Web安全是网络安全中比较核心、面比较广、且比较好入门的一个概念或者说领域,它指一个网站从前端到后端整个服务过程,浏览器、静态网页、URL协议、Web容器,比如Javascript、PHP、Python、Mysql、jQuery、Docker 等。一般会借助一些工具来帮自己高效入门Web安全,工欲善其事,必先利其器。
本次分享一部分神器KaliLinux的工具,如果听过苑老师的课应该知道整个KaliLinux工具大概600个。我分享的是4个主题,选取了部分工具大概60个,这些能看懂、学会就很棒了。渗透测试从入门到入狱,这真不是开玩笑的,不是说事情本身多可怕,而是善恶一念间,再次提醒大家遵守网络安全法,本分享仅作学习交流,产生任何违反法律操作与本人无关。
期待与各位交流,希望此次分享给你一些点播和借鉴。
第一部分 WEB渗透工具介绍
WEB 技术繁荣发展的同时,也带来了前所未有的安全挑战。有数据统计,所有黑客入侵事件中,85% 以上都是针对 WEB 应用漏洞发起的攻击。
不知攻焉知之防?了解所有 WEB 攻击技术,掌握对黑客攻击进行提前检测、提前防御的能力,避免你所服务的机构再次遭受此类威胁。
1、nikto
向目标发送探测数据包,并根据回包来判断其运行状况和处理方式的做法,称之为扫描。WEB扫描器的本质也不外如此。衡量WEB扫描器优劣的两个关键指标,是爬网能力和漏洞检测能力。nikto这款开源WEB扫描工具,在爬网能力上有独特的亮点,同时可以检测大部分常见漏洞类型,以及因配置管理不当造成的安全漏洞。更具有插件扩展、躲避检测等多种能力,称得上是一款非常不错的扫描软件。
2、slowhttptest
多数人心目中的拒绝服务攻击,总是伴随着大流量、高并发等具体表向。但事实上某些针对应用层协议的拒绝服务攻击,完全不会造成明显的流量和连接数量的激增。slowhttptest即是针对HTTP协议实现慢速拒绝服务攻击的代表,它提供四种方法实现对目标连接池的耗尽,使得服务器完全无法接收新的访问请求。在被KALI收录之前的很多年里,它一直是我无坚不摧的秘密武器,并曾在多次产品测试过程中,打穿众多大牌厂商的防护设备。
3、apache-user
用户枚举属于渗透测试初期阶段的任务之一。其最常见的手段无外乎基于字典的爆破,但这种方法耗时耗力的同时又很容易引起目标的察觉,实在算不上一种巧妙的方法。apache-user并非普遍适用的工具,它只针对特殊场景,从另类的角度实现高效的用户枚举。虽然功能单一,但却充分体现了作者的巧思,而且提供了足够的定制能力。
4、arachni
因前两年国外一次著名的黑客攻击事件,arachni走进了大多数人的视线。这是一个功能全面,且明确为了大型网络分布式部署而设计的WEB扫描软件。不过Kali官方的做法却令我非常费解,它并未包含arachni的完整功能,因此我每次要使用时都不得不从官网下载完整版的软件包。arachni采用了一种self-contained的发行方式,因此可以完美实现跨平台、免安装和开箱即用。至于扫描能力,arachni曾在强手如林的同类产品测评比赛中名列前茅。
5、bbqsql
如同本工具的作者所说,SQL注入漏洞就如同BBQ一样美味,因此他为本工具取了这样一个充满食欲的名字。bbqsql是一个半自动化的SQL盲注工具,曾登上过第20届DEFCON大会的讲台。不同于常见的自动化SQL注入工具,要想正常发挥bbqsql的功能,你必须具备手动挖掘SQL注入漏洞的能力。本课内容包含基本的SQL注入原理,纯手工的SQL盲注手法。如果你已经注入了很多年,但却依然无法体会SQL注入的美味,也许这就是你需要补上的一课。
6、blindElephant
与以往相比,现在的程序员已经越来越轻松。大量现成的框架和库,使得WEB开发越来越像是一种搭积木的游戏。更有大量开源的CMS系统,使得即使完全不懂程序开发的外行也可以轻松搭建自己的WEB应用。这样做的好处主要体现于其效率优势,但由于部署量巨大,任何一个CMS系统自身的漏洞被曝光,其实际的受影响范围都可能非常巨大。BlindElephant基于对静态文件的HASH比对,快速识别目标基于的开源CMS版本,进而判断其可能存在的已知漏洞。
7、cadaver / davtest
WEBDAV是基于HTTP 1.1的扩展协议,其支持使用PUT方法上传文件,基于这个特性可以实现功能强大的内容或配置管理系统。但丰富的功能特性总是会带来安全方面的更多隐患。davtest是一个文件上传漏洞的检测和验证工具,而cadaver作为一个命令行形式的WEBDAV客户端程序,可以对相应服务器进行任何操作。本课我结合以上两个工具,分别向服务器上传正向、反向WEBSHELL,从而最终实现对目标服务器的远程控制。
8、cutycapt
这应该算不上是一个安全工具,但Kali Linux还是坚持吸纳了这个成员。cutycapt的主要功能是将目标WEB页面抓取并保存成为一张图片。我认为其合理的使用场景,应该是作为一个功能组件,在企业自建的安全监控和报告系统中,被直接调用生成页面的截图照片。cutycapt可以识别并执行客户端脚本语言,以及忽略SSL证书相关的错误提示。同时其可以自动识别有效的页面元素,在保证抓取信息完整的前提下,确保图片文件的体积最小。
9、whatweb
whatweb是一个功能简单的WEB扫描工具,其主要功能并非发现WEB应用程序的常见漏洞,而是对其进行指纹信息的收集。具体包括服务器软件版本、开发框架、语言环境、IP地址、javascript库等信息。其内建的约1000个功能插件,可针对不同类型的系统信息进行收集。而且whatweb支持批量扫描,定制请求前缀和后缀,同时还支持代理功能,通常是WEB渗透信息收集阶段使用的第一个工具。
10、uniscan / uniscan-gui
这是一个外表低调内心狂放的WEB扫描器,其功能却远不仅限于WEB一域。除了常规WEB扫描器该有的所有功能全部具备之外,uniscan还提供了『01-信息收集』类工具的很多功能,例如网络层路径追踪、端口发现、指纹探测、漏洞扫描等主动信息收集功能,以及DNS域名解析、搜索引擎信息收集等被动信息收集能力。甚至它还可以作为压力测试工具用来评估服务器的性能极限。uniscan-gui是它的图形化界面版本,功能与命令行界面的uniscan完全一致。
11、burpsuite
如果上天只允许我选择一个WEB安全检查工具的话,我相信自己会选择Burpsuite。这个高效的模块化工具,几乎适用于所有WEB安全测试的场景。它的所有模块之间信息均可互通,同时还拥有大量的扩展插件,即使在面对极度诡异的场景,它总能不辱使命,成为渗透测试者最有利的帮手。整整一年前,我曾讲过一次这个工具。本次课程我在提炼总结了原有内容基础之上,又添加了一些新增功能的介绍,他们个个特色突出,也许日后会有突破性的发展。
12、ua-tester / grabber
ua-tester是个小工具,其唯一功能是基于字典探测什么样的UA不会被服务器拒绝。grabber则是一个面向小型WEB应用的漏洞扫描工具,虽然它支持不少常见漏洞类型的检测,但仅就不支持身份验证这一点,就已经扎实的把它限定在小型WEB扫描器的领域无法逾越了。之所以要一次课程讲这两个工具,没有什么技术性的内在原因,只是因为它们都很小。
13、dirb / dirb-gendict / dirbuster
衡量WEB扫描器优劣的两大指标分别是爬网能力和漏洞检测能力。爬网爬的越全面,发现漏洞的可能性就越大;漏洞验证能力越强,漏洞检测结果就越精准。两者缺一不可。dirb是一个基于字典对目标WEB应用程序路径进行爆破的命令行工具;当现有字典无法满足需求的时候,dirb-gendict可以按指定字符类型和长度生成字典;如果你不喜欢字符界面也没关系,dirbuster提供了图形操作界面,而且功能上涵盖了前两者之和。
14、Gobuster
衡量WEB扫描器优劣的两大指标分别是爬网能力和漏洞检测能力。爬网爬的越全面,发现漏洞的可能性就越大;漏洞验证能力越强,漏洞检测结果就越精准,两者缺一不可。Gobuster由Go语言编写,其一方面是基于字典的WEB路径爆破工具,这一点和dirb非常相似。另一方面Gobuster是一个基于字典的子域名暴破工具,在渗透测试者面对主站一筹莫展的时候,可以帮助我们发现旁路的渗透渠道。
15、fimap
当WEB应用程序将文件路径作为参数赋值,而服务器端对用户输入并未严格过滤的时候,就有可能存在文件包含漏洞。如果被包含的文件非程序代码,则内容会被直接返回给客户端浏览器,造成信息泄露;如果被包含的文件中包含程序代码,则会在服务器端被解析执行。本课我介绍了多种方法实现代码的植入,和对服务器的控制。fimap作为文件包含漏洞的检测、审计、利用工具,同时具备爬网和调用搜索引擎的能力,可极大简化渗透测试者的工作。
16、vega
Kali Linux中绝大部分工具都是命令行工具,大家的学习使用成本都比较高。vega是一个由java语言编写的图形化WEB扫描器,即使是初学者也可以快速学会并上手使用。它不但基于截断代理实现手动爬网,同时也具备主动爬网和自动扫描的能力,对大多数常见漏洞类型进行检测发现。身份认证方面vega支持全面,不但提供HTTP和cookie认证方式,而且还具备登录过程重放功能,大大简化了WEB应用因身份认证给渗透测试者造成的繁琐。
第二部分 信息收集工具介绍
信息收集是渗透测试工作的第一阶段。完整缜密的信息收集,将为我们绘制出目标系统完整的攻击面。这一阶段的成果,不但作为后续工作的基础,同时它也限定了渗透测试所能触及的天花板,和我们可以发挥能力的最大空间。
我相信,每一个在安全领域从业超过五年的技术老兵,都会认同“信息收集才是渗透测成败的关键”这一观点。
17、0trace、tcptraceroute、traceroute描述:进行路径枚举时,传统基于ICMP协议的探测工具经常会受到屏蔽,造成探测结果不够全面的问题。与此相对基于TCP协议的探测,则成功率会有所提高,同时基于已经建立的合法TCP会话的探测则更具优势,甚至可以探测到目标内网。虽然没有银弹,但结合多种技术手段,则可以收集更加完整的目标信息,为后续渗透测试做准备。
18、Acccheck描述:近期泄露的NSA漏洞利用工具在全世界范围内引起了一波又一波的攻击事件,其中的漏洞利用工具大多数与微软的SMB协议有关。历史上SMB协议就曾经出现过MS08-067这样具有里程碑意义的漏洞,直到今天还经常被人们提起。SMB实在是一个值得继续深入挖掘的协议,除非微软彻底放弃它。本工具是针对SMB协议的探测工具,但却并不具备漏洞利用的能力。
19、arping描述:三层IP网络主要的物理连接设备是路由器,路由器与自身路由表匹配流入的每个数据包,从而决定如何转发数据包。作为局域二层网络主要的物理连接设备,交换机通过识别目标MAC地址进行数据帧的转发。这里ARP协议负责将IP地址解析为对应的MAC地址,而arping的作用就是通过发送解析数据包,扫描并发现目标的MAC地址。arping不受二层地址欺骗的影响,是二层网络扫描最重要的工具。
20、automater描述:开源智能不但可以应用于渗透测试阶段的信息收集,更可用于事件响应阶段,来帮助应急响应人员提高问题诊断和威胁评估的工作效率。automater是一个基于python语言开发的开源信息收集工具,它内置了十多个用于信息收集的开源信息平台,可依赖IP、URL、哈希值等信息进行自动搜索。Kali Linux在默认安装的情况下,automater在访问https站点时会发生报错,这个小坑需要我们手动绕过。
21、braa描述:完全依靠人工来监控大型网络的运行状态,是一个令人崩溃的任务。SNMP协议可以大大简化系统和网络管理员的工作,实现问题的快速定位和排查。但缺乏安全意识的管理员经常会采用SNMP的默认配置,这会造成系统信息的泄漏,甚至设备直接被攻击者控制和篡改。braa是一个为快而生的SNMP服务扫描器,其作者甚至不惜完全重新实现了SNMP协议栈,使其尤其适合于大量并发的扫描任务,而占用的系统资源却非常有限。
22、cdpsnarf描述:目前安全研究人员更多关注系统和应用层面的漏洞,关注底层协议漏洞的人寥寥无几,甚至是知之甚少。虽然其中深层原因比较复杂,我不想过多评论,但这一现状对安全业界而言,多少还是令我有些吃惊的。在每个人都大谈攻击面的当下,居然大家都选择性忽视了那么重要的一个短板。cdpsnarf是专门针对二层的思科发现协议的信息收集工具,通过它可以被动收集思科设备的系统版本信息等,为后续渗透提供可选择的路径。此工具本身虽然功能简单,但要想正确使用,你必须对CDP协议原理具有基本的了解,同时这对日后的CDP欺骗攻击也是必备的基础。本次内容,我结合GNS3模拟器生成思科路由器,现场抓包分析CDP协议数据包。
23、cdp描述:二层网络安全通常是个三不管的地带,网络管理员认为这是安全的事,安全工程师则认为这种网络连通性的问题与自己无关,但正因如此,二层威胁往往更加危险。与cdpsnarf只是用来获取CDP报文信息不同,cdp命令可以主动向网络中发出CDP通告报文,从而实现洪水和欺骗攻击。洪水式攻击主要目的在于耗尽网络设备的内存,使其宕机重启,破坏网络的可用性。欺骗攻击则可以在某些网络环境中,以更加诡异的思路窃取系统机密信息,甚至是修改服务器配置;即便只停留在二层网络的范畴,cdp也可能造成vlan hopping的攻击效果,击破二层的网络隔离。
24、casefile描述:在美国大片里,警察经常会把案情相关人员的照片贴在白板上,然后用线条勾绘出人物彼此之间的关系,以此来理清线索和帮助案情分析,这是调查人员经常采用的一种有效的办案手段。作为渗透测试者和安全事件调查人员,非常有必要借鉴这种调查和分析的手段,帮助我们更加缜密的审视目标,发现隐藏在零散信息之间的模糊线索。casefile就是这样一个离线式的人工情报整理分析工具,同时为了满足团队成员协同配合的需要,casefile还提供了在线聊天和图形共享编辑等功能,是所有调查人员有力的助手工具。
25、dmitry描述:主动和被动信息收集是渗透测试初期的必须工作,而且信息收集的质量,往往直接决定了渗透测试的最终成败。但信息情报的收集来源众多,这给渗透测试者造成了不小的困扰。借助于优秀的集成功能信息收集工具,可以大大提高我们的工作效率,dmitry就是其中的优秀一例。它不但支持whois信息收集,而且支持多种搜索引擎的自动信息搜集,但为了取得更好地使用体验,请提前自备FQ利器,否则效果会大打折扣。
26、dnmap描述:nmap是个优秀的网络扫描器,但面对大量地址范围的扫描任务时,它的效率问题一直是异见者惟一能找到的批评点。Dnmap是基于nmap强大的扫描功能之上,开发出来的一个分布式架构,它将扫描的工作仍然交给擅长扫描的nmap来做,而Dnmap自己则只负责分布式扫描任务的分发、管理、日志和监控等工作。软件架构上dnmap采用了C/S架构,通信基于TLS证书进行加密,同时考虑了代码注入等安全因素。虽然已经多年没有更新,但依然是面对大量扫描任务时的不二之选。
27、dnsenum描述:渗透测试工作的起点几乎都始于一个域名,如何通过一个平平无奇的域名,去发现目标机构的所有活动主机、开放端口、应用服务,乃至整个潜在的攻击面,这是渗透测试信息收集阶段最关键的任务之一。dnsenum是一个综合型的域名相关信息收集工具,它支持字典爆破、反向查询、搜索引擎、注册信息、区域传输等多种手段,它的功能几乎涵盖了所有域名信息搜索的相关技术。虽然受我国网络审核现状的影响,某些功能无法正常使用,但仍然不失为一款优秀的信息收集工具。
28、dnsmap描述:渗透测试工作的起点几乎都始于一个域名,如何通过一个平平无奇的域名,去发现目标机构的所有活动主机、开放端口、应用服务,乃至整个潜在的攻击面,这是渗透测试信息收集阶段最关键的任务之一。dnsmap是一个功能专一的域名信息收集工具,它基于字典对目标域名进行主机和子域名的爆破,虽然缺乏丰富的功能特性支持,但dnsmap一直以其稳定快速的运行效果,证明自己是一款优秀的信息收集工具。
29、dnsrecon描述:渗透测试工作的起点几乎都始于一个域名,如何通过一个平平无奇的域名,去发现目标机构的所有活动主机、开放端口、应用服务,乃至整个潜在的攻击面,这是渗透测试信息收集阶段最关键的任务之一。dnsenum是一个综合型的域名相关信息收集工具,它支持字典爆破、反向查询、搜索引擎、注册信息、区域传输等多种手段,它的功能几乎涵盖了所有域名信息搜索的相关技术。虽然受我国网络审核现状的影响,某些功能无法正常使用,但仍然不失为一款优秀的信息收集工具。
30、dnswalk描述:dnswalk大概算不上一个常规渗透测试场景下会用到的工具,它更多的是被安全工程师和审计人员所使用,它的功能是用于检查DNS区域文件配置中的错误和问题,从而避免因DNS服务器配置不当,而造成的功能、性能以及安全性的问题。其具体工作过程基于区域传输来获得区域文件,并对其实施检查,因此axfr是其能够正常工作的前提条件。
31、 dnstracer描述:DNS解析分为递归查询和迭代查询两种类型,通常从客户端到本地缓存服务器之间只有递归查询,因此在DNS完整的树形结构中,我们从客户端是很难看到整个域名解析的迭代过程,这在发生DNS域名劫持时,会给工程师分析问题带来了不小的麻烦。但dnstracer等工具的出现弥补了这个不足,它使普通PC用户也可以从DNS的根服务器开始,逐级解析每一级域名的查询过程,从而发现每一个域名服务器是否已被劫持。2014年曾发生com域名服务器被劫持的事件,导致国内用户长达数周无法访问微软、苹果等国外站点,这时dnstracer将可以快速为你定位问题。
第三部分 漏洞分析工具介绍
面对安全建设较好的目标,我们可能一个已知的漏洞也无法发现。此时渗透测试者应考虑挖掘 0day 漏洞。Fuzz 作为最主要的漏洞挖掘手段,通过向目标程序发送大量随机、半随机的数据,来探测程序可能存在的未知漏洞。
使用 Kali Linux 中全部模糊测试、漏洞挖掘工具的用法,同时涵盖 VoIP 及电信运营商网络协议的漏洞挖掘方法。
32、Cisco-Auditing-Tool
作为网络中主要连接设备的交换机和路由器,承载着网络的全部流量转发,如果这些设备受到黑客控制,造成的破坏效果可能远远高于一个服务器被攻击的情况,而且这一切可能更加隐蔽且难于被发现。安全意识淡漠的网络管理员,可能非常喜欢使用过于简单的密码和SMNP团体名来管理设备,这正是Cisco-Auditing-Tool工具的用武之地,它支持使用内建和用户指定的密码字典进行暴力破解,从而发现网络设备的不安全配置。
33、cisco-global-exploiter
路由器和交换机作为网络的连接设备,承载全部网络流量。但网络设备一旦上线则很难再次停机维护,因此其产品漏洞可能长期无法修复。思科作为世界上最大的网络设备供应商,历史上其产品曾被发现存在多个漏洞,cisco-global-exploiter就是一个针对思科设备漏洞的利用工具合集。其中包含了14个思科产品的EXP,虽然洞领略高,却仍然不能忽视。
34、cisco-torch
出于对已有工具功能的不满,作者开发了cisco-torch这个专门针对思科设备的扫描工具。与其他同类工具相比,cisco-torch具备多种应用层协议的指纹识别特性,借助与第三方指纹库的比对,它可以轻松识别目标设备及系统类型。同时由于采用了多线程的开发方式,所以在性能上torch也同样表现突出。另外在密码破解和漏洞利用方面,torch也具备相应的能力。如果torch破解了设备读写权限的SNMP Community,还会利用其获取设备的完整配置。
35、cisco-ocs
路由器和交换机作为网络连接设备,承载着绝大部分流量。由于企业缺乏安全配置的统一规范,以及网络工程师自身安全意识的淡漠,经常会有人使用弱密码作为设备的远程管理密码。cisco-ocs的功能非常单一,它首先会使用弱口令尝试连接目标telnet端口,如果成功则继续探测enable密码。我曾见过很多思科认证的培训师,在给学员演示配置的过程中,几乎全部都在使用弱密码。而是否有人在生产服务器上也会继续延用这个习惯,就不得而知了。
36、copy-router-config / merge-router-config
SNMP是为了实现网络设备和服务器集中监控而发明的协议,community即相当于它的密码。攻击者一旦获得了密码,则可以利用SNMP协议读取和修改目标设备的配置。copy-router-config / merge-router-config这两个工具专门针对思科设备而设计,它们的功能相对,分别是下载和上传思科设备的配置文件。这两个工具的工作过程需要tftp服务配合,但这完全不会给使用者造成任何困扰,因为要想在kali中启动tftp服务,只需要简单的一条命令即可。
37、dhcpig
DHCP的作用是为网络中其他计算机分配I网络配置参数,其中就包含网关和DNS服务器地址。当攻击者进入内网之后,会尝试通过安装恶意的DHCP服务,来给客户端分配错误的网关和DNS服务器地址,并以此来截取客户端的流量或实施DNS欺骗。由于DHCP的工作机制,在完全比拼响应速度的情况下,攻击者可能并不占有任何优势,于是他们试图先耗尽合法DHCP服务器的地址池,再静等受害者自己上钩。dhcpig的作用就是快速耗尽合法DHCP服务器的地址池。
38、bed & doona
当渗透测试者遇到没有已知漏洞的目标时,则需考虑挖掘0day漏洞。计算机程序的本质是接收用户输入,并返回处理结果。所以从实用的角度出发,向程序发出大量随机和半随机数据,并通过程序的处理结果,来判断漏洞存在的方法称为模糊测试。模糊测试从计算机诞生之初即已存在,而且直到今天仍然是最主要的漏洞发现手段。本课包含手动漏洞挖掘和EXP代码编写,以及如何利用Fuzzer提高漏洞挖掘效率。这是内容满满诚意满满的一课。
39、dotdotpwn
有一种名为『目录遍历』的漏洞类型,其实该漏洞类型并非WEB应用程序专有,很多应用程序上都可能存在此漏洞。今年上半年virtualbox虚拟机软件就曾两次被发现存在『目录遍历』漏洞,利用漏洞,使用者可以从虚拟机中逃逸出来,直接访问其宿主计算机的文件系统。dotdotpwn是一个针对不同协议进行『目录遍历』漏洞模糊测试的Fuzzer程序,其具备多种编码混淆手段,可针对不同的目标系统文件进行模糊测试。
40、enumiax_iaxflood
使用共享带宽和分组交换的计算机网络,承载独占带宽和电路交换的传统电话语音通信,这就是VoIP技术。目前业界使用的VoIP相关协议种类众多,提供服务的产品和厂商也纷繁冗杂,很多产品都有自己的内部通信协议。Asterisk作为应用最为广泛的开源VoIP产品,提出了统一服务端口的IAX协议,用于Asterisk服务器以及客户端之间的所有通信。enumiax是一款对IAX协议用户进行枚举的工具,iaxflood则是利用协议缺陷发起洪水式攻击的工具。
41、 openvas
随着公布漏洞数量不断增长,完全依赖人工方式来发现和验证漏洞,正在变得越来越困难。因此急需提出一种基于漏洞的自动管理方法。这要求我们从生命周期的角度来看待漏洞,将其纳入到日常的管理工作中。openvas是目前开源世界最重要的漏洞管理产品,它基于各种安全行业的标准规范,广泛覆盖了已知的漏洞。它使用简单方便,可以自动发现系统中大部分已知漏洞,无论对于渗透测试者还是安全运维工程师,这都是一个不能缺少的强大工具。
42、golismero
golismero的设计目标是成为WEB扫描领域的瑞士军刀,进而使自己成为全能的一站式WEB安全框架,因此除自行开发的众多功能之外,它同时也整合了大量优秀的开源安全工具。其使用python语言开发,但却完全避免了烦人的库依赖问题,因此它实现了完全意义的跨平台。使用上golismero需要在线连接多种信息提供平台,因此在国内独特的网络环境下,功能上略有受限。
43、lynis
windows之所以被认为不如linux系统安全,很重要的原因之一在于其默认开放的众多系统服务,这是微软在用户体验和安全性上的取舍选择。如果你对windows系统进行适当的加固硬化配置,它也可以像linux一样的安全。而linux系统也不是天生的强壮,要想达到足够的安全水平,它也同样需要适当的加固和硬化配置。lynis是个系统安全检查工具,它能生成一份全面的加固建议列表,并由使用者灵活的自行决定实施哪些加固措施。
第四部分 弱口令审计工具介绍
目前,帐号仍然是最主要的用户身份认证方式,但由于安全意识的淡漠,很多人仍在使用弱口令。而一旦泄漏,所有安全防范机制都将形同虚设。44、crunch在面对妥善保护的系统时,我们可能很难发现其漏洞和可渗透的突破口。作为渗透测试人员,此时应尝试对目标系统进行弱密码的检测。密码破解成败的关键在于字典的质量,crunch是一个密码字典生成器,它可以灵活的按照规则生成定制的密码字典,为了方便使用,其内建了常用的字符集文件,并支持自定义密码构成元素。
45、wordlists / SecLists在面对妥善保护的系统时,我们可能很难发现其漏洞和可渗透的突破口。作为渗透测试人员,此时应尝试对目标系统进行弱密码的检测,密码破解成败的关键在于字典的质量。为了方便使用,Kali中已默认包含了大量通用密码字典,它们分别存放在wordlists、seclists两个目录之中。除密码字典之外,以上目录中还包含大量漏洞挖掘和Fuzz用途的字典文件。
46、hashid / hash-identifier单向加密算法是将可变长度输入数据,加密生成固定长度的密文输出值,即所谓的HASH值。此加密算法通常被认为是不可逆的。但我们可以提前计算常见数据的HASH值,并利用其进行反查匹对应的明文,实现HASH破解。由于HASH算法种类众多,因此需要hashid、hash-identifier来提前判断生成密文的HASH算法,以便查询对应明文。
47、 findmyhash单向加密算法是将可变长度数据,加密生成固定长度的密文输出值,即所谓的HASH值。此加密算法通常被认为是不可逆的。但有众多网站会提前计算常见数据的HASH值,并利用其进行反查匹对应的明文,以此实现HASH值破解。findmyhash可在线查询多个站点的HASH值数据库,批量完成HASH值匹配的破解,其新版本查询效果更佳。48、 fcrackzip存有机密数据的文件,经常会被其所有者加密压缩保存。而作为数据安全审计者,则应对加密文件进行弱口令检查,以确保数据安全性。fcrackzip是一款快速的ZIP压缩文件密码破解工具,其支持基于字典和爆破的两种工作模式,同时其内建了字符集和密码规则指定功能,免去了使用者提前准备和保存密码字典文件的繁琐。
49、cupp3 / cewl / fab-cewl由于人性与生俱来的弱点,使得弱口令成为很多系统都存在的安全问题,即使是那些安全防护较好的站点也不例外。作为渗透测试者,如果能够获得目标系统的密码,则无需繁琐的漏洞挖掘,即可直接接管目标系统。密码破解的关键在于字典的命中率,cupp3可依据个人信息生成专属字典,cewl则通过收集企业信息生成专属字典。使用这些有针对性的字典,使得密码破解的成功率更高。
50、 pwdump / samdump2出于安全性的考虑,windows系统并不会保存用户账号的明文密码,而是以加密的形式存储于本机的SAM数据库中。不过密码虽为密文保存,但如果密码过于简单,仍然存在被破解的可能性。在可以物理接触电脑的情况下,我们可以利用pwdump、samdump2来读取SAM数据库文件中的密文密码,然后再使用其他工具进行密码破解。
51、 chntpw我有一个同事曾经受到电脑勒索,攻击者修改了他的系统账号密码,并要求他支付赎金。众所周知,出于安全性的考虑,windows系统并不会保存用户账号的明文密码,而是以加密的形式存储于本机的SAM数据库中。因此我们可以通过chntpw工具本地读取并修改SAM数据库,将账号密码清空,从而避免受到坏人的勒索。
52、 hydra密码破解可以分为在线破解和离线破解两种。所谓在线破解,就是使用不同的密码向目标服务器发起重复的身份验证请求,然后根据服务器的反馈信息判断登陆是否成功。hydra是开源世界在线密码破解工具中的王者,它不但支持常见的所有协议类型,同时也支持不同形式的WEB表单认证破解。它功能强大,使用灵活简洁。
53、pw-inspector由于人性与生俱来的弱点,弱口令成为很多系统都存在的安全问题,即使是很多安全防护较好的站点也不例外。密码破解的关键在于字典的命中率,如果你知道密码的字符构成规则,可以使用pw-inspector对已有密码字典进行过滤筛选,以便提高密码破解的效率。pw-inspector不能凭空生成字典,它只是对现有字典的过滤筛选工具。
54、 medusa密码破解分为在线破解和离线破解两种。所谓在线破解,就是使用不同的账号密码重复向目标服务器提交身份验证请求,然后根据服务器的反馈信息判断登陆是否成功。medusa是开源世界在线密码破解工具中的又一王者,它支持常见的所有协议类型,同时超高的稳定性是其最大的优势,是密码破解领域的必备工具。
55、 cmospwd计算机开机后运行的第一个程序是POST,即加电自检程序。其检测到的硬件参数和使用者的设置参数都存储于cmos内存芯片中,这些配置参数中也包括cmos密码。在你不小心忘记了密码而无法修改硬件参数时,我们可以使用debug命令或comspwd工具清空或找回密cmos密码,其中cmospwd工具兼容众多BIOS生产厂商的产品,同时对某些品牌机的BIOS还有自动解锁的功能,是一个优秀的跨平台解密工具。
56、 gpp-decrypt从windows server 2008开始,微软为其活动目录域新增加了20多项组策略首选项设置,其中包括通过GPO统一修改客户端账号密码的功能。出于安全的考略,微软使用了强密钥的AES算法来加密下发的密码,但乌龙事件使得微软在其开发者网站上直接公布了该密钥,因此使得安全目标完全破灭。gpp-decrypt既是一个基于泄漏密钥,对加密密码进行解密还原的工具。
57、dbpwauditdbpwaudit是一个由java语言编写的数据库在线密码破解工具,它只支持MSSQL、MySQL、DB2、Oracle等四种数据库类型。直到授课前我才发现,最新版的Kali Linux中已经不再包含此工具,因此现在我们必须手动下载才能使用这款工具。在审计不同数据库时,我们还需要单独下载相应数据库的JDBC驱动,才能使其正常工作。
58、crowbarcrowbar是一个在线的密码破解工具,与同为密码破解工具的hydra、medusa相比,crowbar支持的协议类型十分有限,但却个性十足。crowbar支持的认证破解方式可以很好的弥补hydra、medusa的不足,它支持OpenVPN以及基于密钥方式身份认证的SSH、VNC服务,可作为其他强大密码破解工具的重要补充。
59、brutespray渗透测试初期,我们总是会通过nmap进行主机发现、端口发现、服务发现等几个步骤,来确认可进行密码爆破的服务类型,然后再放出hydra、medusa等工具来实施破解。过程中如果相关端口数量众多的话,我们就不得不笨拙的一个一个进行输入。brutespray可以自动读取和解析nmap的扫描报告,并从中识别出可进行密码破解的服务类型,然后再自动调用medusa实施破解,这将大大提高我们的工作效率。
60、polenum为了保护信息安全,企业网络通常会制定密码策略,强制要求员工设置足够安全的系统账号密码。但人永远都是安全中最薄弱的环节,由于人性中与生俱来怕麻烦和懒惰等特性,大家总是趋向于给自己设置简单的弱口令。作为企业中的安全和审计人员,有责任发现并纠正密码策略失效的情况,polenum是一个正向的安全检查工具,它能够帮助我们高效快捷的进行操作系统的密码策略审计。
