Retaj iloj, aŭ kie komenci kiel pentester?

Ni daŭrigu paroli pri utilaj iloj por pentesteroj. En la nova artikolo ni rigardos ilojn por analizi la sekurecon de TTT-aplikoj.

Nia kolego BeLove Mi jam faris ion tian kompilo antaŭ proksimume sep jaroj. Estas interese vidi, kiuj iloj konservis kaj fortigis siajn poziciojn, kaj kiuj malaperis en la fono kaj nun malofte estas uzataj.


Notu, ke ĉi tio ankaŭ inkluzivas Burp Suite, sed estos aparta publikaĵo pri ĝi kaj ĝiaj utilaj kromaĵoj.

Enhavo:

• Amasu
• Altdns
• akvotono
• MassDNS
• nsec3map
• Acunetix
• Dirsearch
• wfuzz
• ffuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Weakpass
• AEM_hacker
• JoomScan
• WPSkan

Amasu

Amasu - Go-ilo por serĉi kaj listigi DNS-subdomajnojn kaj mapi la eksteran reton. Amass estas projekto de OWASP desegnita por montri kiel aspektas organizoj en Interreto al eksterulo. Amass akiras subdomajnajn nomojn diversmaniere; la ilo uzas kaj rekursivan listigon de subdomajnoj kaj malfermfontajn serĉojn.

Por malkovri interligitajn retsegmentojn kaj aŭtonomiajn sistemajn nombrojn, Amass uzas IP-adresojn akiritajn dum operacio. Ĉiuj informoj trovitaj estas uzataj por konstrui retmapon.

Pros:

• Teknikoj pri kolektado de informoj inkluzivas:
  * DNS - vortara serĉo de subdomajnoj, krudfortaj subdomajnoj, inteligenta serĉo uzante mutaciojn bazitajn sur trovitaj subdomajnoj, inversaj DNS-demandoj kaj serĉado de DNS-serviloj, kie eblas fari zontranslokigan peton (AXFR);

  * Malfermfonta serĉo - Demandu, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Serĉu TLS-atestajn datumbazojn - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Uzante serĉmotorajn APIojn - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Serĉu interretajn retarkivojn: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;

• Integriĝo kun Maltego;
• Provizas la plej kompletan priraportadon de la tasko serĉi DNS-subdomajnojn.

Kons:

• Atentu kun amass.netdomains - ĝi provos kontakti ĉiun IP-adreson en la identigita infrastrukturo kaj akiri domajnajn nomojn de inversaj DNS-serĉoj kaj TLS-atestiloj. Ĉi tio estas "altprofila" tekniko, ĝi povas malkaŝi viajn spionajn agadojn en la esplorita organizo.
• Alta memorkonsumo, povas konsumi ĝis 2 GB da RAM en malsamaj agordoj, kio ne permesos al vi ruli ĉi tiun ilon en la nubo per malmultekosta VDS.

Altdns

Altdns — Python-ilo por kompili vortarojn por listigi DNS-subdomajnojn. Permesas al vi generi multajn variantojn de subdomajnoj uzante mutaciojn kaj permutaĵojn. Por tio oni uzas vortojn, kiuj ofte troviĝas en subdomajnoj (ekzemple: test, dev, staging), ĉiuj mutacioj kaj permutaĵoj estas aplikataj al jam konataj subdomajnoj, kiuj povas esti senditaj al la Altdns-enigo. La eligo estas listo de variaĵoj de subdomajnoj kiuj povas ekzisti, kaj ĉi tiu listo povas poste esti uzata por DNS-krudforto.

Pros:

• Funkcias bone kun grandaj datumaj aroj.

akvotono

akvotono - estis antaŭe pli konata kiel alia ilo por serĉi subdomajnojn, sed la aŭtoro mem forlasis tion favore al la menciita Amass. Nun akvatono estis reverkita en Go kaj estas pli orientita al prepara sciigo en retejoj. Por fari tion, aquatone trairas la specifitajn domajnojn kaj serĉas retejojn en malsamaj havenoj, post kio ĝi kolektas ĉiujn informojn pri la retejo kaj prenas ekrankopion. Konvena por rapida prepara rekono de retejoj, post kio vi povas elekti prioritatajn celojn por atakoj.

Pros:

• La eligo kreas grupon de dosieroj kaj dosierujoj, kiuj estas oportune uzi kiam plu laboras kun aliaj iloj:
  * HTML-raporto kun kolektitaj ekrankopioj kaj respondaj titoloj grupigitaj laŭ simileco;

  * Dosiero kun ĉiuj URL-oj kie retejoj estis trovitaj;

  * Dosiero kun statistikoj kaj paĝaj datumoj;

  * Dosierujo kun dosieroj enhavantaj respondtitolojn de trovitaj celoj;

  * Dosierujo kun dosieroj enhavantaj la korpon de la respondo de la trovitaj celoj;

  * Ekrankopioj de trovitaj retejoj;

• Subtenas labori kun XML-raportoj de Nmap kaj Masscan;
• Uzas senkapan Chrome/Chromium por bildi ekrankopiojn.

Kons:

• Ĝi povas altiri la atenton de entrudiĝaj detektaj sistemoj, do ĝi postulas agordon.

La ekrankopio estis prenita por unu el la malnovaj versioj de aquatone (v0.5.0), en kiu DNS-subdomajna serĉo estis efektivigita. Pli malnovaj versioj troveblas ĉe eldonoj paĝo.

MassDNS

MassDNS estas alia ilo por trovi DNS-subdomajnojn. Ĝia ĉefa diferenco estas, ke ĝi faras DNS-demandojn rekte al multaj malsamaj DNS-solviloj kaj faras tion kun konsiderinda rapideco.

Pros:

• Rapida - kapabla solvi pli ol 350 mil nomojn sekundo.

Kons:

• MassDNS povas kaŭzi gravan ŝarĝon sur la DNS-solviloj uzataj, kio povas konduki al malpermesoj de tiuj serviloj aŭ plendoj al via ISP. Krome, ĝi metos grandan ŝarĝon sur la DNS-serviloj de la kompanio, se ili havas ilin kaj se ili respondecas pri la domajnoj, kiujn vi provas solvi.
• La listo de solvantoj estas nuntempe malaktuala, sed se vi elektas la rompitajn DNS-solvilojn kaj aldonas novajn konatajn, ĉio estos en ordo.

Ekrankopio de aquatone v0.5.0

nsec3map

nsec3map estas Python-ilo por akiri kompletan liston de DNSSEC-protektitaj domajnoj.

Pros:

• Rapide malkovras gastigantojn en DNS-zonoj kun minimuma nombro da demandoj se DNSSEC-subteno estas ebligita en la zono;
• Inkluzivas kromprogramon por John the Ripper, kiu povas esti uzata por rompi la rezultajn NSEC3-haŝojn.

Kons:

• Multaj DNS-eraroj ne estas traktitaj ĝuste;
• Ne ekzistas aŭtomata paraleligo de prilaborado de NSEC-rekordoj - vi devas dividi la nomspacon permane;
• Alta memorkonsumo.

Acunetix

Acunetix — interreta vundebleco skanilo kiu aŭtomatigas la procezon de kontrolado de la sekureco de ret-aplikoj. Testas la aplikon por SQL-injektoj, XSS, XXE, SSRF kaj multaj aliaj retaj vundeblecoj. Tamen, kiel iu ajn alia skanilo, diversaj retaj vundeblecoj ne anstataŭas pentesteron, ĉar ĝi ne povas trovi kompleksajn ĉenojn de vundeblecoj aŭ vundeblecojn en logiko. Sed ĝi kovras multajn malsamajn vundeblecojn, inkluzive de diversaj CVE-oj, pri kiuj la pentestro eble forgesis, do ĝi estas tre oportuna por liberigi vin de rutinaj kontroloj.

Pros:

• Malalta nivelo de falsaj pozitivoj;
• Rezultoj povas esti eksportitaj kiel raportoj;
• Elfaras grandan nombron da kontroloj por diversaj vundeblecoj;
• Paralela skanado de pluraj gastigantoj.

Kons:

• Ne ekzistas malduplika algoritmo (Acunetix konsideros paĝojn, kiuj estas identaj laŭ funkcieco, kiel malsamaj, ĉar ili kondukas al malsamaj URL-oj), sed la programistoj laboras pri ĝi;
• Postulas instaladon sur aparta retservilo, kio malfaciligas testi klientsistemojn kun VPN-konekto kaj uzi la skanilon en izolita segmento de la loka klienta reto;
• La pristudata servo povas brui, ekzemple, sendante tro da atakvektoroj al la kontaktformularo en la retejo, tiel multe komplikante komercajn procezojn;
• Ĝi estas proprieta kaj, sekve, ne libera solvo.

Dirsearch

Dirsearch — Python-ilo por krudfortaj dosierujoj kaj dosieroj en retejoj.

Pros:

• Kapablas distingi verajn paĝojn "200 OK" de paĝoj "200 OK", sed kun la teksto "paĝo ne trovita";
• Venas kun oportuna vortaro kiu havas bonan ekvilibron inter grandeco kaj serĉefikeco. Enhavas normajn vojojn komunajn al multaj CMS kaj teknologiaj stakoj;
• Sia propra vortara formato, kiu ebligas al vi atingi bonan efikecon kaj flekseblecon en enumerado de dosieroj kaj dosierujoj;
• Konvena eligo - simpla teksto, JSON;
• Ĝi povas fari streĉon - paŭzon inter petoj, kio estas esenca por iu malforta servo.

Kons:

• Etendaĵoj devas esti pasigitaj kiel ŝnuro, kio estas maloportuna se vi bezonas pasi multajn etendaĵojn samtempe;
• Por uzi vian vortaron, ĝi devos esti iomete modifita al la Dirsearch-vortarformato por maksimuma efikeco.

wfuzz

wfuzz - Fuzzer de la retejo de Python. Verŝajne unu el la plej famaj interretaj fazoj. La principo estas simpla: wfuzz ebligas al vi fazi ajnan lokon en HTTP-peto, kio ebligas fazi GET/POST-parametrojn, HTTP-titolojn, inkluzive de Kuketo kaj aliaj aŭtentigaj kaplinioj. Samtempe, ĝi estas ankaŭ oportuna por simpla malpura forto de dosierujoj kaj dosieroj, por kiuj vi bezonas bonan vortaron. Ĝi ankaŭ havas flekseblan filtrilsistemon, per kiu vi povas filtri respondojn de la retejo laŭ malsamaj parametroj, kio ebligas al vi atingi efikajn rezultojn.

Pros:

• Multfunkcia - modula strukturo, muntado daŭras kelkajn minutojn;
• Konvena filtrado kaj fuzzing mekanismo;
• Vi povas fazi ajnan HTTP-metodon, same kiel ajnan lokon en HTTP-peto.

Kons:

• Sub evoluo.

ffuf

ffuf - TTT fuzzer en Go, kreita en la "bildo kaj simileco" de wfuzz, permesas vin malpurigi dosierojn, dosierujojn, URL-vojojn, nomojn kaj valorojn de GET/POST-parametroj, HTTP-titolojn, inkluzive de la Host-kapo por krudforto. de virtualaj gastigantoj. wfuzz diferencas de sia frato en pli alta rapideco kaj kelkaj novaj funkcioj, ekzemple, ĝi subtenas Dirsearch-formatajn vortarojn.

Pros:

• Filtriloj similas al wfuzz-filtriloj, ili permesas vin flekseble agordi krudforton;
• Permesas al vi fuzi HTTP-kapajn valorojn, POST-petajn datumojn kaj diversajn partojn de la URL, inkluzive de nomoj kaj valoroj de GET-parametroj;
• Vi povas specifi ajnan HTTP-metodon.

Kons:

• Sub evoluo.

gobuster

gobuster — Go-ilo por sciigo, havas du manierojn de operacio. La unua estas uzata por krudfortaj dosieroj kaj dosierujoj en retejo, la dua estas uzata por krudfortaj DNS-subdomajnoj. La ilo komence ne subtenas rekursivan listigon de dosieroj kaj dosierujoj, kio, kompreneble, ŝparas tempon, sed aliflanke, la krudforto de ĉiu nova finpunkto en la retejo devas esti lanĉita aparte.

Pros:

• Alta rapido de operacio kaj por krudforta serĉo de DNS-subdomajnoj kaj por krudforto de dosieroj kaj dosierujoj.

Kons:

• La nuna versio ne subtenas agordi HTTP-kapojn;
• Defaŭlte, nur kelkaj el la HTTP-statuskodoj (200,204,301,302,307) estas konsiderataj validaj.

Arjun

Arjun - ilo por krudforto de kaŝitaj HTTP-parametroj en GET/POST-parametroj, same kiel en JSON. La enkonstruita vortaro havas 25 980 vortojn, kiujn Ajrun kontrolas en preskaŭ 30 sekundoj. La lertaĵo estas, ke Ajrun ne kontrolas ĉiun parametron aparte, sed kontrolas ~1000 parametrojn samtempe kaj vidas ĉu la respondo ŝanĝiĝis. Se la respondo ŝanĝiĝis, ĝi dividas ĉi tiujn 1000 parametrojn en du partojn kaj kontrolas, kiu el ĉi tiuj partoj influas la respondon. Tiel, uzante simplan binaran serĉon, parametro aŭ pluraj kaŝitaj parametroj estas trovitaj kiuj influis la respondon kaj, tial, povas ekzisti.

Pros:

• Alta rapido pro binara serĉo;
• Subteno por GET/POST-parametroj, same kiel parametroj en la formo de JSON;

La kromaĵo por Burp Suite funkcias laŭ simila principo - param-ministo, kiu ankaŭ estas tre bona por trovi kaŝitajn HTTP-parametrojn. Ni rakontos al vi pli pri ĝi en venonta artikolo pri Burp kaj ĝiaj kromaĵoj.

LinkFinder

LinkFinder — Python-skripto por serĉi ligilojn en JavaScript-dosieroj. Utila por trovi kaŝitajn aŭ forgesitajn finpunktojn/URL-ojn en TTT-aplikaĵo.

Pros:

• Rapida;
• Estas speciala kromaĵo por Chrome bazita sur LinkFinder.

.

Kons:

• Malkonvena fina konkludo;
• Ne analizas JavaScript laŭlonge de la tempo;
• Sufiĉe simpla logiko por serĉi ligilojn - se JavaScript estas iel malklarigita, aŭ la ligiloj komence mankas kaj dinamike generiĝas, tiam ĝi nenion povos trovi.

JSParser

JSParser estas Python-skripto kiu uzas Revenita и JSBbeligisto analizi relativajn URL-ojn el JavaScript-dosieroj. Tre utila por detekti AJAX-petojn kaj kompili liston de API-metodoj, kun kiuj la aplikaĵo interagas. Funkcias efike kune kun LinkFinder.

Pros:

• Rapida analizo de JavaScript-dosieroj.

sqlmap

sqlmap estas verŝajne unu el la plej famaj iloj por analizi TTT-aplikaĵojn. Sqlmap aŭtomatigas la serĉon kaj operacion de SQL-injektoj, funkcias kun pluraj SQL-dialektoj, kaj havas grandegan nombron da malsamaj teknikoj en sia arsenalo, intervalante de rektaj citaĵoj ĝis kompleksaj vektoroj por tempbazitaj SQL-injektoj. Krome, ĝi havas multajn teknikojn por plua ekspluato por diversaj DBMS-oj, do ĝi estas utila ne nur kiel skanilo por SQL-injektoj, sed ankaŭ kiel potenca ilo por ekspluati jam trovitajn SQL-injektojn.

Pros:

• Granda nombro da malsamaj teknikoj kaj vektoroj;
• Malalta nombro da falsaj pozitivoj;
• Multaj fajnagordaj opcioj, diversaj teknikoj, cela datumbazo, mistraktaj skriptoj por preterpasi WAF;
• Kapablo krei eligan rubejon;
• Multaj malsamaj operaciaj kapabloj, ekzemple, por iuj datumbazoj - aŭtomata ŝarĝo/malŝarĝo de dosieroj, akirante la kapablon ekzekuti komandojn (RCE) kaj aliajn;
• Subteno por rekta konekto al la datumbazo uzante datumojn akiritajn dum atako;
• Vi povas sendi tekstdosieron kun la rezultoj de Burp kiel enigo - ne necesas permane kunmeti ĉiujn komandliniajn atributojn.

Kons:

• Estas malfacile personecigi, ekzemple, skribi kelkajn el viaj propraj ĉekoj pro la malabunda dokumentado por tio;
• Sen la taŭgaj agordoj, ĝi faras nekompletan aron de kontroloj, kiuj povas esti misgvidaj.

NoSQLMap

NoSQLMap — Python-ilo por aŭtomatigi la serĉon kaj ekspluaton de NoSQL-injektoj. Estas oportune uzi ne nur en NoSQL-datumbazoj, sed ankaŭ rekte kiam oni kontrolas TTT-aplikaĵojn, kiuj uzas NoSQL.

Pros:

• Kiel sqlmap, ĝi ne nur trovas eblan vundeblecon, sed ankaŭ kontrolas la eblecon de sia ekspluatado por MongoDB kaj CouchDB.

Kons:

• Ne subtenas NoSQL por Redis, Cassandra, disvolviĝo estas en ĉi tiu direkto.

oxml_xxe

oxml_xxe — ilo por enkonstrui XXE XML-ekspluatojn en diversajn specojn de dosieroj kiuj uzas la XML-formaton en iu formo.

Pros:

• Subtenas multajn komunajn formatojn kiel DOCX, ODT, SVG, XML.

Kons:

• Subteno por PDF, JPEG, GIF ne estas plene efektivigita;
• Kreas nur unu dosieron. Por solvi ĉi tiun problemon, vi povas uzi la ilon docem, kiu povas krei grandan nombron da ŝarĝaj dosieroj en malsamaj lokoj.

La ĉi-supraj iloj faras bonegan laboron testi XXE dum ŝarĝo de dokumentoj enhavantaj XML. Sed ankaŭ memoru, ke XML-formattraktiloj troveblas en multaj aliaj kazoj, ekzemple, XML povas esti uzata kiel datumformato anstataŭ JSON.

Tial ni rekomendas, ke vi atentu la sekvan deponejon, kiu enhavas grandan nombron da malsamaj utilaj ŝarĝoj: Utilaj ŜargojĈiujAferoj.

tplmap

tplmap - Python-ilo por aŭtomate identigi kaj ekspluati vundeblecojn de Server-Side Template Injection; ĝi havas agordojn kaj flagojn similajn al sqlmap. Uzas plurajn malsamajn teknikojn kaj vektorojn, inkluzive de blinda injekto, kaj ankaŭ havas teknikojn por ekzekuti kodon kaj ŝarĝi/alŝuti arbitrajn dosierojn. Krome, li havas en sia arsenalo teknikojn por dekduo da malsamaj ŝablonmotoroj kaj kelkajn teknikojn por serĉi eval()-similajn kodajn injektojn en Python, Ruby, PHP, JavaScript. Se sukcesa, ĝi malfermas interagan konzolon.

Pros:

• Granda nombro da malsamaj teknikoj kaj vektoroj;
• Subtenas multajn ŝablonojn bildigajn motorojn;
• Multaj operaciaj teknikoj.

CeWL

CeWL - vortargeneratoro en Ruby, kreita por ĉerpi unikajn vortojn el specifa retejo, sekvas ligilojn en la retejo ĝis difinita profundo. La kompilita vortaro de unikaj vortoj povas poste esti uzata por krudfortaj pasvortoj sur servoj aŭ krudfortaj dosieroj kaj dosierujoj en la sama retejo, aŭ por ataki la rezultajn haŝojn uzante hashcat aŭ John the Ripper. Utila dum kompilado de "celaj" listo de eblaj pasvortoj.

Pros:

• Facile uzebla.

Kons:

• Vi devas esti singarda kun la serĉprofundo por ne kapti kroman domajnon.

Weakpass

Weakpass - servo enhavanta multajn vortarojn kun unikaj pasvortoj. Ekstreme utila por diversaj taskoj rilataj al pasvortrompado, intervalante de simpla interreta krudforto de kontoj sur celservoj, ĝis eksterreta krudforto de ricevitaj haŝiŝoj uzante haŝiŝo aŭ John The Ripper. Ĝi enhavas ĉirkaŭ 8 miliardojn da pasvortoj de 4 ĝis 25 karakteroj en longo.

Pros:

• Enhavas kaj specifajn vortarojn kaj vortarojn kun la plej oftaj pasvortoj - vi povas elekti specifan vortaron por viaj propraj bezonoj;
• Vortaroj estas ĝisdatigitaj kaj replenigitaj per novaj pasvortoj;
• Vortaroj estas ordigitaj laŭ efikeco. Vi povas elekti la eblon por ambaŭ rapida interreta krudforto kaj detala elekto de pasvortoj el volumena vortaro kun la plej novaj likoj;
• Estas kalkulilo, kiu montras la tempon necesan por malpuraj pasvortoj sur via ekipaĵo.

Ni ŝatus inkluzivi ilojn por CMS-kontroloj en apartan grupon: WPScan, JoomScan kaj AEM-hacker.

AEM_hacker

AEM-pirato estas ilo por identigi vundeblecojn en aplikoj Adobe Experience Manager (AEM).

Pros:

• Povas identigi AEM-aplikaĵojn el la listo de URL-oj senditaj al ĝia enigo;
• Enhavas skriptojn por akiri RCE per ŝarĝo de JSP-ŝelo aŭ ekspluatado de SSRF.

JoomScan

JoomScan — Perl-ilo por aŭtomatigi la detekton de vundeblecoj dum deplojado de Joomla CMS.

Pros:

• Kapabla trovi agordajn difektojn kaj problemojn kun administraj agordoj;
• Listigas Joomla-versiojn kaj rilatajn vundeblecojn, simile por individuaj komponantoj;
• Enhavas pli ol 1000 ekspluatojn por Joomla-komponentoj;
• Eligo de finaj raportoj en teksto kaj HTML-formatoj.

WPSkan

WPSkan - ilo por skani WordPress-ejojn, ĝi havas vundeblecojn en sia arsenalo kaj por la WordPress-motoro mem kaj por iuj kromprogramoj.

Pros:

• Kapabla listigi ne nur nesekurajn WordPress-kromaĵojn kaj temojn, sed ankaŭ ricevi liston de uzantoj kaj TimThumb-dosieroj;
• Povas fari krudfortajn atakojn sur WordPress-ejoj.

Kons:

• Sen la taŭgaj agordoj, ĝi faras nekompletan aron de kontroloj, kiuj povas esti misgvidaj.

Ĝenerale, malsamaj homoj preferas malsamajn ilojn por laboro: ili ĉiuj estas bonaj laŭ sia maniero, kaj tio, kion unu homo ŝatas, eble tute ne konvenas al alia. Se vi pensas, ke ni maljuste ignoris iun bonan utilon, skribu pri ĝi en la komentoj!

fonto: www.habr.com