🥇Web ツール、それともペンテスターとしてどこから始めればよいですか?

私たちは続けるペンテスター向けの便利なツールについて話します。新しい記事では、Web アプリケーションのセキュリティを分析するツールについて説明します。

私たちの同僚ビーラブ私はすでにこのようなことをしました選択 XNUMX年ほど前。どのツールがその地位を維持し強化しているのか、またどのツールが背景に消えてしまい、現在ではほとんど使用されていないのかを知るのは興味深いことです。

これには Burp Suite も含まれていますが、これとその便利なプラグインについては別の出版物があることに注意してください。

内容：

アマズ
代替DNS
アクアトーン
MassDNS
nsec3map
会社のAcunetix
ディレクトリ検索
うわー
ふふふ
ゴバスター
アルジュン
リンクファインダー
JSParser
sqlmap
NoSQLマップ
oxml_xxe
tplmap
CeWL
ウィークパス
AEM_ハッカー
ジョームスキャン
WPScan

アマズ

アマズ - DNS サブドメインを検索および列挙し、外部ネットワークをマッピングするための Go ツール。 Amass は、インターネット上の組織が部外者にどのように見えるかを示すことを目的とした OWASP プロジェクトです。 Amass はさまざまな方法でサブドメイン名を取得します。このツールでは、サブドメインの再帰的列挙とオープンソース検索の両方が使用されます。

相互接続されたネットワークセグメントと自律システム番号を検出するために、Amass は運用中に取得した IP アドレスを使用します。見つかったすべての情報は、ネットワークマップの構築に使用されます。

長所：

情報収集手法には次のようなものがあります。
* DNS - サブドメインの辞書検索、ブルートフォースサブドメイン、見つかったサブドメインに基づく突然変異を使用したスマート検索、リバース DNS クエリ、ゾーン転送リクエスト (AXFR) が可能な DNS サーバーの検索。

* オープンソース検索 - Ask、Baidu、Bing、CommonCrawl、DNSNDB、DNSDumpster、DNSTable、Dogpile、Exalead、FindSubdomains、Google、IPv4Info、Netcraft、PTRArchive、Ridddler、SiteDossier、ThreatCrowd、VirusTotal、Yahoo;

* TLS 証明書データベースを検索 - Censys、CertDB、CertSpotter、Crtsh、Entrust;

* 検索エンジン API の使用 - BinaryEdge、BufferOver、CIRCL、HackerTarget、PassiveTotal、Robtex、SecurityTrails、Shodan、Twitter、Umbrella、URLScan;

* インターネット Web アーカイブの検索: ArchiveIt、ArchiveToday、Arquivo、LoCArchive、OpenUKArchive、UKGovArchive、Wayback;
Maltego との統合。
DNS サブドメインを検索するタスクを最も完全にカバーします。

短所：

amass.netdomains には注意してください。amass.netdomains は、識別されたインフラストラクチャ内のすべての IP アドレスに接続し、DNS 逆引き検索と TLS 証明書からドメイン名を取得しようとします。これは「注目を集める」手法であり、捜査対象の組織における諜報活動を明らかにする可能性があります。
メモリ消費量が高く、さまざまな設定で最大 2 GB の RAM を消費する可能性があるため、安価な VDS 上のクラウドでこのツールを実行することはできません。

代替DNS

代替DNS — DNS サブドメインを列挙するための辞書をコンパイルするための Python ツール。突然変異と順列を使用してサブドメインのさまざまなバリアントを生成できます。このために、サブドメインでよく見られる単語 (例: test、dev、staging) が使用され、すべての突然変異と順列が既知のサブドメインに適用され、Altdns 入力に送信できます。出力は、存在できるサブドメインのバリエーションのリストであり、このリストは後で DNS ブルートフォースに使用できます。

長所：

大規模なデータセットでうまく機能します。

アクアトーン

アクアトーン - 以前はサブドメインを検索するための別のツールとしてよく知られていましたが、作成者自身がこれを放棄し、前述の Amass を使用しました。現在、aquatone は Go で書き直され、Web サイトの事前偵察をより重視しています。これを行うために、aquatone は指定されたドメインを通過し、さまざまなポートで Web サイトを検索し、その後サイトに関するすべての情報を収集し、スクリーンショットを撮ります。 Web サイトの迅速な事前偵察に便利で、その後、攻撃の優先ターゲットを選択できます。

長所：

出力により、他のツールをさらに使用するときに使用すると便利なファイルとフォルダーのグループが作成されます。
* 収集されたスクリーンショットと類似度別にグループ化された回答タイトルを含む HTML レポート。

* Web サイトが見つかったすべての URL を含むファイル。

* 統計とページデータを含むファイル;

* 見つかったターゲットからの応答ヘッダーを含むファイルが含まれるフォルダー。

* 見つかったターゲットからの応答の本文を含むファイルが含まれるフォルダー。

* 見つかった Web サイトのスクリーンショット;
Nmap および Masscan からの XML レポートの操作をサポートします。
ヘッドレス Chrome/Chromium を使用してスクリーンショットをレンダリングします。

短所：

侵入検知システムの注目を集める可能性があるため、設定が必要です。

このスクリーンショットは、DNS サブドメイン検索が実装されている aquatone の古いバージョン (v0.5.0) の XNUMX つで撮影されたものです。古いバージョンは次の場所にあります。リリースページ.

MassDNS

MassDNS は、DNS サブドメインを検索するためのもう XNUMX つのツールです。その主な違いは、多くの異なる DNS リゾルバーに対して DNS クエリを直接実行し、それをかなりの速度で実行することです。

長所：

高速 - 350 秒あたり XNUMX 万件以上の名前を解決できます。

短所：

MassDNS は、使用中の DNS リゾルバーに重大な負荷を引き起こす可能性があり、その結果、それらのサーバーの禁止や ISP への苦情につながる可能性があります。さらに、会社の DNS サーバーが存在し、解決しようとしているドメインを担当している場合は、会社に大きな負荷がかかります。
リゾルバーのリストは現在古いものですが、壊れた DNS リゾルバーを選択し、新しい既知のリゾルバーを追加すれば、すべて問題なく動作します。

アクアトーン v0.5.0 のスクリーンショット

nsec3map

nsec3map は、DNSSEC で保護されたドメインの完全なリストを取得するための Python ツールです。

長所：

DNSSEC サポートがゾーンで有効になっている場合、最小限のクエリで DNS ゾーン内のホストを迅速に検出します。
生成された NSEC3 ハッシュを解読するために使用できる John the Ripper のプラグインが含まれています。

短所：

多くの DNS エラーは正しく処理されません。
NSEC レコードの処理には自動並列化はありません。名前空間を手動で分割する必要があります。
メモリ消費量が多い。

会社のAcunetix

会社のAcunetix — Web アプリケーションのセキュリティをチェックするプロセスを自動化する Web 脆弱性スキャナー。 SQL インジェクション、XSS、XXE、SSRF、その他多くの Web 脆弱性についてアプリケーションをテストします。ただし、他のスキャナーと同様に、さまざまな Web 脆弱性はペンテスターの代わりにはなりません。これは、複雑な脆弱性の連鎖やロジックの脆弱性を検出できないためです。ただし、ペンテスターが忘れている可能性のあるさまざまな CVE を含む、さまざまな脆弱性を多数カバーしているため、日常的なチェックから解放されるのに非常に便利です。

長所：

低レベルの誤検知。
結果はレポートとしてエクスポートできます。
さまざまな脆弱性について多数のチェックを実行します。
複数のホストの並行スキャン。

短所：

重複排除アルゴリズムはありません (Acunetix は、異なる URL に誘導されるため、機能が同一のページを異なるものとみなします) が、開発者は取り組んでいます。
別の Web サーバーにインストールする必要があるため、VPN 接続を使用してクライアントシステムをテストしたり、ローカルクライアントネットワークの分離されたセグメントでスキャナを使用したりすることが複雑になります。
研究中のサービスは、たとえば、サイト上の問い合わせフォームに多すぎる攻撃ベクトルを送信することでノイズを発生させ、それによってビジネスプロセスを大幅に複雑にする可能性があります。
これは独自のソリューションであり、したがって無料のソリューションではありません。

ディレクトリ検索

ディレクトリ検索 — Web サイト上のディレクトリとファイルをブルートフォース攻撃するための Python ツール。

長所：

実際の「200 OK」ページと「200 OK」ページを区別できますが、「ページが見つかりません」というテキストが表示されます。
サイズと検索効率のバランスに優れた便利な辞典を付属。多くの CMS およびテクノロジースタックに共通の標準パスが含まれています。
独自の辞書形式により、ファイルとディレクトリの列挙において優れた効率と柔軟性を実現できます。
便利な出力 - プレーンテキスト、JSON。
スロットリング (リクエスト間の一時停止) を行うことができます。これは弱いサービスにとって不可欠です。

短所：

拡張子は文字列として渡す必要がありますが、一度に多くの拡張子を渡す必要がある場合には不便です。
辞書を使用するには、効率を最大限に高めるために、辞書を Dirsearch 辞書形式に少し変更する必要があります。

うわー

うわー - Python Web アプリケーションファザー。おそらく最も有名な Web フェイザーの XNUMX つです。原理は単純です。wfuzz を使用すると、HTTP リクエスト内の任意の場所をフェーズ化できるため、GET/POST パラメーター、HTTP ヘッダー (Cookie およびその他の認証ヘッダーを含む) をフェーズ化できるようになります。同時に、優れた辞書が必要なディレクトリやファイルの単純な総当たり攻撃にも便利です。また、柔軟なフィルターシステムも備えており、さまざまなパラメーターに従って Web サイトからの応答をフィルターできるため、効果的な結果を得ることができます。

長所：

多機能 - モジュール構造、組み立てには数分かかります。
便利なフィルタリングおよびファジングメカニズム。
HTTP リクエスト内の任意の場所だけでなく、任意の HTTP メソッドを段階的に実行できます。

短所：

開発中で。

ふふふ

ふふふ — wfuzz の「イメージと類似性」で作成された Go の Web ファザーを使用すると、ファイル、ディレクトリ、URL パス、GET/POST パラメーターの名前と値、HTTP ヘッダー (総当たり攻撃用のホストヘッダーを含む) を実行できます。仮想ホストの数。 wfuzz は、より高速で、Dirsearch 形式の辞書をサポートするなど、いくつかの新機能が兄弟とは異なります。

長所：

フィルターは wfuzz フィルターに似ており、ブルートフォースを柔軟に設定できます。
HTTP ヘッダー値、POST リクエストデータ、および GET パラメーターの名前と値を含む URL のさまざまな部分をファジングできます。
任意の HTTP メソッドを指定できます。

短所：

開発中で。

ゴバスター

ゴバスター — 偵察用の Go ツールで、XNUMX つの操作モードがあります。 XNUMX つ目は Web サイト上のファイルとディレクトリをブルートフォースするために使用され、XNUMX つ目は DNS サブドメインをブルートフォースするために使用されます。このツールは当初、ファイルとディレクトリの再帰的列挙をサポートしていません。これにより、もちろん時間を節約できますが、その一方で、Web サイト上の各新しいエンドポイントを個別に起動する必要があります。

長所：

DNS サブドメインのブルートフォース検索とファイルやディレクトリのブルートフォース検索の両方で高速な操作が可能です。

短所：

現在のバージョンでは、HTTP ヘッダーの設定はサポートされていません。
デフォルトでは、HTTP ステータスコードの一部 (200,204,301,302,307、XNUMX、XNUMX、XNUMX、XNUMX) のみが有効とみなされます。

アルジュン

アルジュン - GET/POST パラメータおよび JSON 内の非表示の HTTP パラメータを総当たりで攻撃するためのツール。内蔵辞書には 25 語が収録されており、アジュルンはほぼ 980 秒でチェックします。コツは、Ajrun が各パラメーターを個別にチェックするのではなく、一度に最大 30 個のパラメーターをチェックして、答えが変更されたかどうかを確認することです。答えが変わった場合、この 1000 個のパラメータを 1000 つの部分に分割し、どちらの部分が答えに影響を与えるかをチェックします。したがって、単純な二分探索を使用すると、答えに影響を及ぼし、したがって存在する可能性があるパラメーターまたは複数の隠れたパラメーターが見つかります。

長所：

二分探索による高速性。
GET/POST パラメータと JSON 形式のパラメータのサポート。

Burp Suite のプラグインも同様の原理で動作します - パラメータマイナー、これは隠された HTTP パラメータを見つけるのにも非常に優れています。これについては、Burp とそのプラグインに関する今後の記事で詳しく説明します。

リンクファインダー

リンクファインダー — JavaScript ファイル内のリンクを検索するための Python スクリプト。 Web アプリケーションで隠された、または忘れられたエンドポイント/URL を見つけるのに役立ちます。

長所：

速い;
LinkFinder をベースにした Chrome 用の特別なプラグインがあります。

短所：

不都合な最終結論。
時間をかけて JavaScript を分析しません。
リンクを検索するための非常に単純なロジックです。JavaScript が何らかの理由で難読化されている場合、またはリンクが最初に欠落していて動的に生成された場合、何も見つけることができません。

JSParser

JSParser を使用する Python スクリプトです竜巻 и JS美容師 JavaScript ファイルから相対 URL を解析します。 AJAX リクエストを検出し、アプリケーションが対話する API メソッドのリストをコンパイルするのに非常に役立ちます。 LinkFinderと連携すると効果的に機能します。

長所：

JavaScript ファイルの高速解析。

sqlmap

sqlmap おそらく、Web アプリケーションを分析するための最も有名なツールの XNUMX つです。 Sqlmap は SQL インジェクションの検索と操作を自動化し、いくつかの SQL 言語で動作し、直接引用符から時間ベースの SQL インジェクション用の複雑なベクトルに至るまで、膨大な数のさまざまなテクニックを武器に備えています。さらに、さまざまな DBMS をさらに活用するための多くのテクニックを備えているため、SQL インジェクションのスキャナーとしてだけでなく、すでに見つかった SQL インジェクションを活用するための強力なツールとしても役立ちます。

長所：

多数の異なる技術とベクトル。
誤検知の数が少ない。
多くの微調整オプション、さまざまなテクニック、ターゲットデータベース、WAF をバイパスするための改ざんスクリプト。
出力ダンプを作成する機能。
たとえば、一部のデータベースでは、ファイルの自動ロード/アンロード、コマンド実行機能 (RCE) などのさまざまな操作機能が提供されます。
攻撃中に取得されたデータを使用したデータベースへの直接接続のサポート。
Burp の結果を入力としてテキストファイルとして送信できます。すべてのコマンドライン属性を手動で作成する必要はありません。

短所：

これに関するドキュメントが不足しているため、カスタマイズすること、たとえば独自の小切手を作成することは困難です。
適切な設定がないと、不完全なチェックセットが実行されるため、誤解を招く可能性があります。

NoSQLマップ

NoSQLマップ — NoSQL インジェクションの検索と悪用を自動化するための Python ツール。 NoSQL データベースだけでなく、NoSQL を使用する Web アプリケーションを監査するときにも直接使用すると便利です。

長所：

sqlmap と同様に、潜在的な脆弱性を見つけるだけでなく、MongoDB や CouchDB に対する悪用の可能性もチェックします。

短所：

Redis、Cassandra の NoSQL はサポートされていません。この方向で開発が進行中です。

oxml_xxe

oxml_xxe — 何らかの形式で XML 形式を使用するさまざまなタイプのファイルに XXE XML エクスプロイトを埋め込むためのツール。

長所：

DOCX、ODT、SVG、XML などの多くの一般的な形式をサポートします。

短所：

PDF、JPEG、GIF のサポートは完全には実装されていません。
ファイルを XNUMX つだけ作成します。この問題を解決するには、次のツールを使用できますドセム、さまざまな場所に多数のペイロードファイルが作成される可能性があります。

上記のユーティリティは、XML を含むドキュメントをロードするときに XXE をテストするのに優れた仕事をします。ただし、XML 形式ハンドラーは他の多くの場合にも使用できることにも注意してください。たとえば、JSON の代わりに XML をデータ形式として使用できます。

したがって、多数の異なるペイロードが含まれる次のリポジトリに注意することをお勧めします。ペイロードすべてのこと.

tplmap

tplmap - サーバーサイドテンプレートインジェクションの脆弱性を自動的に特定して悪用するための Python ツールで、sqlmap に似た設定とフラグがあります。ブラインドインジェクションを含むいくつかの異なる技術とベクトルを使用し、コードを実行したり、任意のファイルをロード/アップロードするための技術も備えています。さらに、彼は十数の異なるテンプレートエンジンのテクニックと、Python、Ruby、PHP、JavaScript での eval() のようなコードインジェクションを検索するためのいくつかのテクニックを武器にしています。成功すると、対話型コンソールが開きます。

長所：

多数の異なる技術とベクトル。
多くのテンプレートレンダリングエンジンをサポートします。
操作テクニックも豊富。

CeWL

CeWL - Ruby の辞書ジェネレーターは、指定された Web サイトから一意の単語を抽出するために作成され、サイト上のリンクを指定された深さまでたどります。コンパイルされた一意の単語の辞書は、後でサービスのパスワードを総当たり攻撃したり、同じ Web サイト上のファイルやディレクトリを総当たり攻撃したり、hashcat や John the Ripper を使用して結果のハッシュを攻撃したりするために使用できます。潜在的なパスワードの「ターゲット」リストを作成するときに役立ちます。

長所：

使いやすい。

短所：

余分なドメインを取得しないように、検索の深さに注意する必要があります。

ウィークパス

ウィークパス - 固有のパスワードを持つ多数の辞書が含まれるサービス。対象サービス上のアカウントの単純なオンライン総当たり攻撃から、受信したハッシュのオフライン総当たり攻撃まで、パスワードクラッキングに関連するさまざまなタスクに非常に役立ちます。ハッシュキャットまたは John The Ripper。これには、長さ 8 ～ 4 文字のパスワードが約 25 億個含まれています。

長所：

特定の辞書と最も一般的なパスワードを含む辞書の両方が含まれています。独自のニーズに合わせて特定の辞書を選択できます。
辞書は更新され、新しいパスワードが補充されます。
辞書は効率順に並べられています。オンラインでの素早い総当り攻撃と、最新のリークを含む膨大な辞書からのパスワードの詳細な選択の両方のオプションを選択できます。
機器のパスワードをブルート攻撃するのにかかる時間を示す計算ツールがあります。

CMS チェック用のツールを別のグループに含めたいと考えています: WPScan、JoomScan、AEM hacker。

AEM_ハッカー

AEM ハッカーは、Adobe Experience Manager (AEM) アプリケーションの脆弱性を特定するためのツールです。

長所：

入力に送信された URL のリストから AEM アプリケーションを識別できます。
JSP シェルをロードするか SSRF を利用して RCE を取得するためのスクリプトが含まれています。

ジョームスキャン

ジョームスキャン — Joomla CMS の導入時に脆弱性の検出を自動化するための Perl ツール。

長所：

構成上の欠陥や管理設定の問題を見つけることができます。
Joomla のバージョンと関連する脆弱性を、同様に個々のコンポーネントについてリストします。
Joomla コンポーネントの 1000 を超えるエクスプロイトが含まれています。
最終レポートをテキストおよび HTML 形式で出力します。

WPScan

WPScan - WordPress サイトをスキャンするツールですが、WordPress エンジン自体と一部のプラグインの両方に脆弱性があります。

長所：

安全でない WordPress プラグインとテーマをリストするだけでなく、ユーザーと TimThumb ファイルのリストを取得することもできます。
WordPress サイトに対してブルートフォース攻撃を実行できる。

短所：

適切な設定がないと、不完全なチェックセットが実行されるため、誤解を招く可能性があります。

一般に、作業に使用するツールは人によって異なります。それらはそれぞれ独自の方法で優れており、ある人が好むものが別の人にはまったく合わない可能性があります。私たちがいくつかの優れたユーティリティを不当に無視していると思われる場合は、コメントにそれについて書いてください。

出所： habr.com

Web ツール、それともペンテスターとしてどこから始めればよいでしょうか?

内容：

アマズ

長所：

短所：