Nemrég írtam róla , de kicsit szerény és kaotikus. Utána úgy döntöttem, hogy kibővítem az áttekintésben szereplő eszközök listáját, strukturálom a cikket, és figyelembe veszem a kritikákat (nagy köszönet tanácsért), és elküldte a SecLabon egy versenyre (és közzé is tette , de nyilvánvaló okokból senki sem látta). A verseny véget ért, az eredményhirdetés megtörtént, és nyugodt lelkiismerettel közzétehetem (a cikket) a Habrén.
Ingyenes webalkalmazás Pentester eszközök
Ebben a cikkben a „fekete doboz” stratégiát használó webes alkalmazások pentesting (penetrációs tesztje) legnépszerűbb eszközeiről fogok beszélni.
Ehhez megvizsgáljuk azokat a segédprogramokat, amelyek segítenek az ilyen típusú tesztelésben. Vegye figyelembe a következő termékkategóriákat:
- Hálózati szkennerek
- Webes script-betörés-ellenőrzők
- Kizsákmányolás
- Az injekciók automatizálása
- Hibakeresők (snifferek, helyi proxyk stb.)
Egyes termékek univerzális „karakterrel” rendelkeznek, ezért azokat a kategóriába sorolom, amelyekben aоjobb eredmény (szubjektív vélemény).
Hálózati szkennerek.
A fő feladat az elérhető hálózati szolgáltatások felderítése, verzióik telepítése, az operációs rendszer meghatározása stb.
Nmap
egy ingyenes és nyílt forráskódú segédprogram hálózatelemzéshez és rendszerbiztonsági auditáláshoz. A konzol erőszakos ellenzői használhatják a Zenmap-ot, amely az Nmap grafikus felhasználói felülete.
Ez nem csak egy „intelligens” szkenner, hanem egy komoly bővíthető eszköz (az egyik „szokatlan szolgáltatás” egy szkript jelenléte, amely ellenőrzi a csomópontot féreg jelenlétére)" (említve ). Tipikus használati példa:
nmap -A -T4 localhost
-A az operációs rendszer verziójának észleléséhez, szkriptek beolvasásához és nyomon követéséhez
-T4 idővezérlési beállítás (a több gyorsabb, 0-tól 5-ig)
localhost – célgazda
Valami keményebb?
nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost
Ez a Zenmap "lassú átfogó vizsgálat" profiljának opcióinak készlete. Elég hosszú időt vesz igénybe a kitöltése, de végső soron részletesebb információkat ad, amelyek a célrendszerről megtudhatók. , ha úgy dönt, hogy mélyebbre megy, javaslom a cikk fordítását is .
Az Nmap megkapta az „Év biztonsági terméke” státuszt olyan magazinoktól és közösségektől, mint a Linux Journal, az Info World, a LinuxQuestions.Org és a Codetalker Digest.
Érdekes pont, hogy az Nmap a „The Matrix Reloaded”, a „Die Hard 4”, „The Bourne Ultimatum”, „Hottabych” és a filmekben látható. .
IP-Tools
- különböző hálózati segédprogramok egyfajta készlete, amely grafikus felhasználói felülettel rendelkezik, „dedikált” a Windows felhasználók számára.
Portszkenner, megosztott erőforrások (megosztott nyomtatók/mappák), WhoIs/Finger/Lookup, telnet kliens és még sok más. Csak egy kényelmes, gyors, funkcionális eszköz.
Nincs különösebb értelme más termékeket fontolóra venni, mivel ezen a területen számos segédprogram létezik, és mindegyik hasonló működési elvű és funkcionalitású. Ennek ellenére továbbra is az nmap a leggyakrabban használt.
Webes script-betörés-ellenőrzők
Népszerű sebezhetőségek (SQL inj, XSS, LFI/RFI stb.) vagy hibák (nem törölt ideiglenes fájlok, könyvtárindexelés stb.) keresése
Acunetix web sebezhetőségi szkenner
— a linkről látszik, hogy ez egy xss szkenner, de ez nem teljesen igaz. Az itt elérhető ingyenes verzió meglehetősen sok funkciót biztosít. Általában az a személy, aki először futtatja ezt a szkennert, és először kap jelentést az erőforrásáról, enyhe sokkot tapasztal, és megérti, hogy miért, ha ezt megteszi. Ez egy nagyon hatékony termék a webhelyek mindenféle sérülékenységének elemzésére, és nem csak a szokásos PHP-webhelyeken működik, hanem más nyelveken is (bár a nyelvi különbség nem mutató). Nincs különösebb értelme az utasítások leírásának, mivel a szkenner egyszerűen „felveszi” a felhasználó műveleteit. Valami hasonló a „következő, következő, következő, kész” egy tipikus szoftvertelepítéshez.
Nikto
Ez egy nyílt forráskódú (GPL) webrobot. Megszünteti a rutin kézi munkát. Megkeresi a céloldalon a nem törölt szkripteket (egyes test.php, index_.php stb.), adatbázis-adminisztrációs eszközöket (/phpmyadmin/, /pma és hasonlók) stb., azaz ellenőrzi az erőforrást a leggyakoribb hibák után általában emberi tényezők okozzák.
Ráadásul, ha talál valamilyen népszerű szkriptet, ellenőrzi, hogy vannak-e kiadott exploitok (amelyek az adatbázisban vannak).
Jelenti az elérhető „nem kívánt” módszereket, mint például a PUT és a TRACE
Stb. Nagyon kényelmes, ha könyvvizsgálóként dolgozik, és naponta elemzi a webhelyeket.
A mínuszok közül szeretném megjegyezni a hamis pozitív eredmények magas százalékát. Például, ha webhelye mindig a fő hibát adja meg a 404-es hiba helyett (amikor annak előfordulnia kell), akkor a szkenner azt fogja mondani, hogy az Ön webhelye tartalmazza az adatbázisából származó összes szkriptet és minden sebezhetőséget. A gyakorlatban ez nem fordul elő olyan gyakran, de tény, hogy sok múlik az oldal felépítésén.
Klasszikus használat:
./nikto.pl -host localhost
Ha jogosultságra van szüksége az oldalon, beállíthat egy cookie-t a nikto.conf fájlban, a STATIC-COOKIE változóban.
Wikto
— Nikto for Windows, de néhány kiegészítéssel, mint például a „fuzzy” logika a kód hibakeresése során, a GHDB használata, a hivatkozások és erőforrásmappák lekérése, a HTTP-kérések/válaszok valós idejű figyelése. A Wikto C# nyelven íródott, és .NET keretrendszert igényel.
skipfish
- webes sebezhetőségi szkenner innen (lcamtuf néven ismert). C-ben írva, több platformon (a Winhoz Cygwin szükséges). Rekurzív módon (és nagyon hosszú ideig, kb. 20-40 óráig, bár utoljára 96 óráig működött nálam) bejárja az egész oldalt, és mindenféle biztonsági rést talál. Emellett nagy forgalmat generál (több GB bejövő/kimenő). De minden eszköz jó, főleg ha van időd és erőforrásod.
Tipikus felhasználás:
./skipfish -o /home/reports www.example.com
A „reports” mappában lesz egy jelentés html-ben, .
w3af
— Web Application Attack and Audit Framework, nyílt forráskódú webes sebezhetőség-ellenőrző. GUI-ja van, de konzolról is lehet dolgozni. Pontosabban egy kerettel .
Hosszan lehet beszélni az előnyeiről, érdemes kipróbálni :] A vele kapcsolatos tipikus munka a profilválasztáson, a cél meghatározásán, sőt az elindításán múlik.
Mantra biztonsági keretrendszer
egy valóra vált álom. A webböngészőbe épített ingyenes és nyílt információbiztonsági eszközök gyűjteménye.
Nagyon hasznos a webalkalmazások tesztelésekor minden szakaszban.
A használat a böngésző telepítésében és elindításában merül ki.
Valójában nagyon sok segédprogram van ebben a kategóriában, és meglehetősen nehéz kiválasztani egy konkrét listát. Leggyakrabban minden pentester maga határozza meg a szükséges eszközkészletet.
Kizsákmányolás
A sebezhetőségek automatizált és kényelmesebb kihasználása érdekében az exploitokat szoftverekbe és szkriptekbe írják, amelyekhez csak paramétereket kell átadni a biztonsági rés kihasználásához. És vannak olyan termékek, amelyek szükségtelenné teszik a kizsákmányolások manuális keresését, és akár menet közben történő alkalmazását is. Most erről a kategóriáról lesz szó.
Metasploit keretrendszer
- egyfajta szörnyeteg a mi üzletünkben. Annyira képes, hogy az utasítások több cikkre is kiterjednek. Megvizsgáljuk az automatikus kihasználást (nmap + metasploit). A lényeg a következő: az Nmap elemzi a számunkra szükséges portot, telepíti a szolgáltatást, a metasploit pedig a szolgáltatási osztály (ftp, ssh, stb.) alapján próbálja meg exploitokat alkalmazni rá. Szöveges instrukciók helyett beszúrok egy videót, nagyon népszerű az autopwn témában
Vagy egyszerűen automatizálhatjuk a szükséges exploit működését. Például:
msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run
Valójában ennek a keretrendszernek a lehetőségei nagyon kiterjedtek, ezért ha úgy dönt, hogy mélyebbre megy, menjen a következőhöz
Armitage
— A cyberpunk műfajú GUI OVA a Metasploithoz. Vizualizálja a célt, ajánl exploitokat, és fejlett funkciókat biztosít a keretrendszerhez. Általában azoknak, akik szeretik, ha minden szép és lenyűgöző.
Screencast:
Tartható Nessus®
- sok mindent el tud végezni, de az egyik olyan képesség, amelyre szükségünk van, az, hogy meghatározzuk, mely szolgáltatások rendelkeznek kihasználással. A termék ingyenes verziója „csak otthon”
Использование:
- Letöltve (az Ön rendszeréhez), telepítve, regisztrálva (a kulcsot az Ön e-mail címére küldjük).
- Elindította a szervert, hozzáadta a felhasználót a Nessus Server Managerhez (Felhasználók kezelése gomb)
- Elmegyünk a címre
https://localhost:8834/
és szerezd be a flash klienst a böngészőben
- Vizsgálatok -> Hozzáadás -> töltse ki a mezőket (a számunkra megfelelő szkennelési profil kiválasztásával), majd kattintson a Beolvasás gombra
Egy idő után a vizsgálati jelentés megjelenik a Jelentések lapon
A szolgáltatások kizsákmányolásokkal szembeni gyakorlati sebezhetőségének ellenőrzéséhez használhatja a fent leírt Metasploit Framework-et, vagy megpróbálhat kizsákmányolni (például , , stb.), és manuálisan használja ellene rendszerét
IMHO: túl terjedelmes. A szoftveripar ezen irányának egyik vezetőjévé hoztam őt.
Az injekciók automatizálása
A webalkalmazások másodperces szkennerei közül sok injekciókat keres, de ezek továbbra is csak általános szkennerek. És vannak olyan segédprogramok, amelyek kifejezetten injekciók keresésével és kiaknázásával foglalkoznak. Most róluk fogunk beszélni.
sqlmap
— nyílt forráskódú segédprogram az SQL injekciók kereséséhez és kihasználásához. Támogatja a következő adatbázis-kiszolgálókat: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.
A tipikus használat a következőre csapódik le:
python sqlmap.py -u "http://example.com/index.php?action=news&id=1"
Van elég kézikönyv, beleértve az orosz nyelvet is. A szoftver nagyban megkönnyíti a pentester munkáját ezen a területen.
Hozzáteszek egy hivatalos bemutató videót:
bsqlbf-v2
- egy perl szkript, egy nyers erő a „vak” Sql injekciókhoz. Mind az url-ben lévő egész értékekkel, mind a karakterlánc-értékekkel működik.
Támogatott adatbázis:
- MS-SQL
- MySQL
- PostgreSQL
- Jóslat
Példa felhasználásra:
./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql "select table_name from imformation_schema.tables limit 1 offset 0" -database 1 -type 1
-url — Kapcsolat a paraméterekkel
-vak u - befecskendezési paraméter (alapértelmezés szerint az utolsó a címsorból származik)
-sql "szelect tábla_nevet az imformation_schema.tables limit 1 offset 0-ból" — önkényes kérésünk az adatbázishoz
- adatbázis 1 — adatbázis-szerver: MSSQL
- 1-es típusú - a támadás típusa, „vak” injekció, igaz és hibás (például szintaktikai hibák) válaszokon alapul
Hibakeresők
Ezeket az eszközöket főleg a fejlesztők használják, ha problémáik vannak a kód végrehajtása során. De ez az irány a pentesztelésnél is hasznos, amikor a szükséges adatokat menet közben pótolhatjuk, elemezhetjük, mi jön válaszul a bemeneti paramétereinkre (például fuzzing közben), stb.
Burp lakosztály
— a behatolási teszteket segítő segédprogramok készlete. Az interneten van oroszul a Raz0r-től (bár 2008-ra).
Az ingyenes verzió a következőket tartalmazza:
- A Burp Proxy egy helyi proxy, amely lehetővé teszi a böngészőből már generált kérések módosítását
- Burp Spider - pók, meglévő fájlokat és könyvtárakat keres
- Burp Repeater - HTTP kérések kézi küldése
- Burp Sequencer - véletlenszerű értékek elemzése űrlapokban
- A Burp Decoder egy szabványos kódoló-dekódoló (html, base64, hex stb.), amelyből több ezer van, és bármilyen nyelven gyorsan megírható
- Burp Comparer - String Comparison Component
Ez a csomag elvileg szinte minden ezzel kapcsolatos problémát megold.
Hegedűs
— A Fiddler egy hibakereső proxy, amely naplózza az összes HTTP(S) forgalmat. Lehetővé teszi a forgalom vizsgálatát, töréspontok beállítását és a bejövő vagy kimenő adatokkal való „játszást”.
Van is , szörnyeteg és mások, a választás a felhasználón múlik.
Következtetés
Természetesen minden pentesternek megvan a saját arzenálja és saját segédprogramjai, mivel egyszerűen sok van belőlük. Megpróbáltam felsorolni néhányat a legkényelmesebbek és legnépszerűbbek közül. De annak érdekében, hogy bárki megismerkedhessen más ilyen irányú segédprogramokkal, az alábbiakban linkeket adok.
Szkennerek és segédprogramok különféle topjai/listák
- .
Linux disztribúciók, amelyek már tartalmaznak egy csomó különböző tesztelő segédprogramot
frissítés: oroszul a „Hack4Sec” csapattól (hozzáadva )
PS Nem hallgathatunk az XSpiderről. Nem vesz részt a felülvizsgálatban, bár shareware (a cikket a SecLabnak elküldésekor tudtam meg, igazából emiatt (nem tudás, és a legújabb 7.8-as verzió hiánya) és nem tettem bele a cikkbe). És elméletileg tervezték a felülvizsgálatát (nehéz teszteket készítettem rá), de nem tudom, hogy a világ látja-e.
PPS A cikkből származó egyes anyagokat a rendeltetésszerűen használjuk fel a következő címen megjelenő jelentésben 2012-ben a QA rovatban, amely itt nem említett eszközöket tartalmaz (természetesen ingyenes), valamint az algoritmust, milyen sorrendben mit kell használni, milyen eredmény várható, milyen konfigurációkat kell használni és mindenféle tippeket és trükköket, amikor munka (szinte minden nap gondolok a riportra, igyekszem minden jót elmondani a téma témájáról)
Egyébként volt egy lecke erről a cikkről a címen Nyílt InfoSec Days (, ), tud teheneket rabolni Nézd meg .
Forrás: will.com