Tīmekļa rīki vai kur vajadzētu sākt pentesteram?

Mēs turpinām runāt par noderīgiem rīkiem pentesteriem. Jaunajā rakstā aplūkosim rīkus tīmekļa lietojumprogrammu drošības analīzei.

Mūsu kolēģis BeLove Es jau kaut ko tādu esmu darījis kompilācija apmēram pirms septiņiem gadiem. Interesanti ir redzēt, kuri instrumenti ir saglabājuši un nostiprinājuši savas pozīcijas, un kuri ir pazuduši otrajā plānā un tagad tiek izmantoti reti.


Ņemiet vērā, ka tas ietver arī Burp Suite, taču par to un tā noderīgajiem spraudņiem būs atsevišķa publikācija.

Saturs:

• Amass
• Altdns
• akvatons
• MassDNS
• nsec3map
• Acunetix
• Dirsearch
• wfuzz
• ffuf
• gobuster
• Arjun
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Vājā caurlaide
• AEM_hacker
• JoomScan
• WPScan

Amass

Amass - Go rīks DNS apakšdomēnu meklēšanai un uzskaitīšanai un ārējā tīkla kartēšanai. Amass ir OWASP projekts, kas paredzēts, lai parādītu, kā organizācijas internetā izskatās nepiederošajam. Amass iegūst apakšdomēnu nosaukumus dažādos veidos; rīks izmanto gan rekursīvu apakšdomēnu uzskaiti, gan atvērtā koda meklēšanu.

Lai atklātu savstarpēji savienotus tīkla segmentus un autonomo sistēmu numurus, Amass izmanto darbības laikā iegūtās IP adreses. Visa atrastā informācija tiek izmantota, lai izveidotu tīkla karti.

Plusi:

• Informācijas vākšanas metodes ietver:
  * DNS - apakšdomēnu meklēšana vārdnīcā, bruteforce apakšdomēni, viedā meklēšana, izmantojot mutācijas, pamatojoties uz atrastajiem apakšdomēniem, reversie DNS vaicājumi un DNS serveru meklēšana, kur iespējams veikt zonas pārsūtīšanas pieprasījumu (AXFR);

  * Atvērtā koda meklēšana - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Meklēt TLS sertifikātu datubāzēs - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Izmantojot meklētājprogrammas API - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Meklēt interneta tīmekļa arhīvos: ArchiveIt, ArchiveToday, Arquivo, LoCARchive, OpenUKArchive, UKGovArchive, Wayback;

• Integrācija ar Maltego;
• Nodrošina vispilnīgāko DNS apakšdomēnu meklēšanas uzdevumu pārklājumu.

Mīnusi:

• Esiet piesardzīgs ar amass.netdomains — tas mēģinās sazināties ar katru IP adresi identificētajā infrastruktūrā un iegūt domēna nosaukumus no reversās DNS uzmeklēšanas un TLS sertifikātiem. Tas ir "augsta profila" paņēmiens, tas var atklāt jūsu izlūkošanas darbības izmeklējamā organizācijā.
• Liels atmiņas patēriņš, var patērēt līdz 2 GB RAM dažādos iestatījumos, kas neļaus darbināt šo rīku mākonī uz lētas VDS.

Altdns

Altdns — Python rīks vārdnīcu apkopošanai DNS apakšdomēnu uzskaitīšanai. Ļauj ģenerēt daudzus apakšdomēnu variantus, izmantojot mutācijas un permutācijas. Šim nolūkam tiek izmantoti vārdi, kas bieži sastopami apakšdomēnos (piemēram: tests, dev, staging), visas mutācijas un permutācijas tiek piemērotas jau zināmiem apakšdomēniem, kurus var iesniegt Altdns ievadē. Izvade ir saraksts ar apakšdomēnu variantiem, kas var pastāvēt, un šo sarakstu vēlāk var izmantot DNS brutālam spēkam.

Plusi:

• Labi darbojas ar lielām datu kopām.

akvatons

akvatons - agrāk bija vairāk pazīstams kā vēl viens apakšdomēnu meklēšanas rīks, taču pats autors no tā atteicās par labu iepriekš minētajam Amass. Tagad aquatone ir pārrakstīts Go un ir vairāk vērsts uz iepriekšēju iepazīšanos vietnēs. Lai to izdarītu, aquatone iet cauri norādītajiem domēniem un meklē vietnes dažādos portos, pēc tam apkopo visu informāciju par vietni un uzņem ekrānuzņēmumu. Ērts ātrai vietņu iepriekšējai izpētei, pēc kuras varat izvēlēties prioritāros uzbrukumu mērķus.

Plusi:

• Izvade izveido failu un mapju grupu, kas ir ērti lietojama, turpmāk strādājot ar citiem rīkiem:
  * HTML atskaite ar savāktajiem ekrānuzņēmumiem un atbilžu nosaukumiem, kas sagrupēti pēc līdzības;

  * Fails ar visiem URL, kur tika atrastas vietnes;

  * Fails ar statistiku un lapas datiem;

  * Mape ar failiem, kas satur atbildes galvenes no atrastajiem mērķiem;

  * Mape ar failiem, kas satur atrasto mērķu atbildes pamattekstu;

  * Atrasto vietņu ekrānšāviņi;

• Atbalsta darbu ar XML ziņojumiem no Nmap un Masscan;
• Ekrānuzņēmumu renderēšanai izmanto pārlūku Chrome/Chromium bez galvas.

Mīnusi:

• Tas var piesaistīt ielaušanās atklāšanas sistēmu uzmanību, tāpēc tam ir nepieciešama konfigurācija.

Ekrānuzņēmums tika uzņemts vienai no vecajām aquatone versijām (v0.5.0), kurā tika ieviesta DNS apakšdomēna meklēšana. Vecākās versijas var atrast vietnē izlaidumu lapa.

MassDNS

MassDNS ir vēl viens rīks DNS apakšdomēnu atrašanai. Tās galvenā atšķirība ir tā, ka tas veic DNS vaicājumus tieši daudziem dažādiem DNS risinātājiem un dara to ievērojamā ātrumā.

Plusi:

• Ātri - spēj atrisināt vairāk nekā 350 tūkstošus vārdu sekundē.

Mīnusi:

• MassDNS var radīt ievērojamu slodzi izmantotajiem DNS risinātājiem, kas var izraisīt aizliegumus šiem serveriem vai sūdzību saņemšanu jūsu interneta pakalpojumu sniedzējam. Turklāt tas radīs lielu slodzi uz uzņēmuma DNS serveriem, ja tiem tādi ir un ja tie ir atbildīgi par domēniem, kurus mēģināt atrisināt.
• Atrisinātāju saraksts šobrīd ir novecojis, taču, ja atlasīsit bojātos DNS risinātājus un pievienosiet jaunus zināmos, viss būs kārtībā.

Aquatone v0.5.0 ekrānuzņēmums

nsec3map

nsec3map ir Python rīks, lai iegūtu pilnīgu DNSSEC aizsargāto domēnu sarakstu.

Plusi:

• Ātri atklāj saimniekdatorus DNS zonās ar minimālu vaicājumu skaitu, ja zonā ir iespējots DNSSEC atbalsts;
• Ietver John the Ripper spraudni, ko var izmantot, lai uzlauztu iegūtās NSEC3 jaucējkodas.

Mīnusi:

• Daudzas DNS kļūdas netiek apstrādātas pareizi;
• Nav automātiskas NSEC ierakstu apstrādes paralēlizācijas - jums ir manuāli jāsadala nosaukumu telpa;
• Liels atmiņas patēriņš.

Acunetix

Acunetix — tīmekļa ievainojamības skeneris, kas automatizē tīmekļa lietojumprogrammu drošības pārbaudes procesu. Pārbauda lietojumprogrammu SQL injekcijām, XSS, XXE, SSRF un daudzām citām tīmekļa ievainojamībām. Tomēr, tāpat kā jebkurš cits skeneris, dažādas tīmekļa ievainojamības neaizstāj pentester, jo tas nevar atrast sarežģītas ievainojamību ķēdes vai loģikas ievainojamības. Bet tas aptver daudz dažādu ievainojamību, tostarp dažādas CVE, par kurām pentester varētu būt aizmirsis, tāpēc tas ir ļoti ērti, lai atbrīvotu jūs no ikdienas pārbaudēm.

Plusi:

• Zems viltus pozitīvu rezultātu līmenis;
• Rezultātus var eksportēt kā atskaites;
• Veic lielu skaitu dažādu ievainojamību pārbaužu;
• Vairāku saimniekdatoru paralēla skenēšana.

Mīnusi:

• Nav deduplicēšanas algoritma (Acunetix uzskatīs, ka lapas, kuru funkcionalitāte ir identiska, ir atšķirīgas, jo tās ved uz dažādiem URL), taču izstrādātāji pie tā strādā;
• Nepieciešama instalēšana uz atsevišķa tīmekļa servera, kas sarežģī klientu sistēmu testēšanu ar VPN savienojumu un skenera izmantošanu izolētā lokālā klientu tīkla segmentā;
• Pētāmais pakalpojums var radīt troksni, piemēram, nosūtot pārāk daudz uzbrukuma vektoru uz vietnes saziņas veidlapu, tādējādi ievērojami sarežģījot biznesa procesus;
• Tas ir patentēts un attiecīgi ne bezmaksas risinājums.

Dirsearch

Dirsearch — Python rīks direktoriju un failu brutālai piespiešanai vietnēs.

Plusi:

• Prot atšķirt īstas “200 OK” lapas no “200 OK” lapām, bet ar tekstu “lapa nav atrasta”;
• Komplektā ir ērta vārdnīca, kurā ir labs līdzsvars starp lielumu un meklēšanas efektivitāti. Satur standarta ceļus, kas kopīgi daudziem CMS un tehnoloģiju skursteņiem;
• Savs vārdnīcas formāts, kas ļauj sasniegt labu efektivitāti un elastību failu un direktoriju uzskaitēšanā;
• Ērta izvade - vienkāršs teksts, JSON;
• Tas var veikt droselēšanu — pauzi starp pieprasījumiem, kas ir ļoti svarīgi jebkuram vājam pakalpojumam.

Mīnusi:

• Paplašinājumi ir jānodod kā virkne, kas ir neērti, ja nepieciešams nodot vairākus paplašinājumus vienlaikus;
• Lai izmantotu vārdnīcu, tā būs nedaudz jāmaina uz Dirsearch vārdnīcas formātu, lai nodrošinātu maksimālu efektivitāti.

wfuzz

wfuzz - Python tīmekļa lietojumprogrammu fuzer. Iespējams, viens no slavenākajiem tīmekļa fāzētājiem. Princips ir vienkāršs: wfuzz ļauj fāzēt jebkuru vietu HTTP pieprasījumā, kas ļauj fāzēt GET/POST parametrus, HTTP galvenes, tostarp sīkfailu un citas autentifikācijas galvenes. Tajā pašā laikā tas ir ērts arī vienkāršam direktoriju un failu brutālam spēkam, kuram nepieciešama laba vārdnīca. Tam ir arī elastīga filtru sistēma, ar kuras palīdzību var filtrēt atbildes no vietnes pēc dažādiem parametriem, kas ļauj sasniegt efektīvus rezultātus.

Plusi:

• Daudzfunkcionāls - modulāra struktūra, montāža aizņem dažas minūtes;
• Ērts filtrēšanas un izplūdes mehānisms;
• Varat fāzēt jebkuru HTTP metodi, kā arī jebkuru vietu HTTP pieprasījumā.

Mīnusi:

• Izstrādes stadijā.

ffuf

ffuf — tīmekļa fuzeris programmā Go, kas izveidots, izmantojot wfuzz “attēlu un līdzību”, ļauj izveidot brutālus failus, direktorijus, URL ceļus, GET/POST parametru nosaukumus un vērtības, HTTP galvenes, tostarp Host galveni brutālam spēkam. virtuālo saimniekdatoru. wfuzz no sava brāļa atšķiras ar lielāku ātrumu un dažām jaunām funkcijām, piemēram, tas atbalsta Dirsearch formāta vārdnīcas.

Plusi:

• Filtri ir līdzīgi wfuzz filtriem, tie ļauj elastīgi konfigurēt brutālo spēku;
• Ļauj izjaukt HTTP galvenes vērtības, POST pieprasījuma datus un dažādas URL daļas, tostarp GET parametru nosaukumus un vērtības;
• Varat norādīt jebkuru HTTP metodi.

Mīnusi:

• Izstrādes stadijā.

gobuster

gobuster — Go instruments izlūkošanai, ir divi darbības režīmi. Pirmais tiek izmantots, lai rupji piespiestu failus un direktorijus vietnē, bet otrais tiek izmantots DNS apakšdomēnu rupjai piespiešanai. Rīks sākotnēji neatbalsta rekursīvu failu un direktoriju uzskaitīšanu, kas, protams, ietaupa laiku, taču, no otras puses, katra jauna vietnes galapunkta brutālais spēks ir jāpalaiž atsevišķi.

Plusi:

• Liels darbības ātrums gan DNS apakšdomēnu rupjai meklēšanai, gan failu un direktoriju brutālai meklēšanai.

Mīnusi:

• Pašreizējā versija neatbalsta HTTP galveņu iestatīšanu;
• Pēc noklusējuma tikai daži HTTP statusa kodi (200,204,301,302,307) tiek uzskatīti par derīgiem.

Arjun

Arjun - rīks slēpto HTTP parametru brutālai izmantošanai GET/POST parametros, kā arī JSON. Iebūvētajā vārdnīcā ir 25 980 vārdu, kurus Ajrun pārbauda gandrīz 30 sekundēs. Viltība ir tāda, ka Ajrun nepārbauda katru parametru atsevišķi, bet pārbauda ~1000 parametrus vienlaikus un skatās, vai atbilde ir mainījusies. Ja atbilde ir mainījusies, tā sadala šos 1000 parametrus divās daļās un pārbauda, ​​kura no šīm daļām ietekmē atbildi. Tādējādi, izmantojot vienkāršu bināro meklēšanu, tiek atrasts parametrs vai vairāki slēpti parametri, kas ietekmēja atbildi un līdz ar to var pastāvēt.

Plusi:

• Liels ātrums binārās meklēšanas dēļ;
• Atbalsts GET/POST parametriem, kā arī parametriem JSON formātā;

Burp Suite spraudnis darbojas pēc līdzīga principa - param-miner, kas arī ļoti labi palīdz atrast slēptos HTTP parametrus. Vairāk par to pastāstīsim gaidāmajā rakstā par Burp un tā spraudņiem.

LinkFinder

LinkFinder — Python skripts saišu meklēšanai JavaScript failos. Noder, lai tīmekļa lietojumprogrammā atrastu slēptos vai aizmirstos galapunktus/URL.

Plusi:

• Ātri;
• Pārlūkam Chrome ir īpašs spraudnis, kura pamatā ir LinkFinder.

.

Mīnusi:

• Neērts gala secinājums;
• Laika gaitā neanalizē JavaScript;
• Diezgan vienkārša saišu meklēšanas loģika - ja JavaScript ir kaut kā apmulsināts, vai arī saites sākotnēji trūkst un tiek ģenerētas dinamiski, tad tas neko nevarēs atrast.

JSParser

JSParser ir Python skripts, kas izmanto viesuļvētra и JSBeautifier lai parsētu relatīvos URL no JavaScript failiem. Ļoti noderīga, lai noteiktu AJAX pieprasījumus un izveidotu API metožu sarakstu, ar kurām lietojumprogramma mijiedarbojas. Efektīvi darbojas kopā ar LinkFinder.

Plusi:

• Ātra JavaScript failu parsēšana.

sqlmap

sqlmap iespējams, ir viens no slavenākajiem tīmekļa lietojumprogrammu analīzes rīkiem. Sqlmap automatizē SQL injekciju meklēšanu un darbību, strādā ar vairākiem SQL dialektiem, un tā arsenālā ir milzīgs skaits dažādu paņēmienu, sākot no taisnām pēdiņām līdz sarežģītiem vektoriem laika bāzētām SQL injekcijām. Turklāt tajā ir daudz paņēmienu dažādu DBVS turpmākai izmantošanai, tāpēc tas ir noderīgs ne tikai kā skeneris SQL injekcijām, bet arī kā spēcīgs instruments jau atrastu SQL injekciju izmantošanai.

Plusi:

• Liels skaits dažādu paņēmienu un vektoru;
• Zems viltus pozitīvu rezultātu skaits;
• Daudzas precizēšanas iespējas, dažādas tehnikas, mērķa datu bāze, manipulācijas skripti WAF apiešanai;
• Spēja izveidot produkcijas izgāztuvi;
• Daudz dažādas darbības iespējas, piemēram, dažām datu bāzēm - automātiska failu ielāde/izkraušana, komandu izpildes iespēju iegūšana (RCE) un citas;
• Atbalsts tiešam savienojumam ar datu bāzi, izmantojot uzbrukuma laikā iegūtos datus;
• Kā ievadi varat iesniegt teksta failu ar Burp rezultātiem — nav nepieciešams manuāli izveidot visus komandrindas atribūtus.

Mīnusi:

• Ir grūti pielāgot, piemēram, rakstīt dažus savus čekus, jo tam ir ierobežota dokumentācija;
• Bez atbilstošiem iestatījumiem tas veic nepilnīgu pārbaužu komplektu, kas var būt maldinošs.

NoSQLMap

NoSQLMap — Python rīks NoSQL injekciju meklēšanas un izmantošanas automatizēšanai. Tas ir ērti lietojams ne tikai NoSQL datu bāzēs, bet arī tieši, auditējot tīmekļa lietojumprogrammas, kas izmanto NoSQL.

Plusi:

• Tāpat kā sqlmap, tas ne tikai atrod potenciālu ievainojamību, bet arī pārbauda tās izmantošanas iespēju MongoDB un CouchDB.

Mīnusi:

• Neatbalsta NoSQL Redis, Cassandra, attīstība notiek šajā virzienā.

oxml_xxe

oxml_xxe — rīks XXE XML izmantošanas iegulšanai dažāda veida failos, kas kaut kādā veidā izmanto XML formātu.

Plusi:

• Atbalsta daudzus izplatītus formātus, piemēram, DOCX, ODT, SVG, XML.

Mīnusi:

• PDF, JPEG, GIF atbalsts nav pilnībā ieviests;
• Izveido tikai vienu failu. Lai atrisinātu šo problēmu, varat izmantot rīku docem, kas var izveidot lielu skaitu derīgās slodzes failu dažādās vietās.

Iepriekš minētās utilītas veic lielisku darbu, pārbaudot XXE, ielādējot dokumentus, kas satur XML. Bet arī atcerieties, ka XML formāta apstrādātājus var atrast daudzos citos gadījumos, piemēram, XML var izmantot kā datu formātu, nevis JSON.

Tāpēc mēs iesakām pievērst uzmanību šādai repozitorijai, kurā ir liels skaits dažādu lietderīgo kravu: PayloadsAllTheThings.

tplmap

tplmap - Python rīks servera puses veidņu ievadīšanas ievainojamību automātiskai identificēšanai un izmantošanai; tam ir iestatījumi un karodziņi, kas līdzīgi sqlmap. Izmanto vairākas dažādas metodes un vektorus, tostarp aklo injekciju, kā arī ir paņēmieni koda izpildei un patvaļīgu failu ielādei/augšupielādēšanai. Turklāt viņa arsenālā ir paņēmieni duci dažādu veidņu dzinēju un daži paņēmieni eval() līdzīgu koda ievadīšanai Python, Ruby, PHP, JavaScript. Ja tas izdodas, tiek atvērta interaktīva konsole.

Plusi:

• Liels skaits dažādu paņēmienu un vektoru;
• Atbalsta daudzus veidņu renderēšanas dzinējus;
• Daudz darbības paņēmienu.

CeWL

CeWL - Ruby vārdnīcas ģenerators, kas izveidots, lai no noteiktas vietnes iegūtu unikālus vārdus, seko vietnes saitēm noteiktā dziļumā. Sastādīto unikālo vārdu vārdnīcu vēlāk var izmantot, lai rupji piespiestu paroles pakalpojumiem vai brutālā spēka failiem un direktorijiem tajā pašā vietnē, vai uzbruktu iegūtajām jaukšanām, izmantojot hashcat vai John the Ripper. Noderīgi, veidojot potenciālo paroļu “mērķa” sarakstu.

Plusi:

• Viegli izmantot.

Mīnusi:

• Jums jābūt uzmanīgiem ar meklēšanas dziļumu, lai neuzņemtu papildu domēnu.

Vājā caurlaide

Vājā caurlaide - pakalpojums, kas satur daudzas vārdnīcas ar unikālām parolēm. Īpaši noderīgs dažādiem uzdevumiem, kas saistīti ar paroļu uzlaušanu, sākot no vienkāršas tiešsaistes kontu brutāla spēka mērķa pakalpojumos līdz bezsaistes brutālam saņemto jaucējvārdu spēkam, izmantojot hashcat vai John The Ripper. Tajā ir aptuveni 8 miljardi paroļu, kuru garums ir no 4 līdz 25 rakstzīmēm.

Plusi:

• Satur gan konkrētas vārdnīcas, gan vārdnīcas ar izplatītākajām parolēm – Jūs varat izvēlēties konkrētu vārdnīcu savām vajadzībām;
• Vārdnīcas tiek atjauninātas un papildinātas ar jaunām parolēm;
• Vārdnīcas ir sakārtotas pēc efektivitātes. Varat izvēlēties gan ātru tiešsaistes brutālu spēku, gan detalizētu paroļu atlasi no apjomīgas vārdnīcas ar jaunākajām informācijas noplūdēm;
• Ir kalkulators, kas parāda laiku, kas nepieciešams jūsu aprīkojuma paroļu atšifrēšanai.

Mēs vēlētos iekļaut CMS pārbaužu rīkus atsevišķā grupā: WPScan, JoomScan un AEM hacker.

AEM_hacker

AEM hakeris ir rīks Adobe Experience Manager (AEM) lietojumprogrammu ievainojamību identificēšanai.

Plusi:

• Var identificēt AEM lietojumprogrammas no vietrāžu URL saraksta, kas iesniegts tās ievadei;
• Satur skriptus RCE iegūšanai, ielādējot JSP apvalku vai izmantojot SSRF.

JoomScan

JoomScan — Perl rīks, lai automatizētu ievainojamību noteikšanu, izvietojot Joomla CMS.

Plusi:

• Spēj atrast konfigurācijas trūkumus un problēmas ar administratīvajiem iestatījumiem;
• Uzskaita Joomla versijas un saistītās ievainojamības līdzīgi atsevišķiem komponentiem;
• Satur vairāk nekā 1000 Joomla komponentu izmantošanu;
• Gala atskaišu izvade teksta un HTML formātos.

WPScan

WPScan - rīks WordPress vietņu skenēšanai, tā arsenālā ir ievainojamības gan pašam WordPress dzinējam, gan dažiem spraudņiem.

Plusi:

• Spēj uzskaitīt ne tikai nedrošos WordPress spraudņus un motīvus, bet arī iegūt lietotāju sarakstu un TimThumb failus;
• Var veikt brutāla spēka uzbrukumus WordPress vietnēm.

Mīnusi:

• Bez atbilstošiem iestatījumiem tas veic nepilnīgu pārbaužu komplektu, kas var būt maldinošs.

Kopumā dažādi cilvēki darbam dod priekšroku dažādiem instrumentiem: tie visi ir savā veidā labi, un tas, kas patīk vienam, citam var nemaz nederēt. Ja uzskatāt, ka kādu labu lietderību esam netaisnīgi ignorējuši, rakstiet par to komentāros!

Avots: www.habr.com