publish and discover academic work ...

Übersicht von kostenlosen Werkzeugen für Penetrationstest

Übersetzung des Artikels.

Im vorliegenden Artikel werde ich von den populärsten Instrumenten für Penetrationstest (Versuch in ein System einzudringen) der Web-Anwendungen nach der Strategie " Black Box" erzählen.

Dazu betrachten wir die Tools, die uns mit der Prüfung helfen werden. Wir betrachten die folgenden Kategorien von Programmen:

  • Netzscanner
  • Scanner von Sicherheitslücken in Web-Scripts
  • Exploiting
  • Automatisierung von Injektionen
  • Debugger (Sniffer, Lokal Proxy usw.)

Einige Tools haben den universellen «Charakter», deshalb werde ich sie in die Kategorie anordnen, in der sie das größte Ergebnis (meiner Meinung nach) bringen.

Netzscanner


Die Hauptaufgabe ist es, die zugänglichen Netzservices zu finden, ihre Versionen festzustellen, die Betriebssysteme usw. zu bestimmen.

Nmap

Nmap («Network Mapper») ist ein kostenloses Tool mit offenem Quellkode für die Netz -Analyse und Audit der Systemsicherheit. Die jenige, die mit Konsole nicht klar kommen, können Zenmap, GUI für Nmap, verwenden. Es ist nicht einfach «kluger» Scanner, sondern ein seriöses erweiterbares Instrument. Das typische Beispiel von Nutzung:

nmap -A -T4 localhost

-A für die Bestimmung der Version von Betriebssystem und Scannen mit Scripts und Trassierung
-T4 Zeitverwaltung (je grösser, desto schneller, von 0 bis 5)
localhost — das Ziel

Wollen Sie noch mehr?

nmap -sS -sU -T4 -A -v -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 -PO --script all localhost

Es ist ein Satz von Optionen aus dem Profil «slow comprehensive scan» in Zenmap. Es wird ziemlich lange dauern, aber im Endeffekt bekommt man ausführliche Informationen über das Zielsystem. Die deutsche Dokumentation ist hier zu finden.

Wenn Sie über das Tool mehr wissen wollen, ist der Artikel Beginner's Guide to Nmap

Nmap hat den Status „Security Product of the Year” von solchen Zeitschriften und den Gesellschaften wie Linux Journal, Info World, LinuxQuestions.Org und Codetalker Digest bekommen.
Der interessante Moment, Nmap kann man in den Filmen “ Matrix Reloaded », « Stirb langsam 4.0 », « Das Bourne Ultimatum » usw. sehen.

IP-Tools

IP-Tools — es ist eine Sammlung aus verschiedenen Netztools( mit GUI geliefert), die auf Windows-User ausgerichtet ist.
IP-Tools enthält Port-Scanner, Scanner von Shared-Ressourcen (Drucker/Ordner), WhoIs/Finger/Lookup, telnet -Client und anderes. Das ist ein einfaches, bequemes, schnelles, funktionales Instrument.

Es macht keinen Sinn, andere Tools zu nennen, da davon in diesem Bereich ganze Menge existiert und alle haben im Großen und Ganzen die gleiche Funktionalität. Am meistens wird Nmap verwendet.

Scanner von Sicherheitslücken in Web-Scripts


Sie versuchen es, bekannte Sicherkeitslücken (SQL Injection, XSS, LFI/RFI usw.) oder Fehler (nicht entfernte vorübergehende Dateien, Directory Indexing usw zu finden).

Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner –wie man aus dem Link sieht ist das ein XSS- Scanner, aber es ist nicht ganz so. Die kostenlose Version hat ziemlich große Funktionalität. Normalerweise wird Mensch geschockt, wenn er zum ersten Mal den Bericht über eigene Ressource liest, und Sie werden verstehen, warum. Das ist sehr mächtiges Werkzeug für die Analyse allmöglichen Sicherheitslücken auf der Webseite und arbeitet nicht nur mit gewöhnlichen PHP — Webseiten, sondern auch mit anderen. Die Instruktion zu beschreiben macht keinen Sinn, da der Scanner nur einige Frage stellt und die soll man nun einfach mit „Weiter» antworten.

Nikto

Nikto ist ein Open Source (GPL) der Web-Scanner. Er befreit von der routinemäßigen Handarbeit. Er sucht auf der Webseite nicht entfernte Scripte (z.B. test.php, index_. php usw.), Applikationen zur Administration (phpmyadmin, pma und ähnliches) usw. Das heißt er prüft die Ressource auf die häufigsten Fehler, die normalerweise wegen des menschlichen Faktors entstanden.

Wenn er ein populäres Script findet, prüft er, ob ein Exploit vorhanden ist.

Als Minus möchte ich das hohe Prozent der falschen Meldungen nennen. Zum Beispiel wenn Ihre Webseite anstelle 404 Fehler die Startseite zurückgibt, so wird der Scanner behaupten, dass Ihre Webseite alle Sicherheitslücken aus seiner Datenbank hat. In der Praxis trifft sich das Problem nicht so oft, aber die Tatsache ist es, dass vieles von der Struktur Ihrer Webseite abhängt.

Die klassische Nutzung:

./nikto.pl -host localhost

Wenn man autorisiert auf der Webseite sein muss, kann man cookie in der Datei nikto.conf in Variable STATIC-COOKIE einstellen.

Wikto
Wikto ist Nikto für Windows, aber mit einigen Ergänzungen, wie Fuzzi- Logik bei der Prüfung des Kodes auf die Fehler, die Nutzung GHDB, das Erhalten von Links und Verzeichnissen, den Real-Time –Monitoring von HTTP –Anfragen und Antworten. Wikto ist mit C # geschrieben und fordert.NET Framework.

Skipfish
skipfish ist ein Scanner von Web-Sicherheitslücken von Michal Zalewski (bekannt unter Login lcamtuf).Er ist in C geschrieben und cross-plattform (für Windows ist Cygwin nötig). Er geht rekursiv (es dauert etwa 20-40 Stunden, obwohl das letzte Mal war es bei mir 96 Stunden) die ganze Webseite um und findet alle Lücken in Sicherheit. Ebenso generiert er sehr viel Traffic (mehrere Gb‘s).

Die typische Nutzung:

./skipfish -o /home/reports www.example.com

Im Ordner «reports» wird der Bericht als HTML generiert, hier ist ein Beispiel.

w3af

w3af ist Web Application Attack and Audit Framework, Open-Source- Scanner für web-Sicherheitslücken. Er hat GUI, man kann aber auch die Konsolen benutzen. Genauer gesagt, er ist ein Framework mit ganzer Menge von Plug-Ins.
Über seine Vorteile kann man lange erzählen, es ist besser, es anzuschauen :)

Mantra Security Framework

Mantra is a dream that came true. Das ist Sammlung von freien und offenen Instrumente für Web-Security, die in den Web-Browser eingebaut werden.
Sie ist bei der Prüfung der Web-Anwendungen in allen Etappen sehr nützlich.
Um das Ding zu benutzen muss man es nur installieren und den Browser starten.

Es gibt sehr viele Tools in der Kategorie und es ist ziemlich kompliziert, von ihnen die konkrete Liste zu wählen. Meistens bestimmt jeder Penetrationstester selbst den Satz der ihm nötigen Instrumente.

Exploiting


Für die automatisierte und bequemere Nutzung von Sicherheitslücken in Software und Scripts schreibt man Exploits, deren man nur Parameter übergeben muss, um die Lücken in der Sicherheit zu verwenden. Es gibt aber Werkzeige, die von der Handsuche von Exploits befreien und sie «on the fly» verwenden. Über diese Kategorie wird jetzt gesprochen.

Metasploit Framework

The Metasploit® Framework ist ein Monster in diesem Bereich. Er kann so viel, dass die Instruktion nur in mehreren Artikel geschrieben werden kann. Wir betrachten automatisches Exploiting (nmap + metasploit). Es passiert so: Nmap wird den uns nötigen Port analysieren, wird den Service feststellen, und metasploit wird versuchen, verschiedene Exploits anzuwenden, ausgehend von der Klasse des Services (ftp, ssh usw.). Anstelle einer Textinstruktion werde ich Video angeben, das ziemlich populär zum Thema autopwn ist.


Man kann auch einfach die Arbeit von Exploit automatisieren. Zum Beispiel:

msf > use auxiliary/admin/cisco/vpn_3000_ftp_bypass
msf auxiliary(vpn_3000_ftp_bypass) > set RHOST [TARGET IP]
msf auxiliary(vpn_3000_ftp_bypass) > run

Die Möglichkeiten des Frameworks sind sehr umfangreich, deshalb, wenn Sie sich entschieden haben damit auseinanderzusetzen, folgen Sie den Link.

Armitage

Armitage ist eine GUI für Metasploit. Sie visualisiert das Ziel, empfehlt Exploits und stellt zur Verfügung erweiterte Funktionen. Sie passt für jeder, der mag es, dass alles schön aussieht.


Tenable Nessus®

Tenable Nessus® vulnerability scanner kann sehr viel, wir werden aber nur eine Funktion benutzen, die uns sagt für welche Services Exploits existieren. Die kostenlose Version des Produktes «home only»

Vorgehensweise:

  • Man hat heruntergeladen, installiert, registriert (Key kommt per Post).
  • den Server gestartet, Benutzer in Nessus Server Manager (der Knopf „Manage users“) eingetragen
  • im Browser die Seite: localhost:8834/ öffnen
  • Scans-> Add-> die Felder ausfüllen (zuerst Profil des Scannens aussuchen) und „Scan“ drücken

Nach einer Weile wird der Bericht vom Scannen im Ordner „Reports“ erscheinen.

Für die Prüfung kann man oben beschrieben Metasploit Framework verwenden oder versuchen, ein Exploit zu finden (zum Beispiel auf Explot-db, packet storm, explot search usw.) und es manuell gegen das System zu verwenden.

IMHO: viel zu sperrig. Ich habe ihn als einen Leader im gegebenen Bereich gebracht.

Automatisierung von Injektionen


Die Suche der Injektionen machen viele Scanner aus Web App Sec, aber sie sind doch die allgemeinen Scanner. Und es gibt Tools, die sich konkret mit Suche und Betrieb von Injektionen beschäftigen. Genau solche Programme werden jetzt betrachtet.

Sqlmap

sqlmap is ein Open-Source Tool für Suche und Betrieb von SQL -Injektionen. Das Programm unterstützt folgende Datenbanken: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase, SAP MaxDB.

Der typische Befehl:

python sqlmap.py -u «example.com/index.php?action=news&id=1»

Es gibt jede Menge von Tutorials und Doku, einschließlich auf Deutsch. Die Software erleichtert das Leben von Penetrationstester bei der Arbeit in der gegebenen Richtung sehr.

Ich werde noch offizielles Video- Demonstration ergänzen:



bsqlbf-v2

bsqlbf-v2 ist ein Perl-Script, Brut-Forcer für «blinden» Sql-Injektionen.Er arbeitet sowohl mit Integer-werten in URL, als auch mit Strings.

Folgende Datenbanken werden unterstützt:

  • MS-SQL
  • MySQL
  • PostgreSQL
  • Oracle

Das Beispiel der Nutzung:

./bsqlbf-v2-3.pl -url www.somehost.com/blah.php?u=5 -blind u -sql «select table_name from imformation_schema.tables limit 1 offset 0» -database 1 -type 1
-url www.somehost.com/blah.php?u=5 —Link mit den Parametern
-blind u — der Parameter für die Injektion (als Voreinstellung wird der Letzte aus der Adresszeile genommen)
-sql «select table_name from imformation_schema.tables limit 1 offset 0» — unsere willkürliche Anfrage an die Datenbank
-database 1 — die Datenbank: MSSQL
-type 1 — der Typ des Angriffes, «die blinde» Injektion

Debugger


Diese Instrumente verwenden Entwicklers, Programm nicht das liefert, was eigentlich erwartet wurde. Die Idee kann man aber auch für Penetrationstest benutzen. Z.B. man kann „on the fly“ Parameter ändern oder Antwort von Webanwendung analisieren.

Burp Suite

Burp Suite ist Satz von Tools, die bei den Prüfungen für Eindringen helfen. Die kostenlose Version enthält:

  • Burp Proxy — Lokal-Proxy, damit kann man Anfragen ändern
  • Burp Spider — sucht Dateien und Verzeichnisse
  • Burp Repeater — damit kann man manuell HTTP-Anfragen senden
  • Burp Sequencer — die Analyse von zufälligen Werten in Formen
  • Burp Decoder — ein standarder Koder-Dekoder (html, base64, hex usw)
  • Burp Comparer — die Komponente für Zeilen-Vergleich


Im Prinzip löst dieses Paket tatsächlich alle Aufgaben, die mit dieser Richtung verbunden sind.

Fiddler

Fiddler ist ein Debug- Proxy, der ganzen HTTP (S) –Traffic in eine Log-Datei speichert. Mit dem Werkzeug kann man den Traffic untersuchen, Breakpoint's setzen und, mit Parameter in Anfragen „spielen“.
Es gibt auch Firesheep, das Monster Wireshark und andere, die Auswahl ist richtig groß.

Fazit


Natürlich, jeder Penetrationstester hat eigenes Arsenal, da davon einfach eine große Menge existiert. Ich habe mich bemüht, einige bequeme und populäre Tools zu nennen. Unten können Sie weitere Tools aus diesem Bereich ansehen.

Verschiedene Toppe/Listen von Scanners und Tools



Die Linux- Distributionssätze, zu deren viele verschiedene Tools für Penetrationstest gehören:

  • easyman easyman,
  • 03 März 2012, 20:40
  • 1

Kommentare (1)

RSS zusammenklappen / ausklappen
das ist die beste Übersicht, die ich gelesen habe!
0

Kommentar schreiben

Ihr Name
Sie sind ein Gast, Sie dürfen keine HTML-Tags verwenden
Bitte geben Sie die Zeichen in das folgende Feld ein