Веб алати или одакле почети као пентестер?

Настављамо причајте о корисним алатима за пентестере. У новом чланку ћемо погледати алате за анализу безбедности веб апликација.

Наш колега БеЛове Ја сам већ урадио овако нешто компилација пре око седам година. Занимљиво је видети који су алати задржали и ојачали своје позиције, а који су избледели у други план и сада се ретко користе.


Имајте на уму да ово такође укључује Бурп Суите, али ће постојати посебна публикација о њему и његовим корисним додацима.

Садржај:

• Амасс
• Алтднс
• акуатоне
• МассДНС
• нсец3мап
• Ацунетик
• Дирсеарцх
• вфузз
• ффуф
• гобустер
• Арјун
• ЛинкФиндер
• ЈСПарсер
• склмап
• НоСКЛМап
• окмл_кке
• тплмап
• ЦеВЛ
• Веакпасс
• АЕМ_хацкер
• ЈоомСцан
• ВПСцан

Амасс

Амасс - Го алат за претрагу и набрајање ДНС поддомена и мапирање спољне мреже. Амасс је ОВАСП пројекат дизајниран да покаже како организације на Интернету изгледају аутсајдеру. Амасс добија имена поддомена на различите начине; алат користи и рекурзивно набрајање поддомена и претраживања отвореног кода.

Да би открио међусобно повезане мрежне сегменте и бројеве аутономног система, Амасс користи ИП адресе добијене током рада. Све пронађене информације се користе за прављење мапе мреже.

Предности:

• Технике прикупљања информација укључују:
  * ДНС - речничка претрага поддомена, брутефорце поддомена, паметна претрага коришћењем мутација на основу пронађених поддомена, обрнути ДНС упити и претрага ДНС сервера на којима је могуће извршити захтев за пренос зоне (АКСФР);

  * Претрага отвореног кода - Аск, Баиду, Бинг, ЦоммонЦравл, ДНСДБ, ДНСДумпстер, ДНСТабле, Догпиле, Екалеад, ФиндСубдомаинс, Гоогле, ИПв4Инфо, Нетцрафт, ПТРАрцхиве, Риддлер, СитеДоссиер, ТхреатЦровд, ВирусТотал, Иахоо;

  * Претрага база података ТЛС сертификата - Ценсис, ЦертДБ, ЦертСпоттер, Цртсх, Ентруст;

  * Коришћење АПИ-ја претраживача - БинариЕдге, БуфферОвер, ЦИРЦЛ, ХацкерТаргет, ПассивеТотал, Робтек, СецуритиТраилс, Сходан, Твиттер, Умбрелла, УРЛСцан;

  * Претражујте интернет веб архиве: АрцхивеИт, АрцхивеТодаи, Аркуиво, ЛоЦАрцхиве, ОпенУКАрцхиве, УКГовАрцхиве, Ваибацк;

• Интеграција са Малтегом;
• Пружа најпотпунију покривеност задатка тражења ДНС поддомена.

Против:

• Будите опрезни са амасс.нетдомаинс – покушаће да контактира сваку ИП адресу у идентификованој инфраструктури и добије имена домена из обрнутих ДНС претрага и ТЛС сертификата. Ово је техника "високог профила", она може открити ваше обавештајне активности у организацији под истрагом.
• Велика потрошња меморије, може потрошити до 2 ГБ РАМ-а у различитим поставкама, што вам неће дозволити да покренете овај алат у облаку на јефтином ВДС-у.

Алтднс

Алтднс — Питхон алат за компајлирање речника за набрајање ДНС поддомена. Омогућава вам да генеришете многе варијанте поддомена користећи мутације и пермутације. За ово се користе речи које се често налазе у поддоменима (на пример: тест, дев, стагинг), све мутације и пермутације се примењују на већ познате поддомене који се могу поднети на Алтднс улаз. Излаз је листа варијација поддомена које могу постојати, а ова листа се касније може користити за ДНС грубу силу.

Предности:

• Добро ради са великим скуповима података.

акуатоне

акуатоне - раније је био познатији као још један алат за претрагу поддомена, али је сам аутор ово одустао у корист поменутог Амасс-а. Сада је акуатоне преписан у Го и више је усмерен ка прелиминарном извиђању на веб локацијама. Да би то урадио, акуатоне пролази кроз наведене домене и тражи веб локације на различитим портовима, након чега прикупља све информације о сајту и прави снимак екрана. Погодно за брзо прелиминарно извиђање веб локација, након чега можете одабрати приоритетне мете за нападе.

Предности:

• Излаз креира групу датотека и фасцикли које су погодне за употребу у даљем раду са другим алатима:
  * ХТМЛ извештај са прикупљеним снимцима екрана и насловима одговора груписаним по сличности;

  * Датотека са свим УРЛ адресама на којима су пронађене веб странице;

  * Фајл са статистиком и подацима о страницама;

  * Фасцикла са датотекама које садрже заглавља одговора пронађених циљева;

  * Фасцикла са датотекама које садрже тело одговора пронађених циљева;

  * Снимци екрана пронађених веб локација;

• Подржава рад са КСМЛ извештајима из Нмап-а и Массцан-а;
• Користи Цхроме/Цхромиум без главе за приказивање снимака екрана.

Против:

• Може привући пажњу система за откривање упада, па је потребна конфигурација.

Снимак екрана је направљен за једну од старих верзија акуатоне-а (в0.5.0), у којој је имплементирано претраживање ДНС поддомена. Старије верзије се могу наћи на страница издања.

МассДНС

МассДНС је још један алат за проналажење ДНС поддомена. Његова главна разлика је у томе што поставља ДНС упите директно многим различитим ДНС разрешивачима и то чини значајном брзином.

Предности:

• Брз - способан да реши више од 350 хиљада имена у секунди.

Против:

• МассДНС може изазвати значајно оптерећење на ДНС резолверима који се користе, што може довести до забране тих сервера или притужби вашем ИСП-у. Поред тога, то ће довести до великог оптерећења ДНС серверима компаније, ако их имају и ако су одговорни за домене које покушавате да решите.
• Листа разрешавача је тренутно застарела, али ако изаберете покварене ДНС разрешиваче и додате нове познате, све ће бити у реду.

Снимак екрана акуатоне в0.5.0

нсец3мап

нсец3мап је Питхон алат за добијање комплетне листе домена заштићених ДНССЕЦ-ом.

Предности:

• Брзо открива хостове у ДНС зонама са минималним бројем упита ако је ДНССЕЦ подршка омогућена у зони;
• Укључује додатак за Џона Трбосека који се може користити за разбијање резултујућих НСЕЦ3 хешева.

Против:

• Многе ДНС грешке се не обрађују исправно;
• Не постоји аутоматска паралелизација обраде НСЕЦ записа – морате ручно да поделите простор имена;
• Велика потрошња меморије.

Ацунетик

Ацунетик — скенер веб рањивости који аутоматизује процес провере безбедности веб апликација. Тестира апликацију за СКЛ ињекције, КССС, КСКСЕ, ССРФ и многе друге пропусте на вебу. Међутим, као и сваки други скенер, разне веб рањивости не замењују пентестер, јер не може да пронађе сложене ланце рањивости или рањивости у логици. Али покрива много различитих рањивости, укључујући различите ЦВЕ-ове, на које је пентестер можда заборавио, тако да је веома згодно да вас ослободи рутинских провера.

Предности:

• Низак ниво лажних позитивних резултата;
• Резултати се могу извести као извештаји;
• Обавља велики број провера за разне рањивости;
• Паралелно скенирање више хостова.

Против:

• Не постоји алгоритам за дедупликацију (Ацунетик ће сматрати да су странице идентичне по функционалности различите, пошто воде до различитих УРЛ адреса), али програмери раде на томе;
• Захтева инсталацију на засебном веб серверу, што компликује тестирање клијентских система са ВПН везом и коришћење скенера у изолованом сегменту локалне клијентске мреже;
• Услуга која се проучава може направити буку, на пример, слањем превише вектора напада на контакт образац на сајту, чиме се у великој мери компликују пословни процеси;
• То је власнички и, сходно томе, не бесплатно решење.

Дирсеарцх

Дирсеарцх — Питхон алат за брутално коришћење директоријума и датотека на веб локацијама.

Предности:

• Може да разликује праве странице „200 ОК“ од „200 ОК“ страница, али са текстом „страница није пронађена“;
• Долази са практичним речником који има добар баланс између величине и ефикасности претраживања. Садржи стандардне путање заједничке за многе ЦМС и технолошке стекове;
• Његов сопствени формат речника, који вам омогућава да постигнете добру ефикасност и флексибилност у набрајању датотека и директоријума;
• Погодан излаз - обичан текст, ЈСОН;
• Може да ради пригушивање - паузу између захтева, што је од виталног значаја за сваку слабу услугу.

Против:

• Екстензије морају бити прослеђене као стринг, што је незгодно ако треба да проследите више екстензија одједном;
• Да бисте користили свој речник, мораће да буде мало модификован у формат речника Дирсеарцх ради максималне ефикасности.

вфузз

вфузз - Питхон веб апликација фуззер. Вероватно један од најпознатијих веб фазара. Принцип је једноставан: вфузз вам омогућава да фазно поставите било које место у ХТТП захтеву, што омогућава фазно подешавање параметара ГЕТ/ПОСТ, ХТТП заглавља, укључујући Цоокие и друга заглавља за аутентификацију. У исто време, погодан је и за једноставну грубу силу директоријума и датотека, за шта вам је потребан добар речник. Такође има флексибилан систем филтера, помоћу којег можете филтрирати одговоре са веб странице према различитим параметрима, што вам омогућава да постигнете ефикасне резултате.

Предности:

• Мултифункционална - модуларна структура, монтажа траје неколико минута;
• Погодан механизам за филтрирање и расплињавање;
• Можете фазама било који ХТТП метод, као и било које место у ХТТП захтеву.

Против:

• У развоју.

ффуф

ффуф — веб фуззер у Го, креиран на „слику и сличност“ вфузз-а, омогућава вам да бруате датотеке, директоријуме, УРЛ путање, имена и вредности ГЕТ/ПОСТ параметара, ХТТП заглавља, укључујући заглавље Хост-а за грубу силу виртуелних домаћина. вфузз се разликује од свог брата по већој брзини и неким новим карактеристикама, на пример, подржава речнике формата Дирсеарцх.

Предности:

• Филтери су слични вфузз филтерима, омогућавају вам да флексибилно конфигуришете грубу силу;
• Омогућава вам да фуззујете вредности ХТТП заглавља, податке ПОСТ захтева и различите делове УРЛ-а, укључујући имена и вредности ГЕТ параметара;
• Можете одредити било који ХТТП метод.

Против:

• У развоју.

гобустер

гобустер — Го алат за извиђање, има два начина рада. Први се користи за грубо коришћење фајлова и директоријума на веб локацији, други се користи за грубо коришћење ДНС поддомена. Алат иницијално не подржава рекурзивно набрајање датотека и директоријума, што, наравно, штеди време, али с друге стране, груба сила сваке нове крајње тачке на веб локацији мора бити покренута засебно.

Предности:

• Велика брзина рада како за грубу претрагу ДНС поддомена тако и за бруталну претрагу датотека и директоријума.

Против:

• Тренутна верзија не подржава подешавање ХТТП заглавља;
• Подразумевано, само неки од ХТТП статусних кодова (200,204,301,302,307) се сматрају важећим.

Арјун

Арјун - алат за грубу силу скривених ХТТП параметара у ГЕТ/ПОСТ параметрима, као и у ЈСОН-у. Уграђени речник има 25 речи, које Ајрун проверава за скоро 980 секунди. Трик је у томе што Ајрун не проверава сваки параметар посебно, већ проверава ~30 параметара одједном и види да ли се одговор променио. Ако се одговор променио, дели ових 1000 параметара на два дела и проверава који од ових делова утиче на одговор. Тако се, коришћењем једноставне бинарне претраге, пронађе параметар или неколико скривених параметара који су утицали на одговор и, према томе, могу постојати.

Предности:

• Велика брзина због бинарне претраге;
• Подршка за ГЕТ/ПОСТ параметре, као и параметре у облику ЈСОН;

Додатак за Бурп Суите ради на сличном принципу - парам-рудар, који је такође веома добар у проналажењу скривених ХТТП параметара. Рећи ћемо вам више о томе у наредном чланку о Бурпу и његовим додацима.

ЛинкФиндер

ЛинкФиндер — Питхон скрипта за тражење веза у ЈаваСцрипт датотекама. Корисно за проналажење скривених или заборављених крајњих тачака/УРЛ-ова у веб апликацији.

Предности:

• Фаст;
• Постоји посебан додатак за Цхроме заснован на ЛинкФиндер-у.

.

Против:

• Незгодан коначни закључак;
• Не анализира ЈаваСцрипт током времена;
• Сасвим једноставна логика за тражење веза - ако је ЈаваСцрипт некако замагљен, или везе у почетку недостају и генеришу се динамички, онда неће моћи ништа да пронађе.

ЈСПарсер

ЈСПарсер је Питхон скрипта која користи Торнадо и ЈСБеаутифиер да рашчланите релативне УРЛ адресе из ЈаваСцрипт датотека. Веома корисно за откривање АЈАКС захтева и састављање листе АПИ метода са којима апликација комуницира. Ефикасно ради у комбинацији са ЛинкФиндер-ом.

Предности:

• Брзо рашчлањивање ЈаваСцрипт датотека.

склмап

склмап је вероватно један од најпознатијих алата за анализу веб апликација. Склмап аутоматизује претрагу и рад СКЛ ињекција, ради са неколико СКЛ дијалеката и има огроман број различитих техника у свом арсеналу, у распону од директних цитата до сложених вектора за временски засноване СКЛ ињекције. Поред тога, има много техника за даљу експлоатацију за различите ДБМС-ове, тако да је користан не само као скенер за СКЛ ињекције, већ и као моћан алат за искоришћавање већ пронађених СКЛ ињекција.

Предности:

• Велики број различитих техника и вектора;
• Мали број лажних позитивних резултата;
• Мноштво опција финог подешавања, разне технике, циљна база података, скрипте за манипулисање за заобилажење ВАФ-а;
• Могућност креирања излазног думпа;
• Много различитих оперативних могућности, на пример, за неке базе података - аутоматско учитавање/истовар датотека, добијање могућности за извршавање команди (РЦЕ) и друго;
• Подршка за директно повезивање са базом података помоћу података добијених током напада;
• Можете да пошаљете текстуалну датотеку са резултатима Бурп као улаз - нема потребе да ручно састављате све атрибуте командне линије.

Против:

• Тешко је прилагодити, на пример, да напишете неке своје чекове због оскудне документације за ово;
• Без одговарајућих подешавања, врши непотпун скуп провера, што може да доведе у заблуду.

НоСКЛМап

НоСКЛМап — Питхон алат за аутоматизацију претраге и експлоатације НоСКЛ ињекција. Погодно је користити не само у НоСКЛ базама података, већ и директно приликом ревизије веб апликација које користе НоСКЛ.

Предности:

• Као и склмап, он не само да проналази потенцијалну рањивост, већ и проверава могућност његове експлоатације за МонгоДБ и ЦоуцхДБ.

Против:

• Не подржава НоСКЛ за Редис, Цассандра, развој је у току у овом правцу.

окмл_кке

окмл_кке — алат за уграђивање КСКСЕ КСМЛ експлоата у различите типове датотека које користе КСМЛ формат у неком облику.

Предности:

• Подржава многе уобичајене формате као што су ДОЦКС, ОДТ, СВГ, КСМЛ.

Против:

• Подршка за ПДФ, ЈПЕГ, ГИФ није у потпуности имплементирана;
• Креира само једну датотеку. Да бисте решили овај проблем, можете користити алат доцем, који може да креира велики број корисних датотека на различитим местима.

Горе наведени услужни програми одлично раде на тестирању КСКСЕ при учитавању докумената који садрже КСМЛ. Али такође запамтите да се руковаоци КСМЛ формата могу наћи у многим другим случајевима, на пример, КСМЛ се може користити као формат података уместо ЈСОН.

Стога вам препоручујемо да обратите пажњу на следеће спремиште, које садржи велики број различитих корисних оптерећења: ПаилоадсАллТхеТхингс.

тплмап

тплмап - Питхон алат за аутоматско идентификовање и искоришћавање рањивости убризгавања шаблона на страни сервера; има подешавања и ознаке сличне склмап-у. Користи неколико различитих техника и вектора, укључујући слепу ињекцију, а такође има технике за извршавање кода и учитавање/учитавање произвољних датотека. Поред тога, у свом арсеналу има технике за десетак различитих шаблонских машина и неке технике за тражење ињекција кода налик евал() у Питхон, Руби, ПХП, ЈаваСцрипт. Ако успе, отвара интерактивну конзолу.

Предности:

• Велики број различитих техника и вектора;
• Подржава многе машине за рендеровање шаблона;
• Много оперативних техника.

ЦеВЛ

ЦеВЛ - генератор речника у Рубију, креиран за издвајање јединствених речи са одређене веб локације, прати везе на сајту до одређене дубине. Састављени речник јединствених речи може се касније користити за брушење лозинки на услугама или бруте форце фајлова и директоријума на истој веб локацији, или за напад на добијене хешове користећи хасхцат или Јохн тхе Риппер. Корисно при састављању „циљне“ листе потенцијалних лозинки.

Предности:

• Једноставан за коришћење.

Против:

• Морате бити опрезни са дубином претраге како не бисте ухватили додатни домен.

Веакпасс

Веакпасс - услуга која садржи много речника са јединственим лозинкама. Изузетно користан за различите задатке везане за разбијање лозинки, од једноставне онлајн грубе силе налога на циљним сервисима, до офлајн грубе силе примљених хешева коришћењем хасхцат или Јохн Тхе Риппер. Садржи око 8 милијарди лозинки дужине од 4 до 25 знакова.

Предности:

• Садржи и специфичне речнике и речнике са најчешћим лозинкама - можете одабрати одређени речник за своје потребе;
• Речници се ажурирају и допуњују новим лозинкама;
• Речници су разврстани по ефикасности. Можете одабрати опцију за брзу онлајн грубу силу и детаљан избор лозинки из обимног речника са најновијим цурењима;
• Постоји калкулатор који показује време потребно за брисање лозинки на вашој опреми.

Желели бисмо да укључимо алате за ЦМС провере у посебну групу: ВПСцан, ЈоомСцан и АЕМ хакер.

АЕМ_хацкер

АЕМ хакер је алатка за идентификацију рањивости у Адобе Екпериенце Манагер (АЕМ) апликацијама.

Предности:

• Може да идентификује АЕМ апликације са листе УРЛ адреса достављених на његов улаз;
• Садржи скрипте за добијање РЦЕ-а учитавањем ЈСП љуске или искоришћавањем ССРФ-а.

ЈоомСцан

ЈоомСцан — Перл алат за аутоматизацију откривања рањивости приликом постављања Јоомла ЦМС-а.

Предности:

• У стању је да пронађе недостатке у конфигурацији и проблеме са административним подешавањима;
• Наводи Јоомла верзије и повезане рањивости, слично за појединачне компоненте;
• Садржи више од 1000 експлоата за Јоомла компоненте;
• Излаз завршних извештаја у текстуалним и ХТМЛ форматима.

ВПСцан

ВПСцан - алат за скенирање ВордПресс сајтова, има рањивости у свом арсеналу како за сам ВордПресс мотор, тако и за неке додатке.

Предности:

• Може да наведе не само несигурне ВордПресс додатке и теме, већ и да добије листу корисника и ТимТхумб датотека;
• Може да спроводи нападе грубом силом на ВордПресс сајтове.

Против:

• Без одговарајућих подешавања, врши непотпун скуп провера, што може да доведе у заблуду.

Генерално, различити људи преферирају различите алате за рад: сви су добри на свој начин, а оно што се свиђа једној особи можда уопште не одговара другој. Ако мислите да смо неправедно занемарили неки добар услужни програм, напишите о томе у коментарима!

Извор: ввв.хабр.цом