Webes eszközök, vagy hol kezdjem pentesterként?

Folytatjuk beszéljen a pentesterek számára hasznos eszközökről. Az új cikkben a webalkalmazások biztonságának elemzésére szolgáló eszközöket tekintjük át.

Kollégánk Szeress Csináltam már ilyesmit összeállítás körülbelül hét évvel ezelőtt. Érdekes látni, hogy mely eszközök tartották meg és erősítették meg pozícióikat, és melyek azok, amelyek háttérbe szorultak, és ma már ritkán használják őket.


Vegye figyelembe, hogy ez a Burp Suite-ot is tartalmazza, de erről és a hasznos bővítményeiről külön kiadvány fog megjelenni.

Tartalom:

• Felhalmoz
• Altdns
• aquaton
• MassDNS
• nsec3map
• Acunetix
• Dirsearch
• wfuzz
• ffuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Gyenge passz
• AEM_hacker
• JoomScan
• WPScan

Felhalmoz

Felhalmoz - Go eszköz a DNS-aldomainek kereséséhez és felsorolásához, valamint a külső hálózat leképezéséhez. Az Amass egy OWASP projekt, amelynek célja, hogy megmutassa, hogyan néznek ki az internetes szervezetek egy kívülálló számára. Az Amass különféle módokon szerzi meg az aldomainneveket; az eszköz az aldomainek rekurzív felsorolását és a nyílt forráskódú kereséseket egyaránt használja.

Az összekapcsolt hálózati szegmensek és autonóm rendszerszámok felfedezéséhez az Amass a működés során kapott IP-címeket használja. Minden talált információt egy hálózati térkép felépítéséhez használnak fel.

Előnyök:

• Az információgyűjtési technikák a következők:
  * DNS - szótári keresés aldomainekben, bruteforce aldomainekben, intelligens keresés a talált aldomaineken alapuló mutációk segítségével, fordított DNS-lekérdezések és DNS-kiszolgálók keresése, ahol lehetőség van zónaátviteli kérelmek (AXFR) végrehajtására;

  * Nyílt forráskódú keresés – Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRAarchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Keresés TLS-tanúsítvány-adatbázisokban – Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Keresőprogram API-k használata - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Keresés az internetes webarchívumokban: ArchiveIt, ArchiveToday, Arquivo, LoCARchive, OpenUKArchive, UKGovArchive, Wayback;

• Integráció a Maltego-val;
• A DNS-aldomainek keresési feladatának legteljesebb lefedettségét biztosítja.

Hátrányok:

• Legyen óvatos az amass.netdomains-szal – megpróbálja felvenni a kapcsolatot az azonosított infrastruktúra minden IP-címével, és tartományneveket szerezni a fordított DNS-keresésekből és TLS-tanúsítványokból. Ez egy "nagy horderejű" technika, felfedheti titkosszolgálati tevékenységét a vizsgált szervezetben.
• Magas memóriafogyasztás, akár 2 GB RAM-ot is fogyaszthat különböző beállítások mellett, ami nem teszi lehetővé, hogy ezt az eszközt a felhőben futtassa olcsó VDS-en.

Altdns

Altdns — Python-eszköz szótárak összeállításához DNS-aldomainek felsorolásához. Lehetővé teszi az altartományok számos változatának létrehozását mutációk és permutációk segítségével. Ehhez olyan szavakat használnak, amelyek gyakran megtalálhatók az altartományokban (például: teszt, dev, staging), minden mutációt és permutációt alkalmaznak a már ismert aldomainekre, amelyeket be lehet küldeni az Altdns bemenetre. A kimenet a létező aldomain-változatok listája, és ez a lista később felhasználható a DNS brute force-hoz.

Előnyök:

• Jól működik nagy adatkészletekkel.

aquaton

aquaton - korábban inkább az aldomainek keresésének másik eszközeként volt ismert, de a szerző maga is felhagyott ezzel a már említett Amass javára. Most az aquatone-t átírták a Go-ban, és inkább a webhelyeken történő előzetes felderítésre irányul. Ehhez az aquatone átmegy a megadott tartományokon, és különböző portokon keres webhelyeket, majd összegyűjti az oldallal kapcsolatos összes információt, és képernyőképet készít. Kényelmes a weboldalak gyors előzetes felderítésére, amely után kiválaszthatja a támadások prioritásos célpontjait.

Előnyök:

• A kimenet létrehoz egy fájlok és mappák csoportját, amelyeket kényelmesen használhat más eszközökkel való további munka során:
  * HTML jelentés összegyűjtött képernyőképekkel és válaszcímekkel, hasonlóság szerint csoportosítva;

  * Egy fájl az összes URL-lel, ahol webhelyeket találtak;

  * Fájl statisztikákkal és oldaladatokkal;

  * Egy mappa a talált célpontok válaszfejléceit tartalmazó fájlokkal;

  * A megtalált célpontok válaszának törzsét tartalmazó fájlokat tartalmazó mappa;

  * Képernyőképek a talált webhelyekről;

• Támogatja az Nmap és Masscan XML-jelentéseivel való munkát;
• Fej nélküli Chrome/Chromiumot használ a képernyőképek megjelenítéséhez.

Hátrányok:

• Felkeltheti a behatolásérzékelő rendszerek figyelmét, ezért konfigurációt igényel.

A képernyőkép az aquatone egyik régi verziójáról készült (v0.5.0), amelyben a DNS-aldomain keresést megvalósították. A régebbi verziók a címen találhatók kiadások oldala.

MassDNS

MassDNS egy másik eszköz a DNS-aldomainek megtalálásához. A fő különbség az, hogy közvetlenül számos különböző DNS-feloldóhoz intézi a DNS-lekérdezéseket, és ezt jelentős sebességgel teszi.

Előnyök:

• Gyors - másodpercenként több mint 350 ezer név feloldására képes.

Hátrányok:

• A MassDNS jelentős terhelést okozhat a használt DNS-feloldókon, ami a kiszolgálók kitiltásához vagy panaszokhoz vezethet az internetszolgáltatónak. Ezen felül nagy terhelést jelent a cég DNS-szervereire, ha vannak ilyenek, és ha azok felelősek a feloldani kívánt tartományokért.
• A feloldók listája jelenleg elavult, de ha kiválasztja a hibás DNS-feloldókat, és új ismerteket ad hozzá, minden rendben lesz.

Képernyőkép az aquatone v0.5.0-ról

nsec3map

nsec3map egy Python-eszköz a DNSSEC által védett tartományok teljes listájának lekéréséhez.

Előnyök:

• Gyorsan felfedezi a gazdagépeket a DNS-zónákban minimális számú lekérdezéssel, ha a DNSSEC-támogatás engedélyezve van a zónában;
• Tartalmaz egy beépülő modult Hasfelmetsző Jánoshoz, amellyel feltörhető a kapott NSEC3 hashek.

Hátrányok:

• Sok DNS-hibát nem kezelnek megfelelően;
• Az NSEC rekordok feldolgozásának nincs automatikus párhuzamosítása – a névteret kézzel kell felosztani;
• Magas memóriafogyasztás.

Acunetix

Acunetix — webes sebezhetőségi szkenner, amely automatizálja a webalkalmazások biztonságának ellenőrzésének folyamatát. Teszteli az alkalmazást SQL injekciók, XSS, XXE, SSRF és sok más webes sebezhetőség szempontjából. Mindazonáltal, mint bármely más szkenner, a webes sebezhetőségek sokasága nem helyettesíti a pentestert, mivel nem találja meg a sebezhetőségek vagy a logikai sérülékenységek összetett láncait. De sok különféle sebezhetőséget takar, beleértve a különféle CVE-ket is, amelyekről a pentester esetleg megfeledkezett, így nagyon kényelmes, hogy megszabadítson a rutinellenőrzésektől.

Előnyök:

• A hamis pozitív eredmények alacsony szintje;
• Az eredmények jelentésként exportálhatók;
• Nagyszámú ellenőrzést végez a különféle sebezhetőségek felderítésére;
• Több gazdagép párhuzamos vizsgálata.

Hátrányok:

• Nincs deduplikációs algoritmus (az Acunetix az azonos funkcionalitású oldalakat különbözőnek tekinti, mivel eltérő URL-ekre vezetnek), de a fejlesztők dolgoznak rajta;
• Telepítést igényel külön webszerverre, ami megnehezíti a VPN-kapcsolattal rendelkező kliensrendszerek tesztelését és a szkenner használatát a helyi klienshálózat egy elszigetelt szegmensében;
• A vizsgált szolgáltatás zajt kelthet például azáltal, hogy túl sok támadási vektort küld az oldalon található kapcsolatfelvételi űrlapra, ami jelentősen megnehezíti az üzleti folyamatokat;
• Ez egy szabadalmaztatott és ennek megfelelően nem ingyenes megoldás.

Dirsearch

Dirsearch — Python-eszköz a webhelyeken található könyvtárak és fájlok brutális kényszerítésére.

Előnyök:

• Meg tudja különböztetni a valódi „200 OK” oldalakat a „200 OK” oldalaktól, de az „oldal nem található” szöveggel;
• Egy praktikus szótárral rendelkezik, amely jó egyensúlyt biztosít a méret és a keresés hatékonysága között. Számos CMS- és technológiai veremhez közös szabványos útvonalakat tartalmaz;
• Saját szótárformátum, amellyel jó hatékonyságot és rugalmasságot érhet el a fájlok és könyvtárak felsorolása során;
• Kényelmes kimenet - egyszerű szöveg, JSON;
• Képes szabályozni – szünetet tart a kérések között, ami létfontosságú minden gyenge szolgáltatás esetén.

Hátrányok:

• A kiterjesztéseket karakterláncként kell átadni, ami kényelmetlen, ha egyszerre több kiterjesztést kell átadni;
• A szótár használatához kissé módosítani kell a Dirsearch szótár formátumra a maximális hatékonyság érdekében.

wfuzz

wfuzz - Python webalkalmazás-fuzzer. Valószínűleg az egyik leghíresebb webfázis. Az elv egyszerű: a wfuzz lehetővé teszi, hogy egy HTTP-kérésben tetszőleges helyet szakaszoljon, ami lehetővé teszi a GET/POST paraméterek, HTTP-fejlécek, beleértve a Cookie-t és más hitelesítési fejlécek fázisát. Ugyanakkor kényelmes a könyvtárak és fájlok egyszerű brute force-hoz is, amelyhez jó szótárra van szükség. Rugalmas szűrőrendszerrel is rendelkezik, amellyel különböző paraméterek szerint szűrheti a weboldalról érkező válaszokat, mellyel hatékony eredményeket érhet el.

Előnyök:

• Többfunkciós - moduláris felépítés, az összeszerelés néhány percet vesz igénybe;
• Kényelmes szűrési és elmosó mechanizmus;
• Bármely HTTP-metódus fázisba állítható, valamint a HTTP-kérés bármely helyére.

Hátrányok:

• Fejlesztés alatt.

ffuf

ffuf - egy webes fuzzer a Goban, amely a wfuzz „képe és hasonlatossága” alapján készült, lehetővé teszi fájlok, könyvtárak, URL-útvonalak, GET/POST-paraméterek nevének és értékeinek, HTTP-fejlécek, beleértve a Host-fejlécet a brute force-hoz, brutális meghatározását. virtuális gazdagépek. A wfuzz nagyobb sebességben és néhány újdonságban különbözik testvérétől, például támogatja a Dirsearch formátumú szótárakat.

Előnyök:

• A szűrők hasonlóak a wfuzz szűrőkhöz, lehetővé teszik a nyers erő rugalmas konfigurálását;
• Lehetővé teszi a HTTP-fejlécértékek, a POST-kérésadatok és az URL különböző részeinek összemosását, beleértve a GET-paraméterek neveit és értékeit;
• Bármilyen HTTP metódust megadhat.

Hátrányok:

• Fejlesztés alatt.

gobuster

gobuster — Go eszköz a felderítéshez, két üzemmóddal rendelkezik. Az első a webhelyen található fájlok és könyvtárak brutális kényszerítésére szolgál, a második pedig a DNS-aldomainek brutális kényszerítésére szolgál. Az eszköz kezdetben nem támogatja a fájlok és könyvtárak rekurzív felsorolását, amivel természetesen időt takaríthatunk meg, másrészt viszont a weboldal minden új végpontját külön kell elindítani.

Előnyök:

• Nagy sebességű működés mind a DNS-aldomainek brute force kereséséhez, mind a fájlok és könyvtárak brute force kereséséhez.

Hátrányok:

• A jelenlegi verzió nem támogatja a HTTP-fejlécek beállítását;
• Alapértelmezés szerint a HTTP-állapotkódok közül csak néhány (200,204,301,302,307) tekinthető érvényesnek.

Arjun

Arjun - egy eszköz a rejtett HTTP-paraméterek brutális erőltetésére a GET/POST paraméterekben, valamint a JSON-ban. A beépített szótár 25 980 szót tartalmaz, amit Ajrun csaknem 30 másodperc alatt ellenőrzi. A trükk az, hogy Ajrun nem külön-külön ellenőrzi az egyes paramétereket, hanem egyszerre ~1000 paramétert, és megnézi, hogy változott-e a válasz. Ha a válasz megváltozott, ezt az 1000 paramétert két részre osztja, és ellenőrzi, hogy ezek közül melyik befolyásolja a választ. Így egy egyszerű bináris kereséssel egy vagy több rejtett paraméter található, amely befolyásolta a választ, és ezért létezhet.

Előnyök:

• Nagy sebesség a bináris keresés miatt;
• GET/POST paraméterek, valamint JSON formátumú paraméterek támogatása;

A Burp Suite beépülő modulja hasonló elven működik - param-bányász, ami a rejtett HTTP paraméterek megtalálásában is nagyon jó. A Burpról és a bővítményeiről szóló, hamarosan megjelenő cikkünkben többet is elárulunk róla.

LinkFinder

LinkFinder — Python-szkript hivatkozások keresésére JavaScript-fájlokban. Hasznos a rejtett vagy elfelejtett végpontok/URL-ek megtalálásához egy webalkalmazásban.

Előnyök:

• Gyors;
• Van egy speciális bővítmény a Chrome-hoz, amely a LinkFinderen alapul.

.

Hátrányok:

• Kényelmetlen végső következtetés;
• Nem elemzi a JavaScriptet idővel;
• Elég egyszerű logika a linkek kereséséhez - ha a JavaScript valahogy el van homályosítva, vagy a hivatkozások kezdetben hiányoznak és dinamikusan generálódnak, akkor nem fog semmit találni.

JSParser

JSParser egy Python szkript, amely használja Tornádó и JSBeautifier relatív URL-címek elemzéséhez JavaScript-fájlokból. Nagyon hasznos az AJAX-kérések észleléséhez és azon API-metódusok listájának összeállításához, amelyekkel az alkalmazás kölcsönhatásba lép. Hatékonyan működik a LinkFinderrel együtt.

Előnyök:

• JavaScript fájlok gyors elemzése.

sqlmap

sqlmap valószínűleg az egyik leghíresebb eszköz a webes alkalmazások elemzésére. Az Sqlmap automatizálja az SQL-injekciók keresését és működését, több SQL dialektussal dolgozik, és rengeteg különféle technikát tartalmaz az arzenáljában, az egyenes idézetektől az időalapú SQL-injektáláshoz szükséges összetett vektorokig. Ezen túlmenően számos technikával rendelkezik a különféle DBMS-ek további kiaknázásához, így nem csak SQL-befecskendezések szkennerjeként hasznos, hanem hatékony eszközként is használható a már megtalált SQL-injekciók kiaknázásához.

Előnyök:

• Számos különböző technika és vektor;
• Alacsony számú téves pozitív eredmény;
• Rengeteg finomhangolási lehetőség, különféle technikák, céladatbázis, szabotázsszkriptek a WAF megkerülésére;
• Képes kimeneti dump létrehozására;
• Számos különböző működési lehetőség, például egyes adatbázisok esetében - fájlok automatikus be-/kitöltése, parancsok végrehajtásának képessége (RCE) és mások;
• Támogatás az adatbázishoz való közvetlen csatlakozáshoz a támadás során szerzett adatok felhasználásával;
• Beküldhet egy szöveges fájlt a Burp eredményeivel bemenetként – nincs szükség az összes parancssori attribútum manuális összeállítására.

Hátrányok:

• Nehéz testre szabni, például saját csekkeket írni az ehhez szükséges szűkös dokumentáció miatt;
• A megfelelő beállítások hiányában hiányos ellenőrzéseket hajt végre, ami félrevezető lehet.

NoSQLMap

NoSQLMap — Python-eszköz a NoSQL-injektálások keresésének és kihasználásának automatizálására. Nemcsak NoSQL adatbázisokban kényelmes használni, hanem közvetlenül a NoSQL-t használó webalkalmazások auditálásakor is.

Előnyök:

• Az sqlmap-hoz hasonlóan nemcsak potenciális sebezhetőséget talál, hanem a MongoDB és CouchDB esetében is ellenőrzi annak kihasználásának lehetőségét.

Hátrányok:

• Nem támogatja a NoSQL for Redis, Cassandra, a fejlesztés folyamatban van ebben az irányban.

oxml_xxe

oxml_xxe - egy eszköz az XXE XML exploit különféle típusú fájlokba való beágyazására, amelyek valamilyen formában XML formátumot használnak.

Előnyök:

• Számos általános formátumot támogat, például DOCX, ODT, SVG, XML.

Hátrányok:

• A PDF, JPEG, GIF támogatása nincs teljesen megvalósítva;
• Csak egy fájlt hoz létre. A probléma megoldásához használhatja az eszközt docem, amely nagyszámú hasznos fájlt tud létrehozni különböző helyeken.

A fenti segédprogramok nagyszerű munkát végeznek az XXE tesztelésében, amikor XML-t tartalmazó dokumentumokat töltenek be. De ne feledje, hogy XML formátumkezelők sok más esetben is megtalálhatók, például az XML használható adatformátumként a JSON helyett.

Ezért azt javasoljuk, hogy figyeljen a következő tárolóra, amely nagyszámú különböző hasznos terhelést tartalmaz: PayloadsAllTheThings.

tplmap

tplmap - Python eszköz a szerveroldali sablonbefecskendezés sebezhetőségeinek automatikus azonosítására és kihasználására; az sqlmap-hoz hasonló beállításokkal és jelzőkkel rendelkezik. Számos különböző technikát és vektort használ, beleértve a vakinjektálást, valamint kód végrehajtására és tetszőleges fájlok betöltésére/feltöltésére szolgáló technikákkal is rendelkezik. Ezen kívül arzenáljában van egy tucat különböző sablonmotorhoz használható technikák, valamint néhány technika az eval()-szerű kódinjektálások keresésére Python, Ruby, PHP, JavaScript nyelveken. Ha sikeres, megnyit egy interaktív konzolt.

Előnyök:

• Számos különböző technika és vektor;
• Számos sablonrenderelő motort támogat;
• Sok műveleti technika.

CeWL

CeWL - egy Ruby szótárgenerátor, amely egyedi szavak kinyerésére készült egy adott webhelyről, és meghatározott mélységig követi az oldalon található hivatkozásokat. Az egyedi szavakból összeállított szótár később felhasználható arra, hogy brute force jelszavakat kényszerítsenek ki a szolgáltatásokra, vagy brute force fájlokat és könyvtárakat ugyanazon a webhelyen, vagy támadják meg a kapott hasheket a hashcat vagy John the Ripper segítségével. Hasznos a lehetséges jelszavak „cél” listájának összeállításakor.

Előnyök:

• Könnyen kezelhető.

Hátrányok:

• Óvatosnak kell lennie a keresési mélységgel, hogy ne rögzítsen extra domaint.

Gyenge passz

Gyenge passz - sok szótárat tartalmazó szolgáltatás egyedi jelszavakkal. Rendkívül hasznos a jelszavak feltörésével kapcsolatos különféle feladatokhoz, kezdve az egyszerű online számlák brutális erejétől a célszolgáltatásokon a fogadott hashek off-line brute force-ig. hashcat vagy John The Ripper. Körülbelül 8 milliárd jelszót tartalmaz, 4 és 25 karakter között.

Előnyök:

• Egyaránt tartalmaz konkrét szótárakat és szótárakat a leggyakoribb jelszavakkal - kiválaszthat egy adott szótárt saját igényei szerint;
• A szótárak frissülnek és új jelszavakkal bővülnek;
• A szótárak a hatékonyság szerint vannak rendezve. Kiválaszthatja a gyors online brute force és a jelszavak részletes kiválasztását egy terjedelmes szótárból a legújabb kiszivárogtatásokkal;
• Van egy számológép, amely megmutatja, mennyi időbe telik a jelszavak törléséhez a berendezésen.

Külön csoportba szeretnénk beépíteni a CMS-ellenőrzéshez szükséges eszközöket: WPScan, JoomScan és AEM hacker.

AEM_hacker

AEM hacker egy eszköz az Adobe Experience Manager (AEM) alkalmazások sebezhetőségeinek azonosítására.

Előnyök:

• Azonosítani tudja az AEM-alkalmazásokat a bemenetre benyújtott URL-ek listájából;
• Szkripteket tartalmaz az RCE megszerzéséhez JSP shell betöltésével vagy SSRF kihasználásával.

JoomScan

JoomScan — Perl-eszköz a sebezhetőségek észlelésének automatizálására a Joomla CMS telepítésekor.

Előnyök:

• Képes megtalálni a konfigurációs hibákat és az adminisztratív beállításokkal kapcsolatos problémákat;
• Felsorolja a Joomla verzióit és a kapcsolódó sebezhetőségeket, hasonlóan az egyes összetevőkhöz;
• Több mint 1000 exploitot tartalmaz a Joomla komponensekhez;
• Zárójelentések kiadása szöveges és HTML formátumban.

WPScan

WPScan - WordPress webhelyek szkennelésére szolgáló eszköz, arzenáljában mind a WordPress-motor, mind pedig egyes bővítmények esetében vannak biztonsági rések.

Előnyök:

• Képes nemcsak a nem biztonságos WordPress-bővítmények és témák felsorolására, hanem a felhasználók listájának és a TimThumb-fájlok megszerzésére is;
• Nyers erőszakos támadásokat hajthat végre a WordPress webhelyeken.

Hátrányok:

• A megfelelő beállítások hiányában hiányos ellenőrzéseket hajt végre, ami félrevezető lehet.

Általánosságban elmondható, hogy a különböző emberek más-más eszközöket részesítenek előnyben a munkához: mindegyik jó a maga módján, és ami az egyik embernek tetszik, lehet, hogy egyáltalán nem illik a másikhoz. Ha úgy gondolja, hogy méltánytalanul figyelmen kívül hagytunk egy jó segédprogramot, írjon róla a megjegyzésekben!

Forrás: will.com