sie müssen den Namespace manuell aufteilen;
- Hoher Speicherverbrauch.
Acunetix
– ein Web-Schwachstellenscanner, der den Prozess der Überprüfung der Sicherheit von Webanwendungen automatisiert. Testet die Anwendung auf SQL-Injections, XSS, XXE, SSRF und viele andere Web-Schwachstellen. Allerdings ersetzt eine Vielzahl von Web-Schwachstellen wie jeder andere Scanner nicht einen Pentester, da er keine komplexen Schwachstellenketten oder Schwachstellen in der Logik finden kann. Aber es deckt viele verschiedene Schwachstellen ab, einschließlich verschiedener CVEs, die der Pentester möglicherweise vergessen hat, sodass es sehr praktisch ist, um Sie von Routineprüfungen zu befreien.
Profis:
- Geringe Anzahl falsch positiver Ergebnisse;
- Ergebnisse können als Berichte exportiert werden;
- Führt eine große Anzahl von Prüfungen auf verschiedene Schwachstellen durch;
- Paralleles Scannen mehrerer Hosts.
Nachteile:
- Es gibt keinen Deduplizierungsalgorithmus (Acunetix betrachtet Seiten mit identischer Funktionalität als unterschiedlich, da sie zu unterschiedlichen URLs führen), aber die Entwickler arbeiten daran;
- Erfordert die Installation auf einem separaten Webserver, was das Testen von Client-Systemen mit einer VPN-Verbindung und die Verwendung des Scanners in einem isolierten Segment des lokalen Client-Netzwerks erschwert;
- Der untersuchte Dienst kann beispielsweise Lärm machen, indem er zu viele Angriffsvektoren an das Kontaktformular auf der Website sendet und dadurch Geschäftsprozesse erheblich verkompliziert.
- Es handelt sich um eine proprietäre und dementsprechend nicht kostenlose Lösung.
Dirsuche
– ein Python-Tool zum Brute-Forcing von Verzeichnissen und Dateien auf Websites.
Profis:
- Kann echte „200 OK“-Seiten von „200 OK“-Seiten unterscheiden, aber mit dem Text „Seite nicht gefunden“;
- Wird mit einem praktischen Wörterbuch geliefert, das eine gute Balance zwischen Größe und Sucheffizienz bietet. Enthält Standardpfade, die vielen CMS- und Technologie-Stacks gemeinsam sind.
- Ein eigenes Wörterbuchformat, das Ihnen eine gute Effizienz und Flexibilität beim Auflisten von Dateien und Verzeichnissen ermöglicht;
- Bequeme Ausgabe – Klartext, JSON;
- Es kann eine Drosselung durchführen – eine Pause zwischen Anfragen, die für jeden schwachen Dienst von entscheidender Bedeutung ist.
Nachteile:
- Erweiterungen müssen als Zeichenfolge übergeben werden, was unpraktisch ist, wenn Sie viele Erweiterungen gleichzeitig übergeben müssen.
- Um Ihr Wörterbuch verwenden zu können, muss es für maximale Effizienz leicht an das Dirsearch-Wörterbuchformat angepasst werden.
wfuzz
- Fuzzer für Python-Webanwendungen. Wahrscheinlich einer der berühmtesten Web-Phaser. Das Prinzip ist einfach: Mit wfuzz können Sie jede Stelle in einer HTTP-Anfrage in Phasen einteilen, wodurch GET/POST-Parameter, HTTP-Header, einschließlich Cookie- und andere Authentifizierungs-Header, in Phasen unterteilt werden können. Gleichzeitig eignet es sich auch für die einfache Brute-Force-Operation von Verzeichnissen und Dateien, für die Sie ein gutes Wörterbuch benötigen. Es verfügt außerdem über ein flexibles Filtersystem, mit dem Sie Antworten von der Website nach verschiedenen Parametern filtern können, wodurch Sie effektive Ergebnisse erzielen können.
Profis:
- Multifunktional – modularer Aufbau, Aufbau in wenigen Minuten;
- Praktischer Filter- und Fuzzing-Mechanismus;
- Sie können jede HTTP-Methode sowie jede beliebige Stelle in einer HTTP-Anfrage in Phasen umwandeln.
Nachteile:
- In Entwicklung.
Puh
– Ein Web-Fuzzer in Go, der nach dem „Bild und Abbild“ von wfuzz erstellt wurde, ermöglicht es Ihnen, Dateien, Verzeichnisse, URL-Pfade, Namen und Werte von GET/POST-Parametern, HTTP-Header, einschließlich des Host-Headers, für Brute-Force zu bruteieren von virtuellen Hosts. wfuzz unterscheidet sich von seinem Bruder durch höhere Geschwindigkeit und einige neue Funktionen, zum Beispiel unterstützt es Wörterbücher im Dirsearch-Format.
Profis:
- Filter ähneln Wfuzz-Filtern und ermöglichen Ihnen die flexible Konfiguration von Brute Force.
- Ermöglicht das Fuzzen von HTTP-Header-Werten, POST-Anforderungsdaten und verschiedenen Teilen der URL, einschließlich Namen und Werten von GET-Parametern.
- Sie können eine beliebige HTTP-Methode angeben.
Nachteile:
- In Entwicklung.
gobuster
— ein Go-Werkzeug zur Aufklärung, verfügt über zwei Betriebsarten. Der erste dient zum Brute-Force-Angriff auf Dateien und Verzeichnisse auf einer Website, der zweite dient zum Brute-Force-Angriff auf DNS-Subdomains. Das Tool unterstützt zunächst keine rekursive Aufzählung von Dateien und Verzeichnissen, was natürlich Zeit spart, andererseits muss aber mit Brute-Force jeder neue Endpunkt auf der Website separat gestartet werden.
Profis:
- Hohe Betriebsgeschwindigkeit sowohl für die Brute-Force-Suche von DNS-Subdomains als auch für die Brute-Force-Suche von Dateien und Verzeichnissen.
Nachteile:
- Die aktuelle Version unterstützt das Setzen von HTTP-Headern nicht;
- Standardmäßig gelten nur einige der HTTP-Statuscodes (200,204,301,302,307) als gültig.
Arjun
– ein Tool für Brute Force versteckter HTTP-Parameter in GET/POST-Parametern sowie in JSON. Das integrierte Wörterbuch umfasst 25 Wörter, die Ajrun in fast 980 Sekunden überprüft. Der Trick besteht darin, dass Ajrun nicht jeden Parameter einzeln prüft, sondern ~30 Parameter gleichzeitig prüft und prüft, ob sich die Antwort geändert hat. Wenn sich die Antwort geändert hat, teilt es diese 1000 Parameter in zwei Teile auf und prüft, welcher dieser Teile Einfluss auf die Antwort hat. So werden mit einer einfachen binären Suche ein Parameter oder mehrere versteckte Parameter gefunden, die die Antwort beeinflusst haben und daher möglicherweise existieren.
Profis:
- Hohe Geschwindigkeit durch binäre Suche;
- Unterstützung für GET/POST-Parameter sowie Parameter in Form von JSON;
Das Plugin für Burp Suite funktioniert nach einem ähnlichen Prinzip - , das auch sehr gut darin ist, versteckte HTTP-Parameter zu finden. Wir werden Ihnen in einem kommenden Artikel über Burp und seine Plugins mehr darüber erzählen.
Linkfinder
– ein Python-Skript zum Suchen nach Links in JavaScript-Dateien. Nützlich zum Auffinden versteckter oder vergessener Endpunkte/URLs in einer Webanwendung.
Profis:
- Schnell;
- Es gibt ein spezielles Plugin für Chrome, das auf LinkFinder basiert.
.
Nachteile:
- Unbequeme abschließende Schlussfolgerung;
- Analysiert JavaScript nicht im Laufe der Zeit;
- Eine recht einfache Logik für die Suche nach Links: Wenn JavaScript irgendwie verschleiert ist oder die Links zunächst fehlen und dynamisch generiert werden, kann es nichts finden.
JSParser
ist ein Python-Skript, das verwendet и um relative URLs aus JavaScript-Dateien zu analysieren. Sehr nützlich zum Erkennen von AJAX-Anfragen und zum Zusammenstellen einer Liste von API-Methoden, mit denen die Anwendung interagiert. Funktioniert effektiv in Verbindung mit LinkFinder.
Profis:
- Schnelles Parsen von JavaScript-Dateien.
sqlmap
ist wohl eines der bekanntesten Tools zur Analyse von Webanwendungen. Sqlmap automatisiert die Suche und den Betrieb von SQL-Injections, arbeitet mit mehreren SQL-Dialekten und verfügt über eine Vielzahl unterschiedlicher Techniken im Arsenal, die von einfachen Anführungszeichen bis hin zu komplexen Vektoren für zeitbasierte SQL-Injections reichen. Darüber hinaus verfügt es über viele Techniken zur weiteren Nutzung für verschiedene DBMS, sodass es nicht nur als Scanner für SQL-Injections nützlich ist, sondern auch als leistungsstarkes Tool zur Nutzung bereits gefundener SQL-Injections.
Profis:
- Eine große Anzahl unterschiedlicher Techniken und Vektoren;
- Geringe Anzahl falsch positiver Ergebnisse;
- Viele Feinabstimmungsoptionen, verschiedene Techniken, Zieldatenbank, Manipulationsskripte zur Umgehung von WAF;
- Möglichkeit, einen Ausgabe-Dump zu erstellen;
- Viele verschiedene Betriebsfunktionen, zum Beispiel für einige Datenbanken – automatisches Laden/Entladen von Dateien, Erlangen der Fähigkeit, Befehle auszuführen (RCE) und andere;
- Unterstützung einer direkten Verbindung zur Datenbank unter Verwendung der während eines Angriffs erhaltenen Daten;
- Sie können eine Textdatei mit den Ergebnissen von Burp als Eingabe übermitteln – Sie müssen nicht alle Befehlszeilenattribute manuell erstellen.
Nachteile:
- Aufgrund der spärlichen Dokumentation ist es schwierig, beispielsweise einige eigene Schecks auszustellen.
- Ohne die entsprechenden Einstellungen werden unvollständige Prüfungen durchgeführt, die irreführend sein können.
NoSQLMap
– ein Python-Tool zur Automatisierung der Suche und Ausnutzung von NoSQL-Injections. Es ist praktisch, es nicht nur in NoSQL-Datenbanken zu verwenden, sondern auch direkt bei der Prüfung von Webanwendungen, die NoSQL verwenden.
Profis:
- Wie sqlmap findet es nicht nur eine potenzielle Schwachstelle, sondern prüft auch die Möglichkeit ihrer Ausnutzung für MongoDB und CouchDB.
Nachteile:
- Unterstützt NoSQL für Redis und Cassandra nicht. Die Entwicklung ist in diese Richtung im Gange.
oxml_xxe
– ein Tool zum Einbetten von XXE-XML-Exploits in verschiedene Dateitypen, die das XML-Format in irgendeiner Form verwenden.
Profis:
- Unterstützt viele gängige Formate wie DOCX, ODT, SVG, XML.
Nachteile:
- Die Unterstützung für PDF, JPEG, GIF ist nicht vollständig implementiert;
- Erstellt nur eine Datei. Um dieses Problem zu lösen, können Sie das Tool verwenden , wodurch eine große Anzahl von Nutzlastdateien an verschiedenen Orten erstellt werden kann.
Die oben genannten Dienstprogramme leisten hervorragende Arbeit beim Testen von XXE beim Laden von Dokumenten, die XML enthalten. Denken Sie aber auch daran, dass XML-Format-Handler in vielen anderen Fällen zu finden sind, beispielsweise kann XML als Datenformat anstelle von JSON verwendet werden.
Daher empfehlen wir Ihnen, auf das folgende Repository zu achten, das eine große Anzahl unterschiedlicher Payloads enthält: .
tplmap
– ein Python-Tool zum automatischen Identifizieren und Ausnutzen von Schwachstellen bei serverseitiger Template-Injection; es verfügt über ähnliche Einstellungen und Flags wie sqlmap. Verwendet verschiedene Techniken und Vektoren, einschließlich Blind-Injection, und verfügt außerdem über Techniken zum Ausführen von Code und zum Laden/Hochladen beliebiger Dateien. Darüber hinaus verfügt er über Techniken für ein Dutzend verschiedener Template-Engines und einige Techniken zur Suche nach eval()-ähnlichen Code-Injektionen in Python, Ruby, PHP und JavaScript. Bei Erfolg wird eine interaktive Konsole geöffnet.
Profis:
- Eine große Anzahl unterschiedlicher Techniken und Vektoren;
- Unterstützt viele Template-Rendering-Engines;
- Viele Operationstechniken.
CeWL
- Ein Wörterbuchgenerator in Ruby, der erstellt wurde, um eindeutige Wörter von einer bestimmten Website zu extrahieren, folgt Links auf der Website bis zu einer bestimmten Tiefe. Das zusammengestellte Wörterbuch eindeutiger Wörter kann später verwendet werden, um Passwörter für Dienste oder Dateien und Verzeichnisse auf derselben Website brutal zu erzwingen oder um die resultierenden Hashes mit Hashcat oder John the Ripper anzugreifen. Nützlich beim Zusammenstellen einer „Ziel“-Liste potenzieller Passwörter.
Profis:
- Einfach zu verwenden.
Nachteile:
- Sie müssen bei der Suchtiefe vorsichtig sein, um keine zusätzliche Domain zu erfassen.
Schwachpass
- ein Dienst, der viele Wörterbücher mit eindeutigen Passwörtern enthält. Äußerst nützlich für verschiedene Aufgaben im Zusammenhang mit dem Knacken von Passwörtern, vom einfachen Online-Brute-Force-Angriff auf Konten bei Zieldiensten bis hin zum Offline-Brute-Force-Angriff auf empfangene Hashes oder . Es enthält etwa 8 Milliarden Passwörter mit einer Länge von 4 bis 25 Zeichen.
Profis:
- Enthält sowohl spezifische Wörterbücher als auch Wörterbücher mit den gebräuchlichsten Passwörtern – Sie können ein bestimmtes Wörterbuch für Ihre eigenen Bedürfnisse auswählen;
- Wörterbücher werden aktualisiert und mit neuen Passwörtern ergänzt;
- Wörterbücher sind nach Effizienz sortiert. Sie können die Option sowohl für schnelles Online-Brute-Force als auch für die detaillierte Auswahl von Passwörtern aus einem umfangreichen Wörterbuch mit den neuesten Leaks wählen;
- Es gibt einen Rechner, der die Zeit anzeigt, die zum Knacken von Passwörtern auf Ihrem Gerät benötigt wird.
Wir möchten Tools für CMS-Prüfungen in einer separaten Gruppe zusammenfassen: WPScan, JoomScan und AEM Hacker.
AEM_hacker
ist ein Tool zur Identifizierung von Schwachstellen in Adobe Experience Manager (AEM)-Anwendungen.
Profis:
- Kann AEM-Anwendungen anhand der Liste der an seine Eingabe übermittelten URLs identifizieren;
- Enthält Skripte zum Erhalten von RCE durch Laden einer JSP-Shell oder Ausnutzen von SSRF.
JoomScan
– ein Perl-Tool zur Automatisierung der Erkennung von Schwachstellen bei der Bereitstellung von Joomla CMS.
Profis:
- Kann Konfigurationsfehler und Probleme mit Verwaltungseinstellungen finden;
- Listet Joomla-Versionen und damit verbundene Schwachstellen auf, ähnlich für einzelne Komponenten;
- Enthält mehr als 1000 Exploits für Joomla-Komponenten;
- Ausgabe von Abschlussberichten im Text- und HTML-Format.
WPScan
- ein Tool zum Scannen von WordPress-Sites, das Schwachstellen sowohl für die WordPress-Engine selbst als auch für einige Plugins aufweist.
Profis:
- Kann nicht nur unsichere WordPress-Plugins und Themes auflisten, sondern auch eine Liste von Benutzern und TimThumb-Dateien abrufen;
- Kann Brute-Force-Angriffe auf WordPress-Seiten durchführen.
Nachteile:
- Ohne die entsprechenden Einstellungen werden unvollständige Prüfungen durchgeführt, die irreführend sein können.
Im Allgemeinen bevorzugen verschiedene Menschen unterschiedliche Arbeitsgeräte: Sie sind alle auf ihre Art gut, und was dem einen gefällt, passt dem anderen möglicherweise überhaupt nicht. Wenn Sie der Meinung sind, dass wir einen guten Nutzen zu Unrecht ignoriert haben, schreiben Sie uns in den Kommentaren darüber!
Source: habr.com