暗渡陈仓:用低消耗设备进行破解和渗透测试1.2.2 渗透测试工具集

简介:

1.2.2 渗透测试工具集

Deck包含大量的渗透测试工具。设计理念是每个可能会用到的工具都应该包含进来,以确保在使用时无须下载额外的软件包。在渗透测试行动中给攻击机安装新的软件包很困难,轻则要费很大劲,重则完全没法装。一些面向台式机的渗透测试Linux发行版经常带有许多不常用的陈旧软件包。Deck中的每个软件包都是经过精心评估才包含进来的,引入一个新软件包所导致的任何冗余部分都会被剔除掉。这里将介绍一些比较常用的软件工具。

现在,无线网络应用十分普遍,所以许多渗透测试都从破解无线网络开始。因此Deck系统包含了aircrack-ng套件。airodump-ng工具用来捕包和分析,捕获的数据包可以转给aircrack-ng进行解密。图1.2和图1.3分别给出了airodump-ng和aircrack-ng的截屏。关于aircrack-ng组件使用的更多细节将在后续章节介绍。

 

图1.2 使用airodump-ng捕获和分析无线数据包

 

图1.3 用aircrack-ng成功破解

即使在用户不使用无线网的情况下,aircrack-ng组件也很有用,它可以用来检测和破解用户网络中可能存在的非法私接的无线AP(access point,接入点)。Deck中还包含了一个叫作Fern WiFi Cracker的无线破解工具,它是那种可以用鼠标来操作的易用工具。图1.4给出了使用Fern成功破解的截图。渗透测试新手可能觉得Fern十分好用。由于交互性操作的特点,aircrack-ng和Fern都不适用于我们的无人值守的破解攻击机。因此,Deck收录了Scapy Python(http://www.secdev.org/projects/scapy/)工具。

 

图1.4 使用Fern成功破解

不管是有线网络数据包还是无线网络数据包,对于渗透测试人员,它们都有重要价值。Deck包含了Wireshark(http://www.wireshark.org/),用来抓包和对数据包进行分析。Deck也提供了一个称作Nmap(http://nmap.org/)的标准网络映射工具,用于发现目标网络上的服务和主机。Metasploit(http://www.metasploit.com/)是包含一组漏洞扫描器和漏洞利用框架的工具,也是标准版本Deck的组件之一。上述工具见图1.5。

Metasploit是由Rapid 7(http://www.rapid7.com/)维护的很流行的工具,有大量关于它的书籍、培训课程、视频教程。Offensive Security还发布了一本在线图书《Metasploit Unleashed》(http://www.offensive-security.com/metasploit-unleashed/Main_Page),这是可以免费获得的学习资料(当然我们鼓励读者向Hackers for Charity捐赠)。Metasploit号称是个框架并且带有大量的漏洞,这些漏洞可用于从几百个攻击载荷中选择要传送的载荷。Metasploit能在脚本中运行,也能开启交互操作的控制台,还可以通过Web界面操作。本书不会全面介绍Metasploit,建议对其不了解的读者进一步学习这个了不起的工具。

 

图1.5 Wireshark、Nmap、Nikto和Metasploit

破解用户密码经常是渗透测试的工作之一。Deck带有若干在线密码破解器、离线密码破解器,以及密码字典。其中一个称作Hydra的在线密码破解工具如图1.6所示。此外还有大量的其他工具被集成在Deck中,其中不容忽视的是一组Python库。这些工具包中的有些组件将在本书后面的实例分析中重点说明。

 

图1.6 Hydra在线密码破解器

相关文章
|
8天前
|
机器学习/深度学习 人工智能 自然语言处理
深入探索软件测试:策略、工具与未来趋势
【5月更文挑战第38天】 在软件开发的生命周期中,测试环节扮演着至关重要的角色。随着技术的不断进步和市场需求的多样化,传统的测试方法已逐渐不能满足现代软件项目的需求。本文旨在提供一个全面的软件测试概述,包括最新的测试策略、常用工具以及预测未来的发展趋势。通过分析自动化测试的效益、持续集成的重要性以及人工智能在测试中的应用,文章将帮助读者构建一个更高效、更智能的软件测试环境。
|
19天前
|
Web App开发 测试技术 API
自动化测试工具Selenium的深度解析
【5月更文挑战第27天】本文旨在深入剖析自动化测试工具Selenium,探讨其架构、原理及应用。通过对其核心组件、运行机制及在实际项目中的应用案例进行详细解读,以期为软件测试人员提供全面、深入的理解与实践指导。
|
1天前
|
机器学习/深度学习 人工智能 jenkins
探索自动化测试工具的选择与应用
在软件开发生命周期中,软件测试是确保质量的重要环节。随着自动化技术的发展,自动化测试工具的选择和应用变得至关重要。这篇文章将深入探讨如何选择适合的自动化测试工具,并结合实例分析其实际应用效果,从而为开发团队提供有效的指导。
|
9天前
|
测试技术 持续交付
软件测试中的自动化工具及其应用
本文将探讨软件测试中自动化工具的特点、优势以及常见应用场景,重点介绍了自动化测试工具在提高测试效率、减少人力成本以及保证软件质量方面的重要作用。通过深入分析自动化测试工具的应用实例,帮助读者更好地理解和运用现代软件测试工具。
39 1
|
9天前
|
监控 测试技术 Linux
性能测试工具
这篇内容介绍了几种性能测试工具和Linux监控命令。`ab`适用于简单接口测试,易用但扩展性差;`JMeter`功能强大,可扩展,但稳定性不足;`LoadRunner`专业稳定,但需付费。此外,还提到了几个Linux监控命令,如`top`、`vmstat`、`pidstat`和`jstat`,用于系统性能监控和内存使用情况检查。
33 0
|
11天前
|
缓存 负载均衡 测试技术
掌握wrk压力测试工具的优化技巧与实践
掌握wrk压力测试工具的优化技巧与实践
15 1
|
14天前
|
运维 安全 网络架构
【计算巢】网络模拟工具:设计与测试网络架构的有效方法
【6月更文挑战第1天】成为网络世界的超级英雄,利用网络模拟工具解决复杂架构难题!此工具提供安全的虚拟环境,允许自由设计和测试网络拓扑,进行性能挑战和压力测试。简单示例代码展示了创建网络拓扑的便捷性,它是网络设计和故障排查的“魔法棒”。无论新手还是专家,都能借助它探索网络的无限可能,开启精彩冒险!快行动起来,你会发现网络世界前所未有的乐趣!
【计算巢】网络模拟工具:设计与测试网络架构的有效方法
|
16天前
|
jenkins 测试技术 持续交付
软件测试中的自动化测试工具及其应用
传统的软件测试流程需要大量的人工投入,其效率低下且容易出现遗漏。而自动化测试工具的出现极大地提高了软件测试的效率和精度。本文将介绍几种常见的自动化测试工具及其应用,分析其优势和不足,并探讨在实际项目中的应用场景。
|
16天前
|
机器人 测试技术 API
软件测试中的自动化工具与策略
在当今快节奏的软件开发环境中,软件测试是确保产品质量的关键步骤之一。本文探讨了软件测试中的自动化工具和策略,介绍了常用的自动化测试工具,并探讨了自动化测试在提高效率、减少成本和增强测试覆盖率方面的优势。同时,还讨论了如何选择适合项目需求的自动化测试策略,并提供了一些建议和最佳实践。
23 0
|
17天前
|
消息中间件 监控 固态存储
性能工具之 Kafka 快速 BenchMark 测试示例
【5月更文挑战第24天】性能工具之 Kafka 快速 BenchMark 测试示例
27 1
性能工具之 Kafka 快速 BenchMark 测试示例