Kali Linux

Bedste værktøjer til indsamling af information i Kali Linux

Bedste værktøjer til indsamling af information i Kali Linux

Nmap

Network Mapper, der almindeligvis bruges som Nmap, er et gratis og open source-værktøj til scanning af netværk og havn. Det er også dygtigt i mange andre aktive informationsindsamlingsteknikker. Nmap er langt det mest anvendte værktøj til informationsindsamling, der bruges af penetrationstestere. Det er et CLI-baseret værktøj, men det har også en GUI-baseret version på markedet med navnet Zenmap. Det var engang et “Unix Only” -værktøj, men understøtter nu mange andre operativsystemer som Windows, FreeBSD, OpenBSD, Sun Solaris og mange andre. Nmap leveres forudinstalleret i penetrationstestdistroer som Kali Linux og Parrot OS. Det kan også installeres på andre operativsystemer. For at gøre det skal du søge Nmap her.

figur 1.1 viser dig en normal scanning og resultater. Scanningen afslørede de åbne porte 902 og 8080. figur 1.2 viser dig en simpel servicescanning, der fortæller, hvilken service der kører på porten. figur 1.3 viser en standardscript-scanning. Disse scripts afslører undertiden interessante oplysninger, der kan bruges yderligere i de laterale dele af en pen-test. For flere muligheder, skriv nmap i terminalen, og den viser dig version, brug og alle andre tilgængelige indstillinger.


Fig. 1.1: Enkel Nmap-scanning


Fig. 1.2: Nmap service / version scanning


Fig. 1.3: Standard script scanning

Tcpdump

Tcpdump er en gratis datanetværkspakkeanalysator, der fungerer på CLI-grænsefladen. Det giver brugerne mulighed for at se, læse eller fange netværkstrafik, der transmitteres over et netværk, der er knyttet til computeren. Oprindeligt skrevet i 1988 af fire arbejdere ved Lawrence Berkely Laboratory Network Research Group, blev det organiseret i 1999 af Michael Richardson og Bill Fenner, der skabte www.tcpdump.org. Det fungerer på alle Unix-lignende operativsystemer (Linux, Solaris, Alle BSD'er, macOS, SunSolaris osv.). Windows-versionen af ​​Tcpdump hedder WinDump og bruger WinPcap, windows-alternativet til libpcap.

Sådan installeres tcpdump:

$ sudo apt-get install tcpdump

Anvendelse:

# tcpdump [Indstillinger] [udtryk]

For detaljer om detaljer:

$ tcpdump -h

Wireshark

Wireshark er en utrolig interaktiv netværkstrafikanalysator. Man kan dumpe og analysere pakker, når de modtages. Oprindeligt udviklet af Gerald Combs i 1998 som Ethereal, blev det omdøbt til Wireshark i 2006 på grund af problemer med varemærker. Wireshark tilbyder også forskellige filtre, så brugeren kan specificere, hvilken type trafik der skal vises eller dumpes til senere analyse. Wireshark kan downloades fra www.wireshark.org / # download. Den er tilgængelig på de fleste af de almindelige operativsystemer (Windows, Linux, macOS) og kommer forudinstalleret i de fleste penetrationsdistroer som Kali Linux og Parrot OS.

Wireshark er et kraftfuldt værktøj og har brug for en god forståelse af grundlæggende netværk. Det konverterer trafikken til et format, som mennesker let kan læse. Det kan hjælpe brugerne med at foretage fejlfinding af forsinkelsesproblemer, tabte pakker eller endda hackingsforsøg mod din organisation. Desuden understøtter det op til to tusind netværksprotokoller. Man kan muligvis ikke bruge dem alle, da almindelig trafik består af UDP-, TCP-, DNS- og ICMP-pakker.

Et kort

Application Mapper (også et kort), som navnet antyder, er et værktøj til at kortlægge applikationer på åbne porte på en enhed. Det er et næste generations værktøj, der kan finde applikationer og processer, selv når de ikke kører på deres konventionelle porte. For eksempel, hvis en webserver kører på port 1337 i stedet for standardport 80, kan amap opdage dette. Amap leveres med to fremtrædende moduler. Først, amapcrap kan sende mock-data til porte for at generere en slags respons fra målporten, som senere kan bruges til yderligere analyse. For det andet har amap kernemodulet, som er Application Mapper (et kort).

Amap-brug:

$ amap -h
amap v5.4 (c) 2011 af van Hauser www.thc.org / thc-amap
Syntaks: amap [Tilstande [-A | -B | -P]] [Indstillinger] [MÅLPORT [port] ...]
Tilstande:
-A (standard) Send udløsere og analyser svar (kortapplikationer)
-B Grib KUN bannere; send ikke udløsere
-P En fuldgyldig tilslutningsport-scanner
Muligheder:
-1 Hurtig! Send udløsere til en port indtil 1. identifikation
-6 Brug IPv6 i stedet for IPv4
-b Udskriv ASCII-banner med svar
-i FIL Maskinlæsbar outputfil, som porte kan læses fra
-u Angiv UDP-porte på kommandolinjen (standard: TCP)
-R Identificer IKKE RPC-service
-H Send IKKE potentielt skadelige applikationsudløsere
-U dump IKKE ukendte svar
-d Dump alle svar
-v Udvidet tilstand brug to eller flere gange for mere detaljeret
-q Rapporter ikke lukkede porte, og udskriv dem ikke som uidentificerede
-o FILE [-m] Skriv output til fil FILE; -m skaber maskinlæsbart output
-c CONS Opret parallelle forbindelser (standard 32, max 256)
-C RETRIES Antal forbindelser igen ved tilslutning af timeouts (standard 3)
-T SEC Forbind timeout på forbindelsesforsøg i sekunder (standard 5)
-t SEC Response vent et timeout i sekunder (standard 5)
-p PROTO Send KUN udløsere til denne protokol (e.g. FTP)
MÅLPORT Måladresse og port (e), der skal scannes (ekstra til -i)


Fig. 4.1 Eksempel på amap-scanning

p0f

p0f er den korte form for “sassive OS fingerprinting ”(Et nul bruges i stedet for et O). Det er en passiv scanner, der kan identificere systemer eksternt. p0f bruger fingeraftryksteknikker til at analysere TCP / IP-pakker og for at bestemme forskellige konfigurationer inklusive værts operativsystem. Det har evnen til at udføre denne proces passivt uden at generere mistænkelig trafik. p0f kan også læse pcap-filer.

Anvendelse:

# p0f [Indstillinger] [filterregel]

Fig. 5.1 Eksempel på p0f-output
Værten skal enten oprette forbindelse til dit netværk (spontant eller induceret) eller være forbundet til en eller anden enhed på dit netværk på en eller anden måde (webbrowsing osv.) Værten kan acceptere eller afvise forbindelsen. Denne metode er i stand til at se gennem pakkefirewalls og er ikke bundet af begrænsningerne ved et aktivt fingeraftryk. Passiv OS-fingeraftryk bruges hovedsageligt til angriberprofilering, besøgsprofilering, kunde / brugerprofilering, penetrationstest osv.

Ophør

Rekognoscering eller informationsindsamling er det første skridt i enhver penetrationstest. Det er en væsentlig del af processen. At starte en penetrationstest uden en anstændig rekonstruktion er som at gå i krig uden at vide, hvor og hvem du kæmper. Som altid er der en verden af ​​fantastiske rekonstruktionsværktøjer bortset fra ovenstående. Alt takket være et fantastisk open source- og cybersikkerhedsfællesskab!

Glad Recon! 🙂

Mus Sådan vender du musens og touchpadsens rulle retning i Windows 10
Sådan vender du musens og touchpadsens rulle retning i Windows 10
Mus og Touchpads gør ikke kun computing let, men mere effektiv og mindre tidskrævende. Vi kan ikke forestille os et liv uden disse enheder, men det er...
Mus Sådan ændres musemarkør og markørstørrelse, farve og skema på Windows 10
Sådan ændres musemarkør og markørstørrelse, farve og skema på Windows 10
Musemarkøren og markøren i Windows 10 er meget vigtige aspekter af operativsystemet. Dette kan også siges om andre operativsystemer, så i sandhed er d...
Spil Gratis og open source-spilmotorer til udvikling af Linux-spil
Gratis og open source-spilmotorer til udvikling af Linux-spil
Denne artikel dækker en liste over gratis og open source-spilmotorer, der kan bruges til at udvikle 2D- og 3D-spil på Linux. Der er mange sådanne spil...