Network tools, чи з чого почати пентестеру?

Toolkit пентестера-початківця: представляємо короткий дайджест головних інструментів, які стануть у нагоді при пентесті внутрішньої мережі. Ці інструменти вже активно використовуються широким колом фахівців, тому знати про їхні можливості та досконало буде корисно кожному.

Зміст:

• Nmap
• Zmap
• Masscan
• Нессус
• Net-Creds
• network-miner
• mitm6
• відповідь
• Evil_Foca
• Bettercap
• gateway_finder
• mitmproxy
• СІМ
• ієрсинія
• проксі -ланцюги

Nmap

Nmap – opensource утиліта для сканування мереж, є одним із найпопулярніших інструментів у безпечників та системних адміністраторів. Насамперед використовується для сканування портів, але, крім цього, має величезну масу корисних функцій, що, по суті, робить Nmap супер-комбайном для дослідження мереж.

Крім перевірки відкритих/закритих портів nmap може ідентифікувати сервіс, що слухає відкритий порт, та його версію, інколи ж допомагає визначити ОС. Nmap має підтримку скриптів для сканування (NSE — Nmap Scripting Engine). З використанням скриптів можна перевірити вразливості для різних сервісів (якщо, звичайно, для них є скрипт, або можна завжди написати свій) або побрутувати паролі від різних сервісів.

Таким чином, Nmap дозволяє скласти докладну карту мережі, отримати максимум інформації про запущені сервіси на хостах у мережі, а також превентивно перевірити деякі вразливості. Nmap також має гнучкі налаштування сканування, можливе налаштування швидкості сканування, кількості потоків, кількості груп для сканування і т.д.
Зручний для сканування невеликих мереж та незамінний для точкового сканування окремих хостів.

Плюси:

• Швидко працює з невеликим діапазоном хостів;
• Гнучкість налаштувань – можна комбінувати опції таким чином, щоб отримати максимально інформативні дані за прийнятний час;
• Паралельне сканування — список цільових хостів поділяється на групи, потім кожна група по черзі сканується, всередині групи використовується паралельне сканування. Також поділ на групи є невеликим недоліком (див.нижче);
• Зумовлені набори скриптів для різних завдань можна не витрачати багато часу на підбір конкретних скриптів, а вказати групи скриптів;
• Виведення результатів — 5 різних форматів, включаючи XML, який можна імпортувати в інші інструменти;

Мінуси:

• Сканування групи хостів — інформація про якийсь хост недоступна, доки не закінчиться сканування всієї групи. Це вирішується встановленням в опціях максимального розміру групи та максимального часового інтервалу, протягом якого буде очікуватися відповідь на запит, перед тим, як припинити спроби або зробити ще одну;
• При скануванні Nmap відправляє SYN-пакети на цільовий порт і чекає будь-якого пакету у відповідь або настання таймууту, у разі коли відповіді немає. Це негативно позначається на продуктивності сканера в цілому порівняно з асинхронними сканерами (наприклад, zmap або masscan);
• При скануванні великих мереж з використанням прапорів для прискорення сканування (-min-rate, min-parallelism) може давати false-negative результати, пропускаючи відкриті порти на хості. Також використовувати ці опції слід з обережністю, враховуючи, що великий packet-rate може призвести до ненавмисного DoS.

Zmap

Zmap (Не плутати з ZenMap) - також сканер з відкритим вихідним кодом, створювався як швидша альтернатива Nmap.

На відміну від nmap - Zmap при відправці SYN-пакетів не чекає, поки повернеться відповідь, а продовжує сканування, паралельно чекаючи відповіді від усіх хостів, таким чином фактично він не підтримує стан з'єднання. Коли відповідь на SYN-пакет прийде Zmap за змістом пакета зрозуміє який порт і якому хості було відкрито. Крім того, Zmap відправляє лише один SYN-пакет на порт, що сканується. Також є можливість використання PF_RING для швидкого сканування великих мереж, якщо у вас раптом опинився під рукою 10-гігабітний інтерфейс та сумісна мережна карта.

Плюси:

• Швидкість сканування;
• Zmap генерує Ethernet-фрейми минаючи системний стек TCP/IP;
• Можливість використання PF_RING;
• ZMap рандомізує цілі для рівномірного розподілу навантаження на стороні, що сканується;
• Можливість інтеграції з ZGrab (інструмент для збирання інформації про послуги на прикладному рівні L7).

Мінуси:

• Може стати причиною відмови в обслуговуванні мережного обладнання, наприклад, вивести з ладу проміжні маршрутизатори, незважаючи на розподілене навантаження, оскільки всі пакети проходитимуть через один маршрутизатор.

Masscan

Masscan — дивно, але теж сканер із відкритим вихідним кодом, який створювався з однією метою — сканувати Інтернет ще швидше (менше, ніж за 6 хвилин зі швидкістю ~10 млн. пакетів/с). По суті працює майже як і Zmap, тільки ще швидше.

Плюси:

• Синтаксис схожий на Nmap, а також програма підтримує деякі сумісні з Nmap опції;
• Швидкість роботи - один із найшвидших асинхронних сканерів.
• Гнучкий механізм сканування - відновлення перерваного сканування, розподіл навантаження по кількох пристроях (як і Zmap).

Мінуси:

• Аналогічно як і Zmap навантаження на саму мережу вкрай висока, що може призвести до DoS;
• За замовчуванням немає можливості сканувати на прикладному рівні L7;

Нессус

Нессус — сканер для автоматизації перевірки та виявлення відомих уразливостей у системі. Вихідний код закритий, існує безкоштовна версія Nessus Home, яка дозволяє сканувати до 16 IP-адрес з такою ж швидкістю та детальним аналізом, що і в платній версії.

Спроможний визначати вразливі версії служб або серверів, виявляти помилки у конфігурації системи, виконувати bruteforce словникових паролів. Можна використовувати для визначення коректності налаштувань сервісів (пошта, оновлення тощо), а також під час підготовки до аудиту PCI DSS. Крім того, в Nessus можна передати облікові дані для хоста (SSH або доменний обліковий запис в Active Directory) і сканер отримає доступ до хоста і проведе перевірки прямо на ньому, ця опція називається credential scan. Зручний для компаній, які проводять аудити власних мереж.

Плюси:

• Окремі сценарії кожної вразливості, база яких постійно оновлюється;
• Висновок результатів - простий текст, XML, HTML та LaTeX;
• API Nessus - дозволяє автоматизувати процеси сканування та отримання результатів;
• Credential Scan, можна використовувати облікові дані Windows або Linux для перевірки оновлень чи інших уразливостей;
• Можливість писати власні вбудовані модулі безпеки - у сканері є власна мова сценаріїв NASL (Nessus Attack Scripting Language);
• Можна встановити час для регулярного сканування локальної мережі — за рахунок цього Служба Інформаційної Безпеки буде в курсі всіх змін у конфігурації безпеки, появи нових хостів і використання словникових паролів або стандартних паролів.

Мінуси:

• Можливі порушення в роботі систем, що скануються - з відключеною опцією safe checks потрібно працювати акуратно;
• Версія, що допускає комерційне використання, не є безкоштовною.

Net-Creds

Net-Creds — інструмент на мові Python для збору паролів та хешей, а також іншої інформації, наприклад, відвіданих URL, завантажених файлів та іншої інформації з трафіку, як у реальному часі під час проведення MiTM-атаки, так і попередньо збережених PCAP-файлів. Підходить для швидкого та поверхневого аналізу великих обсягів трафіку, наприклад, при мережевих MiTM-атаках, коли час обмежений, а ручний аналіз за допомогою Wireshark потребує багато часу.

Плюси:

• Ідентифікація сервісів заснована на аналізі пакетів замість визначення сервісу за номером порту, що використовується;
• Простий у використанні;
• Широкий спектр даних, що витягуються, в тому числі логіни і паролі для FTP, POP, IMAP, SMTP, протоколи NTLMv1/v2, а також інформацію з HTTP-запитів, наприклад login-форми і basic auth;

network-miner

network-miner — аналог Net-Creds за принципом роботи, проте має велику функціональність, наприклад, можливість вилучення файлів переданих за протоколами SMB. Як і Net-Creds, зручно, коли потрібно швидко проаналізувати великий обсяг трафіку. Також має зручний графічний інтерфейс.

Плюси:

• Графічний інтерфейс;
• Візуалізація та класифікація даних по групах - спрощує аналіз трафіку і робить його швидким.

Мінуси:

• У ознайомлювальній версії деякий функціонал обмежений.

mitm6

mitm6 - Інструмент для проведення атак на IPv6 (SLAAC-attack). IPv6 є пріоритетним в ОС Windows (власне кажучи, і в інших ОС теж), і в конфігурації за умовчанням IPv6-інтерфейс включений, це дозволяє зловмиснику встановити жертві свій DNS-сервер, використовуючи пакети Router Advertisement, після чого зловмисник отримує можливість підмінити DNS жертви . Прекрасно підходить для проведення Relay-атака разом з утилітою ntlmrelayx, що дозволяє успішно атакувати Windows-мережі.

Плюси:

• Працює чудово в багатьох мережах саме через стандартні конфігурації Windows-хостів та мереж;

відповідь

відповідь - Інструмент для спуфінгу широкомовних протоколів дозволу імен (LLMNR, NetBIOS, MDNS). Незамінний інструмент у мережах Active Directory. Окрім спуфінгу вміє перехоплювати NTLM-аутентифікацію, у комплекті також йде набір інструментів для збирання інформації та реалізації атак NTLM-Relay.

Плюси:

• За замовчуванням піднімає безліч серверів з підтримкою аутентифікації NTLM: SMB, MSSQL, HTTP, HTTPS, LDAP, FTP, POP3, IMAP, SMTP;
• Дозволяє замінювати DNS у разі MITM-атак (ARP-спуфінг тощо);
• Fingerprint хостів, що здійснили широкомовний запит;
• Analyze mode – для пасивного спостереження за запитами;
• Формат перехоплених хешей при NTLM-автентифікації сумісний з John the Ripper та Hashcat.

Мінуси:

• При запуску під Windows біндінг 445 порту (SMB) пов'язаний з деякими складнощами (потрібна зупинка відповідних сервісів та перезавантаження);

Evil_Foca

Evil Foca — інструмент для перевірок різних атак у мережі IPv4 і IPv6. Сканує локальну мережу, ідентифікуючи пристрої, маршрутизатори та їх мережні інтерфейси, після чого можна здійснювати різні атаки учасників мережі.

Плюси:

• Зручний для проведення MITM-атак (ARP-спуфінг, DHCP ACK-ін'єкції, атака SLAAC, DHCP-спуфінг);
• Можна проводити DoS-атаки з ARP-спуфінгом для IPv4-мереж, з SLAAC DoS в IPv6-мережах;
• Можна здійснити hijacking DNS;
• Простий у використанні, зручний графічний інтерфейс.

Мінуси:

• Працює лише під Windows.

Bettercap

Bettercap — потужний фреймворк для аналізу та атаки мереж, причому мова тут також про атаки на бездротові мережі, BLE (bluetooth low energy) і навіть атаки MouseJack на бездротові пристрої HID. Крім того, містить функціональність для збору інформації з трафіку (аналогічно net-creds). Загалом швейцарський ніж (all in one). З недавніх пір ще має графічний web-based інтерфейс.

Плюси:

• Сніффер облікових даних — можна відловлювати відвідувані URL та HTTPS-хости, HTTP-автентифікацію, облікові дані з безлічі різних протоколів;
• Багато вбудованих MITM-атак;
• Модульний HTTP(S) прозорий проксі – можна керувати трафіком залежно від потреб;
• Вбудований HTTP-сервер;
• Підтримка caplets - файлів, що дозволяють описати скриптовою мовою складні та автоматизовані атаки.

Мінуси:

• Деякі модулі – наприклад, ble.enum – частково не підтримуються macOS та Windows, деякі розраховані лише на Linux – packet.proxy.

gateway_finder

gateway finder - Скрипт на Python, що допомагає визначити можливі gateway'і в мережі. Зручний для перевірки сегментації або пошуку хостів, які можуть маршрутизувати в необхідну мережу або Інтернет. Підходить для внутрішніх пентестів, коли потрібно швидко перевірити наявність несанкціонованих маршрутів чи маршрутів до інших внутрішніх локальних мереж.

Плюси:

• Простий у використанні та кастомізації.

mitmproxy

mitmproxy — Opensource інструмент для аналізу трафіку, захищеного за допомогою SSL/TLS. mitmproxy зручний для перехоплення та модифікації захищеного трафіку, зрозуміло, з деякими застереженнями; інструмент не здійснює атаки на дешифрування SSL/TLS. Використовується, коли потрібно перехопити та зафіксувати зміни у трафіку, захищеному SSL/TLS. Складається з Mitmproxy - для проксіювання трафіку, mitmdump - схожий на tcpdump, але для HTTP(S)-трафіку, і mitmweb - веб-інтерфейсу для Mitmproxy.

Плюси:

• Працює з різними протоколами та підтримує модифікацію різних форматів, від HTML до Protobuf;
• API для Python – дозволяє писати скрипти для нестандартних завдань;
• Може працювати в режимі прозорого проксі з перехопленням трафіку.

Мінуси:

• Формат дампа ні з чим не сумісний – важко використовувати grep, доводиться писати скрипти;

СІМ

СІМ — інструмент для використання протоколу Cisco Smart Install. Можливе отримання та модифікація конфігурації та захоплення контролю над пристроєм Cisco. Якщо ви зможете отримати конфігурацію пристрою Cisco, можна перевірити її за допомогою CCATЦей інструмент корисний для аналізу безпеки конфігурації пристроїв Cisco.

Плюси:

Використання протоколу Cisco Smart Install дозволяє:

• Змінити адресу tftp-сервера на клієнтському пристрої, надіславши один спотворений пакет TCP;
• Копіювати конфігураційний файл пристрою;
• Замінити конфігурацію пристрою, наприклад, додавши нового користувача;
• оновити образ iOS на пристрої;
• Виконати довільний набір команд у пристрої. Це нова функція, що працює тільки у версіях 3.6.0E та 15.2 (2) E iOS;

Мінуси:

• Працює з обмеженим набором пристроїв Cisco, також потрібен “білий” IP для отримання відповіді від пристрою, або потрібно перебувати з пристроєм в одній мережі;

ієрсинія

ієрсинія — фреймворк для L2-атак, створений для експлуатації недоліків безпеки в різних мережних протоколах L2.

Плюси:

• Дозволяє здійснювати атаки на протоколи STP, CDP, DTP, DHCP, HSRP, VTP та інші.

Мінуси:

• Не найзручніший інтерфейс.

проксі -ланцюги

проксі -ланцюги — інструмент, який дозволяє перенаправити трафік програми через вказаний SOCKS-проксі.

Плюси:

• Допомагає перенаправити трафік деяких програм, які за умовчанням не вміють працювати з проксі;

У цій статті ми коротко розглянули переваги та недоліки основних інструментів для пентесту внутрішньої мережі. Слідкуйте за оновленнями, ми плануємо викладати такі добірки і далі: Web, бази даних, мобільні додатки – про це також обов'язково напишемо.

Діліться своїми улюбленими утилітами у коментарях!

Джерело: habr.com