Подборка хак-тулз для ресерчера и пентестера.

by @lizardsquad
Подборка хак-тулз для ресерчера и пентестера.

Отличный фронтенд для GDB/LLDB/WinDbg, проверенная тулза для спуфа портов и реверсивных атак, несколько крайне удачных расширений для Burp и просто мастхев-утилиты в копилку любого ресерчера.

Прокачиваем GDB/LLDB

  • Разработчик: snare
  • Страница: GitHub

LLDB/GDB — проверенные временем инструменты отладки, которые тем не менее из коробки имеют весьма спартанский интерфейс в силу исторических причин. Разумеется, у многих ресерчеров есть удобный лично им фронтенд — от древних линуксовых поделий до модных macOS-тулз типа Hopper. Voltron — еще один проект в этом ряду.

Voltron — это удобный фронтенд на Python, который работает с LLDB, GDB и WinDbg. Он в наглядном виде покажет регистры процессора, состояние памяти, дизассемблированный вывод и текущие брейк-пойнты. Каждое «окно дашборда» удобно запустить отдельным процессом под tmux, а для того, чтобы расставить панели в удобном (читай: а-ля тайловом) порядке, автор справедливо предлагает использовать tmuxinator — надстройку для tmux, которая сохранит лейауты расположения окон tmux и позволит быстро восстановить сессию voltron с отладчиком до рабочей конфигурации.


К сожалению, snare, автор voltron, в последнее время основательно подзабил на свой проект. Но и без этого voltron работает весьма стабильно и в каких-то криминальных глюках пока замечен не был.

Спуфим порты

Часто первое, что делает атакующий, когда начинает работу с сервером, — аккуратно Nmap’ит все (а чаще самые популярные) порты. Оно и понятно: по статусу открытого порта (или CLOSED, или FILTERED) можно сделать вывод о том, какое ПО крутится на сервере, и часто по фингерпринтам возвращаемых данных можно определить и версию ПО и, соответственно, выработать план атаки.

Утилита portspoof несколько усложнит этот этап. Вместо того чтобы возвращать реальное состояние порта, portspoof будет отвечать валидным SYN/ACK’ом на любой запрос. При этом все порты будут казаться для атакующего открытыми. Вторая особенность — на запросы к сервисам portspoof будет отвечать валидными динамическими сигнатурами, которые якобы крутятся на этих портах. Как результат, атакующему может понадобиться много времени, чтобы понять, что же в реальности происходит на атакуемом сервере.

Визуализируем клиенты

При пентестах часто требуется использовать несколько браузеров для выполнения идентичных запросов и проверки результата — ответа сервера. По умолчанию, если пустить несколько браузеров через прокси Burp’а, они будут показываться в едином списке, и понять, какой запрос от какого браузера, можно, только если посмотреть, скажем, заголовки HTTP Request.

Плагин Multi-Browser Highlighting как раз решает эту проблему. После его установки и активации список выполненных запросов, которые поймал бурповский прокси, будет подсвечен различными цветами. Цвет запроса определяется в зависимости от того браузера, который послал конкретный запрос. Таким образом визуально вы сможете быстро отделить запросы Chrome от Firefox и больше не путаться, прослеживая, скажем, как первый запрос влияет на второй.

Детектим хеши

Зачастую раздобыть заветные хеши — это далеко не все, что нужно сделать перед тем, как начинать брут. Иногда еще бывает полезно понять, а что, собственно, будем брутить. Другими словами, что за хеш попался нам в сети.

hashID — это чрезвычайно полезная тулза на Python 3, которая попытается определить, что за тип хеша перед ней. В библиотеке hashID более двухсот различных сигнатур хешей и сервисов, которые их используют. Полный список доступен на Гитхабе в Excel-файле. hashID дружит с hashcat, John The Ripper, а также без проблем запускается и на второй ветке Python.

Ищем ошибки в S3+

Amazon S3 — популярное облачное файловое хранилище. При довольно высокой стоимости Амазон обеспечивает простоту настройки, высокую доступность и миллион настроек. Из последнего преимущества вытекает логичный недостаток — недосмотреть и неправильно сконфигурировать настройки бакета в S3 довольно просто.

AWS Extender — это удобное расширение для Burp, которое поможет просканировать AWS и другие облачные сервисы на типичные ошибки конфигурации вроде неверно выставленных прав доступа или записи. В работе AWS Extender использует популярную библиотеку boto3, а также, кроме Амазона, поддерживает не менее популярные Google Cloud и Azure. Для работы потребуются собственные ключики AWS или Google Cloud.

Упрощаем скан WordPress

Wpscan, без сомнения, топовый скрипт, который помогает множеству ресерчеров почти автоматически находить уязвимые инсталляции WordPress. Что может быть проще: пускаете скрипт через прокси, натравливаете на сайт и через пару минут в удобном виде получаете инфу об устаревших плагинах, уязвимых плагинах и прочих интересных находках. Но можно еще удобнее.

Burp WP — это плагин для Burp, который поможет вам находить уязвимые места, не покидая любимого сканера. Тулза доступна прямо из BApp Store и для работы требует Jython. Все найденные проблемы детально логируются в соответствующем разделе окна Burp, а возможность работы с офлайновой базой дает плагину еще несколько очков. Программа активно развивается и содержит довольно подробный README. Обязательно пробегитесь и включите в свой арсенал, если пользуешься Burp’ом для пентестов.

Извлекаем данные из SVN

История о доступных извне папках .svn или .git — притча во языцех. Тем не менее при пентестах регулярно встречаются бессовестно торчащие наружу кишочки системы контроля версий исходного кода приложения. Конечно, Git сегодня более популярен, но SVN по-прежнему встречается, в том числе и у больших проектов. Автоматизировать работу с этим безобразием поможет Svn-Extractor.

Используя Svn-Extractor, вы сможете подробно разузнать структуру исходного кода проекта, найти файлы, которые не видны снаружи, посмотреть, кто, когда и что коммитил в проект, а также вытащить изменения, которые были затерты более поздними коммитами. А в них вполне могут обнаружиться логины-пароли от тестовых и не очень сервисов, случайно закоммиченные разработчиками. В общем, со всех сторон еще один полезный в хозяйстве инструмент.

July 25, 2018
by @lizardsquad