渗透测试工具自己开发_渗透测试工具cs

【网络安全入门教程】Web渗透测试常用工具

众所周知，借助专业工具，可以让渗透测试更加有效、高效，也是节省时间、提升工作效率的关键，那么Web渗透测试常用工具你知道几个?以下是全部内容介绍。

第一个：NST

NST一套免费的开源应用程序，是一个基于Fedora的Linux发行版，可在32和64位平台上运行。这个可启动的Live

CD是用于监视、分析和维护计算机网络上的安全性;它可以很容易地将X86系统转换为肉机，这有助于入侵检测，网络流量嗅探，网络数据包生成，网络/主机扫描等。

第二个：NMAP

NMAP是发现企业网络中任何类型的弱点或漏洞的绝佳工具，它也是审计的好工具。该工具的作用是获取原始数据包并确定哪些主机在网络的特定段上可用，正在使用什么操作系统，以及识别特定主机的数据包防火墙或过滤器的不同类型和版本正在使用。NMAP对渗透测试过程的任何阶段都很有用并且还是免费的。

第三个：BeEF工具

BeEF工具主要利用移动端的客户，它的作用是用于检查Web浏览器，对抗Web抗击。BeEF用GitHub找漏洞，它探索了Web边界和客户端系统之外的缺陷。很重要的是，它是专门针对Web浏览器的，能够查看单个源上下文中的漏洞。

第四个：Acunetix Scanner

它是一款知名的网络漏洞扫描工具，能审计复杂的管理报告和问题，并且通过网络爬虫测试你的网站安全，检测流行安全漏洞，还能包含带外漏洞。它具有很高的检测率，覆盖超过4500个弱点;此外，这个工具包含了AcuSensor技术，手动渗透工具和内置漏洞测试，可快速抓取数千个网页，大大提升工作效率。

第五个：John the Ripper

它是一个简单可快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持大多数的加密算法，如DES、MD4、MD5等。

网络安全工程师分享的6大渗透测试必备工具

租用海外服务器，不可避免就是考虑使用安全问题，其中渗透测试可模仿网络黑客攻击，来评估海外服务器网络系统安全的一种方式。互联网中，渗透测试对网络安全体系有着重要意义。

通过渗透工具可提高渗透测试效率。快速云作为专业的IDC服务商，在本文中为大家分享了网络安全工程师推荐的6种必备渗透工具，使用这6种工具后用户可实现更高效的进行渗透测试。

一、NST网络安全工具

NST是基于Fedora的Linux发行版，属于免费的开源应用程序，在32、64平台运行。使用NST可启动LiveCD监视、分析、维护海外服务器网络安全性。可以用于入侵检测、网络浏览嗅探、网络数据包生成、扫描网络/海外服务器等等。

二、NMAP

可以用于发现企业网络种任意类型的弱点、漏洞，也可以用于审计。原理是通过获得原始数据包渠道哪些海外服务器在网络特定段中有效，使用的是什么操作系统，识别正在使用的特定海外服务器的数据包防火墙/过滤器的不同版本和类型。

三、BeEF工具

BeEF工具可以通过针对web浏览器查看单源上下文的漏洞。

四、AcunetixScanner

一款可以实现手动渗透工具和内置漏洞测试，可快速抓取数千个网页，可以大量提升工作效率，而且直接可以在本地或通过云解决方案运行，检测出网站中流行安全漏洞和带外漏洞，检测率高。

五、JohntheRipper

这款工具最常见，可简单迅速的破解密码。支持大部分系统架构类型如Unix、Linux、Windows、DOS模式等，常用于破解不牢固的Unix/Linux系统密码。

六、SamuraiWeb测试框架

SamuraiWeb测试框架预先配置成网络测试平台。内含多款免费、开源的黑客工具，能检测出网站漏洞，不用搭建环境装平台节省大部分时间很适合新手使用。

26岁，几乎零基础，想从基础学习渗透测试该如何进行？

我觉得不管要学什么，首先应该对自己先树立信心，坚信只要肯努力，没有什么事不行的。其次要考虑好，自己是否真的喜欢这个东西，这个也是遇到困难之后会坚持下去的前提，如果真的喜欢，应该从这方面开始了解。

首先要了解怎么开始学起的话最实用的还是要先看书了解一下相关知识。入门的话还是看metasploit魔鬼训练营和黑客攻防技术宝典web实战篇吧，这两个讲的比较简单明了。自己入门更多是看书，然后搭建环境测试学习，下载攻防环境测试，还有研究一些比较新的高危漏洞，平时多关注freebuf和乌云，当然也在学习python了。

在渗透测试学习过程中，你会遇到很多问题。所以当你明白问题症结所在的时候，要学会独立写poc。 如果你只单纯依赖互联网上的工具，就永远不会进步，永远学不会。有很多渗透工具，你需要开发自己的扩展，才能发挥自己的力量。

我觉得渗透对于经验丰富的黑客来说是可以完全不依赖任何工具的。只要了解到系统的弱点，开发工具只是能更快速，更简便的找到这些。基本功扎实才是硬道理。学习渗透测试，成为一个专业的黑客，这条道路很漫长。但是如果真的很喜欢，并且已经做好准备，才能找到方向去学习，我觉得趁着年轻，尽管去试试，黑客是个很酷的职业。

如何对网站进行渗透测试和漏洞扫描

零、前言

渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗透测试方法均为（假设为）合法的评估服务，也就是通常所说的道德黑客行为（Ethical hacking），因此我们这里的所有读者应当都是Ethical Hackers，如果您还不是，那么我希望您到过这里后会成为他们中的一员 ；）

这里，我还想对大家说一些话：渗透测试重在实践，您需要一颗永不言败的心和一个有着活跃思维的大脑。不是说您将这一份文档COPY到您网站上或者保存到本地电脑您就会了，即使您将它打印出来沾点辣椒酱吃了也不行，您一定要根据文档一步一步练习才行。而且测试重在用脑，千万别拿上一两个本文中提到的工具一阵乱搞，我敢保证：互联网的安全不为因为这样而更安全。祝您好运。。。

一、简介

什么叫渗透测试？

渗透测试最简单直接的解释就是：完全站在攻击者角度对目标系统进行的安全性测试过程。

进行渗透测试的目的？

了解当前系统的安全性、了解攻击者可能利用的途径。它能够让管理人员非常直观的了解当前系统所面临的问题。为什么说叫直观呢？就像Mitnick书里面提到的那样，安全管理（在这里我们改一下，改成安全评估工作）需要做到面面俱到才算成功，而一位黑客（渗透测试）只要能通过一点进入系统进行破坏，他就算是很成功的了。

渗透测试是否等同于风险评估？

不是，你可以暂时理解成渗透测试属于风险评估的一部分。事实上，风险评估远比渗透测试复杂的多，它除渗透测试外还要加上资产识别，风险分析，除此之外，也还包括了人工审查以及后期的优化部分（可选）。

已经进行了安全审查，还需要渗透测试吗？

如果我对您说：嘿，中国的现有太空理论技术通过计算机演算已经能够证明中国完全有能力实现宇航员太空漫步了，没必要再发射神8了。您能接受吗？

渗透测试是否就是黑盒测试？

否，很多技术人员对这个问题都存在这个错误的理解。渗透测试不只是要模拟外部黑客的入侵，同时，防止内部人员的有意识（无意识）攻击也是很有必要的。这时，安全测试人员可以被告之包括代码片段来内的有关于系统的一些信息。这时，它就满足灰盒甚至白盒测试。

渗透测试涉及哪些内容?

技术层面主要包括网络设备，主机，数据库，应用系统。另外可以考虑加入社会工程学（入侵的艺术/THE ART OF INTRUSION）。

渗透测试有哪些不足之处？

主要是投入高，风险高。而且必须是专业的Ethical Hackers才能相信输出的最终结果。

你说的那么好，为什么渗透测试工作在中国开展的不是很火热呢？

我只能说：会的，一定会的。渗透测试的关键在于没法证明你的测试结果就是完善的。用户不知道花了钱证明了系统有问题以后，自己的安全等级到了一个什么程序。但是很显然，用户是相信一个专业且经验丰富的安全团队的，这个在中国问题比较严重。在我接触了一些大型的安全公司进行的一些渗透测试过程来看，测试人员的水平是对不住开的那些价格的，而且从测试过程到结果报表上来看也是不负责的。我估计在三年以后，这种情况会有所改观，到时一方面安全人员的技术力量有很大程度的改观，另一方面各企业对渗透测试会有一个比较深刻的理解，也会将其做为一种IT审计的方式加入到开发流程中去。渗透测试的专业化、商业化会越来越成熟。

二、制定实施方案

实施方案应当由测试方与客户之间进行沟通协商。一开始测试方提供一份简单的问卷调查了解客户对测试的基本接收情况。内容包括但不限于如下：

目标系统介绍、重点保护对象及特性。

是否允许数据破坏？

是否允许阻断业务正常运行？

测试之前是否应当知会相关部门接口人？

接入方式？外网和内网？

测试是发现问题就算成功，还是尽可能的发现多的问题？

渗透过程是否需要考虑社会工程？

。。。

在得到客户反馈后，由测试方书写实施方案初稿并提交给客户，由客户进行审核。在审核完成后，客户应当对测试方进行书面委托授权。这里，两部分文档分别应当包含如下内容：

实施方案部分：

...

书面委托授权部分：

...

三、具体操作过程

1、信息收集过程

网络信息收集:

在这一部还不会直接对被测目标进行扫描，应当先从网络上搜索一些相关信息，包括Google Hacking， Whois查询， DNS等信息（如果考虑进行社会工程学的话，这里还可以相应从邮件列表/新闻组中获取目标系统中一些边缘信息如内部员工帐号组成，身份识别方式，邮件联系地址等）。

1.使用whois查询目标域名的DNS服务器

2.nslookup

set type=all

domain

server ns server

set q=all

ls -d domain

涉及的工具包括：Google,Demon,webhosting.info,Apollo,Athena,GHDB.XML,netcraft,seologs　除此之外，我想特别提醒一下使用Googlebot/2.1绕过一些文件的获取限制。

Google hacking 中常用的一些语法描述

1.搜索指定站点关键字site。你可以搜索具体的站点如site:。使用site:nosec.org可以搜索该域名下的所有子域名的页面。甚至可以使用site:org.cn来搜索中国政府部门的网站。

2.搜索在URL网址中的关键字inurl。比如你想搜索带参数的站点，你可以尝试用inurl:asp?id=

3.搜索在网页标题中的关键字intitle。如果你想搜索一些登陆后台，你可以尝试使用intitle:"admin login"

目标系统信息收集:

通过上面一步，我们应当可以简单的描绘出目标系统的网络结构，如公司网络所在区域，子公司IP地址分布，VPN接入地址等。这里特别要注意一些比较偏门的HOST名称地址，如一些backup开头或者temp开关的域名很可能就是一台备份服务器，其安全性很可能做的不够。

从获取的地址列表中进行系统判断，了解其组织架构及操作系统使用情况。最常用的方法的是目标所有IP网段扫描。

端口/服务信息收集:

这一部分已经可以开始直接的扫描操作，涉及的工具包括：nmap,thc-amap

1.我最常使用的参数

nmap -sS -p1-10000 -n -P0 -oX filename.xml --open -T5 ip address

应用信息收集：httprint，SIPSCAN，smap

这里有必要将SNMP拿出来单独说一下，因为目前许多运营商、大型企业内部网络的维护台通过SNMP进行数据传输，大部分情况是使用了默认口令的，撑死改了private口令。这样，攻击者可以通过它收集到很多有效信息。snmp-gui，HiliSoft MIB Browser，mibsearch，net-snmp都是一些很好的资源。

2、漏洞扫描

这一步主要针对具体系统目标进行。如通过第一步的信息收集，已经得到了目标系统的IP地址分布及对应的域名，并且我们已经通过一些分析过滤出少许的几个攻击目标，这时，我们就可以针对它们进行有针对性的漏洞扫描。这里有几个方面可以进行：

针对系统层面的工具有：ISS, Nessus, SSS, Retina, 天镜, 极光

针对WEB应用层面的工具有：AppScan, Acunetix Web Vulnerability Scanner, WebInspect, Nstalker

针对数据库的工具有：ShadowDatabaseScanner, NGSSQuirreL

针对VOIP方面的工具有：PROTOS c07 sip(在测试中直接用这个工具轰等于找死)以及c07 h225, Sivus, sipsak等。

事实上，每个渗透测试团队或多或少都会有自己的测试工具包，在漏洞扫描这一块针对具体应用的工具也比较个性化。

3、漏洞利用

有时候，通过服务/应用扫描后，我们可以跳过漏洞扫描部分，直接到漏洞利用。因为很多情况下我们根据目标服务/应用的版本就可以到一些安全网站上获取针对该目标系统的漏洞利用代码，如milw0rm, securityfocus,packetstormsecurity等网站，上面都对应有搜索模块。实在没有，我们也可以尝试在GOOGLE上搜索“应用名称 exploit”、“应用名称 vulnerability”等关键字。

当然，大部分情况下你都可以不这么麻烦，网络中有一些工具可供我们使用，最著名的当属metasploit了，它是一个开源免费的漏洞利用攻击平台。其他的多说无益，您就看它从榜上无名到冲进前五（top 100)这一点来说，也能大概了解到它的威力了。除此之外，如果您（您们公司）有足够的moeny用于购买商用软件的话，CORE IMPACT是相当值得考虑的，虽然说价格很高，但是它却是被业界公认在渗透测试方面的泰山北斗，基本上测试全自动。如果您觉得还是接受不了，那么您可以去购买CANVAS，据说有不少0DAY，不过它跟metasploit一样，是需要手动进行测试的。最后还有一个需要提及一下的Exploitation_Framework，它相当于一个漏洞利用代码管理工具，方便进行不同语言，不同平台的利用代码收集，把它也放在这里是因为它本身也维护了一个exploit库，大家参考着也能使用。

上面提到的是针对系统进行的，在针对WEB方面，注入工具有NBSI, OWASP SQLiX, SQL Power Injector, sqlDumper, sqlninja, sqlmap, Sqlbftools, priamos, ISR-sqlget***等等。

在针对数据库方面的工具有：

数据库 工具列表 Oracle（1521端口）: 目前主要存在以下方面的安全问题：

1、TNS监听程序攻击（sid信息泄露,停止服务等）

2、默认账号(default password list)

3、SQL INJECTION（这个与传统的意思还不太一样）

4、缓冲区溢出，现在比较少了。 thc-orakel, tnscmd, oscanner, Getsids, TNSLSNR, lsnrcheck, OAT, Checkpwd, orabf MS Sql Server（1433、1434端口） Mysql（3306端口） DB2（523、50000、50001、50002、50003端口） db2utils Informix（1526、1528端口）

在针对Web服务器方面的工具有：

WEB服务器 工具列表 IIS IISPUTSCANNER Tomcat 想起/admin和/manager管理目录了吗？另外，目录列表也是Tomcat服务器中最常见的问题。比如5.*版本中的;index.jsp

"../manager/html

;cookievalue=%5C%22FOO%3B+Expires%3DThu%2C+1+Jan+2009+00%3A00%3A01+UTC%3B+Path%3D%2F%3B

;cookievalue=%5C%22A%3D%27%3B+Expires%3DThu%2C+1+Jan+2009+00%3A00%3A01+UTC%3B+Path%3D%2Fservlets-examples%2Fservlet+%3B JBOSS jboss的漏洞很少，老版本中8083端口有%符号的漏洞：

GET %. HTTP/1.0可以获取物理路径信息，

GET %server.policy HTTP/1.0可以获取安全策略配置文档。

你也可以直接访问GET %org/xxx/lib.class来获取编译好的java程序，再使用一些反编译工具还原源代码。 Apache Resin

;servletpath=file=WEB-INF/web.xml

;servletpath=file=WEB-INF/classes/com/webapp/app/target.class

[path]/[device].[extension]

.."web-inf

[path]/%20.xtp WebLogic

Web安全测试主要围绕几块进行：

Information Gathering：也就是一般的信息泄漏，包括异常情况下的路径泄漏、文件归档查找等

Business logic testing：业务逻辑处理攻击，很多情况下用于进行业务绕过或者欺骗等等

Authentication Testing：有无验证码、有无次数限制等，总之就是看能不能暴力破解或者说容不容易通过认证，比较直接的就是“默认口令”或者弱口令了

Session Management Testing：会话管理攻击在COOKIE携带认证信息时最有效

Data Validation Testing：数据验证最好理解了，就是SQL Injection和Cross Site Script等等

目前网上能够找到许多能够用于进行Web测试的工具，根据不同的功能分主要有：

枚举（Enumeration）： DirBuster, http-dir-enum, wget

基于代理测试类工具：paros, webscarab, Burp Suite

针对WebService测试的部分有一些尚不是很成熟的工具，如：wsbang，wschess，wsmap，wsdigger，wsfuzzer

这一部分值得一提的是，很多渗透测试团队都有着自己的测试工具甚至是0DAY代码，最常见的是SQL注入工具，现网开发的注入工具（如NBSI等）目前都是针对中小企业或者是个人站点/数据库进行的，针对大型目标系统使用的一些相对比较偏门的数据库系统（如INFORMIX，DB2）等，基本上还不涉及或者说还不够深入。这时各渗透测试团队就开发了满足自身使用习惯的测试工具。

在针对无线环境的攻击有：WifiZoo

4、权限提升

在前面的一些工作中，你或许已经得到了一些控制权限，但是对于进一步攻击来说却还是不够。例如：你可能很容易的能够获取Oracle数据库的访问权限，或者是得到了UNIX(AIX,HP-UX,SUNOS)的一个基本账号权限，但是当你想进行进一步的渗透测试的时候问题就来了。你发现你没有足够的权限打开一些密码存储文件、你没有办法安装一个SNIFFER、你甚至没有权限执行一些很基本的命令。这时候你自然而然的就会想到权限提升这个途径了。

目前一些企业对于补丁管理是存在很大一部分问题的，他们可能压根就没有想过对一些服务器或者应用进行补丁更新，或者是延时更新。这时候就是渗透测试人员的好机会了。经验之谈：有一般权限的Oracle账号或者AIX账号基本上等于root，因为这就是现实生活。

5、密码破解

有时候，目标系统任何方面的配置都是无懈可击的，但是并不是说就完全没办法进入。最简单的说，一个缺少密码完全策略的论证系统就等于你安装了一个不能关闭的防盗门。很多情况下，一些安全技术研究人员对此不屑一顾，但是无数次的安全事故结果证明，往往破坏力最大的攻击起源于最小的弱点，例如弱口令、目录列表、SQL注入绕过论证等等。所以说，对于一些专门的安全技术研究人员来说，这一块意义不大，但是对于一个ethical hacker来说，这一步骤是有必要而且绝大部分情况下是必须的。；）

目前比较好的网络密码暴力破解工具有：thc-hydra，brutus

hydra.exe -L users.txt -P passwords.txt -o test.txt -s 2121 ftp

目前网络中有一种资源被利用的很广泛，那就是rainbow table技术，说白了也就是一个HASH对应表，有一些网站提供了该种服务，对外宣称存储空间大于多少G，像rainbowcrack更是对外宣称其数据量已经大于1.3T。

针对此种方式对外提供在线服务的有：

网址 描述 rainbowcrack 里面对应了多种加密算法的HASH。 数据量全球第一，如果本站无法破解，那么你只能去拜春哥...

当然，有些单机破解软件还是必不可少的：Ophcrack，rainbowcrack（国人开发，赞一个），cain，L0phtCrack（破解Windows密码），John the Ripper（破解UNIX/LINUX）密码，当然，还少不了一个FindPass...

针对网络设备的一些默认帐号，你可以查询和

在渗透测试过程中，一旦有机会接触一些OFFICE文档，且被加了密的话，那么，rixler是您马上要去的地方，他们提供的OFFICE密码套件能在瞬间打开OFFICE文档（2007中我没有试过，大家有机会测试的话请给我发一份测试结果说明，谢谢）。看来微软有理由来个补丁什么的了。对于企业来说，您可以考虑使用铁卷或者RMS了。

6、日志清除

It is not necessary actually.

7、进一步渗透

攻入了DMZ区一般情况下我们也不会获取多少用价值的信息。为了进一步巩固战果，我们需要进行进一步的内网渗透。到这一步就真的算是无所不用其及。最常用且最有效的方式就是Sniff抓包（可以加上ARP欺骗）。当然，最简单的你可以翻翻已入侵机器上的一些文件，很可能就包含了你需要的一些连接帐号。比如说你入侵了一台Web服务器，那么绝大部分情况下你可以在页面的代码或者某个配置文件中找到连接数据库的帐号。你也可以打开一些日志文件看一看。

除此之外，你可以直接回到第二步漏洞扫描来进行。

四、生成报告

报告中应当包含：

薄弱点列表清单（按照严重等级排序）

薄弱点详细描述（利用方法）

解决方法建议

参与人员/测试时间/内网/外网

五、测试过程中的风险及规避

在测试过程中无可避免的可能会发生很多可预见和不可预见的风险，测试方必须提供规避措施以免对系统造成重大的影响。以下一些可供参考：

1. 不执行任何可能引起业务中断的攻击（包括资源耗竭型DoS，畸形报文攻击，数据破坏）。

2. 测试验证时间放在业务量最小的时间进行。

3. 测试执行前确保相关数据进行备份。

4. 所有测试在执行前和维护人员进行沟通确认。

5. 在测试过程中出现异常情况时立即停止测试并及时恢复系统。

6. 对原始业务系统进行一个完全的镜像环境，在镜像环境上进行渗透测试。

Python渗透测试工具都有哪些

网络

Scapy, Scapy3k: 发送，嗅探，分析和伪造网络数据包。可用作交互式包处理程序或单独作为一个库

pypcap, Pcapy, pylibpcap: 几个不同 libpcap 捆绑的python库

libdnet: 低级网络路由，包括端口查看和以太网帧的转发

dpkt: 快速，轻量数据包创建和分析，面向基本的 TCP/IP 协议

Impacket: 伪造和解码网络数据包，支持高级协议如 NMB 和 SMB

pynids: libnids 封装提供网络嗅探，IP 包碎片重组，TCP 流重组和端口扫描侦查

Dirtbags py-pcap: 无需 libpcap 库支持读取 pcap 文件

flowgrep: 通过正则表达式查找数据包中的 Payloads

Knock Subdomain Scan: 通过字典枚举目标子域名

SubBrute: 快速的子域名枚举工具

Mallory: 可扩展的 TCP/UDP 中间人代理工具，可以实时修改非标准协议

Pytbull: 灵活的 IDS/IPS 测试框架（附带超过300个测试样例）

调试和逆向工程

Paimei: 逆向工程框架，包含PyDBG, PIDA , pGRAPH

Immunity Debugger: 脚本 GUI 和命令行调试器

mona.py: Immunity Debugger 中的扩展，用于代替 pvefindaddr

IDAPython: IDA pro 中的插件，集成 Python 编程语言，允许脚本在 IDA Pro 中执行

PyEMU: 全脚本实现的英特尔32位仿真器，用于恶意软件分析

pefile: 读取并处理 PE 文件

pydasm: Python 封装的libdasm

PyDbgEng: Python 封装的微软 Windows 调试引擎

uhooker: 截获 DLL 或内存中任意地址可执行文件的 API 调用

diStorm: AMD64 下的反汇编库

python-ptrace: Python 写的使用 ptrace 的调试器

vdb/vtrace: vtrace 是用 Python 实现的跨平台调试 API, vdb 是使用它的调试器

Androguard: 安卓应用程序的逆向分析工具

Capstone: 一个轻量级的多平台多架构支持的反汇编框架。支持包括ARM,ARM64,MIPS和x86/x64平台

PyBFD: GNU 二进制文件描述(BFD)库的 Python 接口

Fuzzing

Sulley: 一个模糊器开发和模糊测试的框架，由多个可扩展的构件组成的

Peach Fuzzing Platform: 可扩展的模糊测试框架(v2版本 是用 Python 语言编写的)

antiparser: 模糊测试和故障注入的 API

TAOF: (The Art of Fuzzing, 模糊的艺术)包含 ProxyFuzz, 一个中间人网络模糊测试工具

untidy: 针对 XML 模糊测试工具

Powerfuzzer: 高度自动化和可完全定制的 Web 模糊测试工具

SMUDGE: 纯 Python 实现的网络协议模糊测试

Mistress: 基于预设模式，侦测实时文件格式和侦测畸形数据中的协议

Fuzzbox: 媒体多编码器的模糊测试

Forensic Fuzzing Tools: 通过生成模糊测试用的文件，文件系统和包含模糊测试文件的文件系统，来测试取证工具的鲁棒性

Windows IPC Fuzzing Tools: 使用 Windows 进程间通信机制进行模糊测试的工具

WSBang: 基于 Web 服务自动化测试 SOAP 安全性

Construct: 用于解析和构建数据格式(二进制或文本)的库

fuzzer.py(feliam): 由 Felipe Andres Manzano 编写的简单模糊测试工具

Fusil: 用于编写模糊测试程序的 Python 库

Web

Requests: 优雅，简单，人性化的 HTTP 库

HTTPie: 人性化的类似 cURL 命令行的 HTTP 客户端

ProxMon: 处理代理日志和报告发现的问题

WSMap: 寻找 Web 服务器和发现文件

Twill: 从命令行界面浏览网页。支持自动化网络测试

Ghost.py: Python 写的 WebKit Web 客户端

Windmill: Web 测试工具帮助你轻松实现自动化调试 Web 应用

FunkLoad: Web 功能和负载测试

spynner: Python 写的 Web浏览模块支持 Javascript/AJAX

python-spidermonkey: 是 Mozilla JS 引擎在 Python 上的移植，允许调用 Javascript 脚本和函数

mitmproxy: 支持 SSL 的 HTTP 代理。可以在控制台接口实时检查和编辑网络流量

pathod/pathoc: 变态的 HTTP/S 守护进程，用于测试和折磨 HTTP 客户端

打造自己的渗透测试框架—溯光

TrackRay简介

溯光，英文名“TrackRay”，意为逆光而行，追溯光源。同时致敬安全圈前辈开发的“溯雪”，“流光”。

溯光是一个开源的插件化渗透测试框架，框架自身实现了漏洞扫描功能，集成了知名安全工具：Metasploit、Nmap、Sqlmap、AWVS等。

溯光使用 Java 编写，SpringBoot 作为基础框架，JPA + HSQLDB嵌入式数据库做持久化，Maven 管理依赖，Jython 实现 Python 插件调用，quartz 做任务调度，freemarker + thymeleaf 做视图层，Websocket 实现命令行式插件交互。

框架可扩展性高，支持 Java、Python、JSON 等方式编写插件，有“漏洞扫描插件”、“爬虫插件”、“MVC插件”、“内部插件”、“无交互插件”和“可交互插件” 等插件类型。

功能展示

主页

登录

任务创建

任务列表

任务详情

无交互接口插件调用

MVC插件示例

交互式插件控制台

MSF 控制台

依赖环境

JDK 1.8

Python 2.7

Maven

Git

Metasploit

Nmap(建议安装)

SQLMAP(建议安装)

AWVS

**加粗为必须环境，没有安装程序则无法正常编译运行

不论是 Windows 还是 linux 一定需要先安装 JDK1.8 和 Maven。安装过程这里不做演示。保证 JDK 和 Maven 都在系统环境变量，能执行java -version 和 mvn --version即可。

安装过程

第一步

手动启动 AWVS 服务

登录后台，生成一个API密匙。

复制密匙和 AWVS 的地址。

找到web/src/main/resources/application.properties配置文件。

修改如下部分

第二步

找到你 python 的第三方库目录。

Windows 的一般在 python 安装目录下的/Lib/site-packages

Linux 下可以通过输出 sys.path 来找第三方包路径

我的是 D:/Python2/Lib/site-packages

同样找到web/src/main/resources/application.properties配置文件。

修改python.package.path参数

第三步

安装 Maven 后找到仓库位置。

如果没有在 settings.xml 里配置指定仓库目录，默认会在当前用户目录中生成一个 .m2的目录

找到仓库目录后修改 application.properties 的 maven.repository.path参数

第四步

这个是 DNSLOG 回显检测漏洞时需要的。

去 ceye.io 注册一个账号，拿到给你分配的域名和 TOKEN。

修改配置文件

第五步

启动 msf 和 sqlmapapi。

如果你是 kali 操作系统，可以直接运行startdep.sh。

如果是其他系统，则要找到 metasploit 和 sqlmap 的目录分别执行

启动成功后修改配置文件

第六步

编译打包程序

等待依赖下载完成和编译完成，如果以上操作都没有出现问题则会提示 BUILD SUCCESS

编译成功后会在当前目录打包一个trackray.jar就是溯光的主程序。

然后直接执行startup.bat或startup.sh溯光就会启动服务。

没有抛出异常或ERROR日志，访问 8080 端口正常。

服务启动正常后，登录 iZone 社区账号。

**开发插件建议使用 Intellij IDEA IDE，需要安装 lombok 插件。

目录结构

插件

AbstractPlugin

这是交互式插件和非交互式插件的父类。

BASE常量

其中的静态常量 BASE 是 /resources/include/ 的所在目录。

如果你的插件需要额外的静态资源，那么你可以在 /resources/include 目录里创建一个和插件 KEY 相同的文件夹，便于识别，如果没有在 @Plugin 注解中设置 value 则默认的插件 KEY 就是当前类名首字母小写。

如 Typecho001 = typecho001

check(Map param)

这是用于检验是否合规的方法，需要被强制重写，当返回 true 时才会调用 start() 方法

param 参数是从前台传过来的参数键值对。

常被用于检验参数格式是否正确或漏洞是否存在。

after()

在 start() 方法之前调用

before()

在 start() 方法之后调用

start()

这是一个抽象方法，所有继承了该类的子类都需要重写这个方法。

在 check 方法 通过后会调用 start() 方法

start() 方法返回值最终会会当做插件结果，响应给前台。

shell()

调用当前系统 shell 来辅助完成插件功能。

executor()

插件执行的主方法

crawlerPage

http请求对象（不推荐使用）

fetcher

执行 http 请求对象（不推荐使用）

errorMsg

当校验不通过时，返回给前台的信息。

param

前台传过来的参数键值对

requests

HTTP 发包工具（推荐使用）

hackKit

hack 常用工具包

无交互插件

无交互插件需要你填写好所有要填写的参数，直接请求接口来执行插件。

默认需要去继承 CommonPlugin类。

这是一个抽象类，继承了 AbstractPlugin

主要多出来两个属性：request 和 response。

继承了 CommonPlugin 的类可以通过调用这两个属性来控制请求和响应内容。

无交互插件同时也需要使用 @Rule 和 @Plugin 插件，这两个注解后面会讲到。

在 ，找到相应的插件填写好参数提交即可完成调用。

或直接调用接口。

交互式插件

交互式插件一般在命令行控制台中调用，可以允许你通过命令行交互来完成插件的调用。

交互式插件由 Websocket 实现，想要写一个交互式插件，首先要继承 WebSocketPlugin 类。

同时设置 @Rule 注解的 websocket 参数为 true ，如果需要异步交互需要将 sync 也设置为 true。

内部插件

内部插件是不可以通过外部去调用的，需要继承 InnerPlugin 并使用 @Plugin 注解，通常在漏洞扫描时时会调用。

例如 “网页爬虫”，“指纹识别”，“端口扫描” 等，都是通过调用内部插件实现的。

还有用于检测 SSRF 等漏洞用的 FuckCeye 插件也属于内部插件。

通过 spring 的自动注入，来注入内部插件到当前对象。

例子可参考 WebLogicWLSRCE.java

爬虫插件

爬虫插件会在扫描任务被勾选“网页爬虫”时调用，每爬取一条请求就会调用一次爬虫插件。

爬虫插件需要继承 CrawlerPlugin，继承该类必须重写 check 和 process 方法。

check 方法用于检验请求是否符合插件规则，以免产生多余请求。

当 check 方法 返回为 true 时会调用 process 方法。

process 方法里写插件主要检测代码。

addVulnerable()

当插件检测出漏洞时，可以通过调用 addVulnerable() 方法来向数据库插入一条漏洞。

requests

requests 属性为请求工具包，处理 https 和 http 都很方便。

response

response 属性为当前爬虫得到的 HTTP 响应。

task

task 属性为当前任务对象，如果你的爬虫插件不是检测漏洞而希望是检测一些敏感信息的话可以修改 task.getResult() 里的属性。

参考 FingerProbe.java 或 InfoProbe.java。

target

爬虫爬取到的 URL 对象。

fetcher crawlerPage

http 请求对象（不建议使用）。

漏洞扫描插件

漏洞扫描插件会在，扫描任务中勾选“漏洞攻击模块”时调用。

漏洞扫描插件分为三种

1.独立插件

独立的漏洞扫描插件需要继承 AbstractExploit 并使用 @Plugin 或 @Exploit

AbstractExploit 中有以下需要了解的方法和属性。

requests

http / https 发包工具

target 当前扫描任务的地址。

task

当前扫描任务对象。

check()

check 是一个抽象方法，需要被子类强制重写。

该方法一般用于检验是否符合当前漏洞扫描插件的规则，以免产生多与请求。

attack()

attack 也是一个抽象方法，需要被子类强制重写。

该方法是检测漏洞的主方法。

before()

在 attack 方法前执行

after()

在 attack 方法后执行

addVulnerable()

当插件检测出漏洞时，可以通过调用 addVulnerable() 方法来向数据库插入一条漏洞。

fetcher crawlerPage

http 请求对象（不建议使用）。

2.漏洞规则

位于

实际上这是一个“内部插件”，会在勾选漏洞模块攻击时调用。

有一些漏洞检测方法很简单，只通过简单的判断响应体就能识别出来，也就没有必要再去写一个独立的插件而占用空间了。

在 doSwitch() 方法中会先去根据当前任务的指纹识别结果走一遍 switch 流程。

swtich 的每一个 case 都是 WEB 指纹的枚举对象。

当 switch 找到当前任务 WEB 指纹对应的 case 后，case 内的代码会通过构建一个漏洞规则添加到 loaders 集合里。

如果规则是通用的，可以写在 switch 的外面。

3.kunpeng JSON插件

kunpeng 是一个 go 语言编写的 poc 测试框架，这里我对 kunpeng 的 JSON 插件做了一个支持。

只需要按照 kunpeng json 插件的格式规范创建一个 json 文件到 /resources/json 目录。

在扫描任务勾选“漏洞攻击模块”时会被调用，或通过 MVC 插件调用 。

MVC 插件

位于

MVC 插件的特点在于，他可以像是在写一个功能一样，而非简单的接口式调用。

MVC 插件需要继承 MVCPlugin 类，并使用 @Rule,@Plugin 注解。

MVCPlugin 内置了一个 ModelAndView 对象， 是 SpringMVC 提供的。

可以通过 setViewName() 来指定视图层的网页模板。

通过 addObject(key,value) 向视图层网页模板注入参数。

这里的视图层是使用 thymeleaf 实现的，需要懂 thymeleaf 的语法。

例子可以参考：com.trackray.module.inner.JSONPlugin

继承 MVCPlugin 必须要重写一个 index 方法，这是插件的入口。

如果需要写其他的功能，就得再创建一个 public 返回值为 void 的无参方法。

并且要在该方法上使用 @Function 注解，该注解的 value 参数如果不填写的话则默认的 requestMapping 地址为方法名。

例如

最后还需要在 /module/src/main/resources/templates 创建一个目录名为插件 KEY 的目录。

里面存放扩展名为 .html 的模板文件。

Python 插件

python 插件有两种实现方式。

1.通过命令行实现

这种方式最为简单，通过在 include 里写一个 python 脚本。

然后在插件里调用 shell() 方法来执行系统命令。

案例可参考 com.trackray.module.plugin.windows.smb.MS17010

但这样还需要再写 java 的代码，对于没有学过 java 的人来说很不友好。

2.通过jython实现

jython 是一个 Python 语言在 Java 中的完全实现。

我将它的调用过程写成了一个交互式插件。

你可以通过在 /resources/python/ 目录下安装如下规范去创建一个 python 文件。

在这个 python 文件中需要写两个方法。

关于注解

@Rule

一般用在“可交互插件”和“无交互插件”类上。

@Plugin

WEB指纹

这里顺便再说一下如何添加指纹库。

指纹库位于 base 模块，是一个枚举类。

可以在首部或尾部添加一条新的枚举，尽量使用 $ 开头。

第一个参数是 指纹的名称，如果第二个参数是 String 类型则是该指纹的说明。

FingerBean 类是指纹匹配对象。

标签：渗透测试工具自己开发