Sn1per – Automatizuotas Pentest Framework | Užbaigti pamoką

8.1K

Sn1per yra viena iš nuostabiausių pentest sistemų, skirtų automatizuotam pažeidžiamumo nuskaitymui.

Įrankis siūlo dvi skirtingas versijas.

Viena – bendruomenė(nemokamai) ir dar vienas profesionalas(sumokėta).

Sn1per „Professional“ yra aukščiausios kokybės „Xero Security“ ataskaitų teikimo priedas, skirtas profesionaliems skverbties tikrintojams, Vabzdžių medžiotojai, ir tt.

Be to, įrankis naudoja kai kuriuos nuostabiausius įrankius, tokius kaip sqlmap, sslscan, kombainas, kad nuskaitytų pažeidžiamumą.

Sn1per akcentai [bendruomenės leidimas]:

• Automatiškai surenka pagrindinę recon (ty. whois, ping, DNS, ir tt)
• Automatiškai paleidžia „Google“ įsilaužimo užklausas tiksliniame domene
• Automatiškai išvardija atvirus prievadus per NMap prievadų nuskaitymą
• Automatiškai išnaudokite įprastus pažeidžiamumus
• Automatiškai brute forces subdomenai renka DNS informaciją ir tikrina zonų perkėlimus
• Automatiškai tikrina, ar nėra subdomeno užgrobimo
• Automatiškai paleidžia tikslinius NMap scenarijus prieš atvirus prievadus
• Automatiškai paleidžia tikslinius Metasploit nuskaitymo ir išnaudojimo modulius
• Automatiškai nuskaito visas žiniatinklio programas, ar nėra įprastų pažeidžiamumų
• Automatiškai žiauriai verčia VISAS atviras paslaugas
• Automatiškai patikrinkite, ar nėra anoniminės FTP prieigos
• Automatiškai paleisti WPScan, Arachni, ir Nikto visoms žiniatinklio paslaugoms
• Automatiškai išvardija NFS dalis
• Automatiškai patikrinkite, ar nėra anoniminės LDAP prieigos
• Automatiškai surašykite SSL/TLS šifrus, protokolai ir pažeidžiamumas
• Automatiškai surašykite SNMP bendruomenės eilutes, paslaugas, ir vartotojai
• Automatiškai įtraukite SMB naudotojų ir bendrinimų sąrašą, patikrinkite, ar nėra NULL seansų, ir išnaudokite MS08-067
• Automatiškai tikrina atvirus X11 serverius
• Atlieka aukšto lygio kelių kompiuterių ir potinklių išvardijimą
• Automatiškai integruojamas su Metasploit Pro, MSFConsole ir Zenmap ataskaitoms teikti
• Automatiškai renka visų svetainių ekrano kopijas
• Sukurkite atskiras darbo sritis, kad išsaugotumėte visą nuskaitymo išvestį
• Suplanuoti nuskaitymai
• Slack API integracija
• Hunter.io API integravimas
• OpenVAS API integravimas
• Burpsuite Professional 2.x integracija
• Shodan API integracija
• „Censys“ API integracija
• Metasploit integracija

Sn1per diegimas

Įrankio įdiegimas yra gana paprastas.

Jums tereikia peržvelgti kai kuriuos „Linux“ pagrindus ir galite pradėti.

1. Klonuokite jį iš github repo:

$ git klonas https://github.com/1N3/Sn1per

2. Naršymas Sn1per kataloge ir leidimų keitimas installer.sh scenarijus:

$ cd Sn1per
$ chmod +x install.sh

3. Paskutinis diegimo žingsnis

$ ./install.sh

Sn1per diegimo vaizdo įrašas:

https://www.youtube.com/watch?v=5VdOdkSi348

Naudojimas:

Tipas-h kad gautumėte visus galimus režimus:

[*] NORMALUS REŽIMAS
snaiperis -t|--taikinys <TIKSLAS>

[*] NORMALUS REŽIMAS + OSINT + RECON + PILNAS UOSTAS NUSKAITYMAS + BRUTALI JĖGA
snaiperis -t|--taikinys <TIKSLAS> -o|--osint -re|--recon -fp|--pilnai tik -b|--brutali jėga

[*] STEALTH REŽIMAS + OSINT + RECON
snaiperis -t|--taikinys <TIKSLAS> -m|--režimas slaptas -o|--osint -re|--žvalgyba

[*] DISCOVER REŽIMAS
snaiperis -t|--taikinys <CIDR> -m|--režimas atrasti -w|--darbo vieta <WORSPACE_ALIAS>

[*] SKRYDŽIO REŽIMAS
snaiperis -t|--taikinys <TIKSLAS> -m|--režimo estakada -w|--darbo vieta <WORKSPACE_ALIAS>

[*] AIRSTRKE REŽIMAS
snaiperis -f|--failas /full/path/to/targets.txt -m|--režimo oro antskrydis

[*] NUKE REŽIMAS SU TAIKINIŲ SĄRAŠU, ĮJUNGTA BRUTEFORCE, ĮJUNGTAS FULLPORTSCAN, ĮJUNGTA OSINT, RECON ĮJUNGTA, DARBO VIETA & Įgalintas grobimas
snaiperis -f--failas /full/path/to/targets.txt -m|--MULL NUKING -W|--darbo vieta <WORKSPACE_ALIAS>

[*] NUSKAITYTI TIK KONKRETUS PRIESTAS
snaiperis -t|--taikinys <TIKSLAS> -m prievadas -p|--uostas <portalas>

[*] FULLPORTONLY SKANAVIMO REŽIMAS
snaiperis -t|--taikinys <TIKSLAS> -fp|--pilnai tiktai

[*] PORT NUSKAITYMO REŽIMAS
snaiperis -t|--taikinys <TIKSLAS> -m|--režimo prievadas -p|--uostas <PORT_NUM>

[*] INTERNETO REŽIMAS - UOSTAS 80 + 443 TIK!
snaiperis -t|--taikinys <TIKSLAS> -m|--režimas žiniatinklis

[*] HTTP WEB PRIEDAS HTTP REŽIMAS
snaiperis -t|--taikinys <TIKSLAS> -m|--režimas webporthttp -p|--uostas <uostas>

[*] HTTPS WEB PRIEDAS HTTPS REŽIMAS
snaiperis -t|--taikinys <TIKSLAS> -m|--režimas webporthttps -p|--uostas <uostas>

[*] ĮJUNGTI BRUTEFORCE
snaiperis -t|--taikinys <TIKSLAS> -b|--brutali jėga

[*] ĮJUNGTI LOOT IMPORTAVIMĄ Į METASPLOIT
snaiperis -t|--taikinys <TIKSLAS>

[*] GRĮŽIMO REIMPORTO FUNKCIJA
snaiperis -w <WORKSPACE_ALIAS> --reimportuoti

[*] NUSKAITYMO BŪSENA
snaiperis - būsena

[*] ATNAUJINTI SNIPER
snaiperis -u|--atnaujinti

Redaktoriaus pasirinkimas:

• Macof – Ultimate Flooding Tool | Pamoka[2020]
• NWAnime – geriausios NWAnime alternatyvos [2020]
• CCMAKER – atsisiųskite Ultimate Adobe Piracy Kit[2020]
• LOSMOVIES – geriausia gyva filmų transliacijos svetainė
• Andrax – skverbties testavimas „Android“. | Pilnas vadovas

REŽIMAI:

• NORMALUS: Atlieka pagrindinį taikinių ir atvirų prievadų nuskaitymą, naudodamas aktyvią ir pasyvią optimalaus našumo patikras.
• VASGTI: Greitai surašykite atskirus taikinius naudodami dažniausiai neįkyrius nuskaitymus, kad išvengtumėte WAF / IPS blokavimo.
• SKLYDĖLIS: Greitas kelių gijų aukšto lygio kelių taikinių nuskaitymas (naudinga norint greitai surinkti aukšto lygio duomenis apie daugelį kompiuterių).
• ORO STREKIJA: Greitai išvardija atvirus prievadus / paslaugas keliuose pagrindiniuose kompiuteriuose ir atlieka pagrindinį pirštų atspaudų atspaudą. Norėdami naudoti, nurodykite visą failo, kuriame yra visi pagrindiniai kompiuteriai, vietą, IP, kuriuos reikia nuskaityti ir paleisti ./sn1per /full/path/to/targets.txt airstrike, kad būtų pradėtas nuskaitymas.
• NUKE: Paleiskite pilną kelių prieglobų, nurodytų pasirinktame tekstiniame faile, auditą. Naudojimo pavyzdys: ./snaiperis /pentest/loot/targets.txt nuke.
• ATRASTI: Išnagrinėja visus potinklyje / CIDR esančius pagrindinius kompiuterius (ty. 192.168.0.0/16) ir pradeda snaiperio nuskaitymą prieš kiekvieną šeimininką. Naudinga atliekant vidinio tinklo nuskaitymą.
• UOSTAS: Nuskaito konkretų prievadą, ar nėra pažeidžiamumų. Šiuo režimu ataskaitų teikimas šiuo metu negalimas.
• TIK VISIŠKAI: Atlieka visą išsamų prievado nuskaitymą ir išsaugo rezultatus į XML.
• MASSPORTSCAN: Paleidžia a “pilnai tiktai” nuskaityti kelis taikinius, nurodytus per “-f” jungiklis.
• WEB: Prie rezultatų pridedamas visiškai automatinis žiniatinklio programų nuskaitymas (prievadas 80/tcp & 443/tik tcp). Idealiai tinka žiniatinklio programoms, tačiau gali žymiai pailginti nuskaitymo laiką.
• MASSWEB: Bėga “žiniatinklio” režimu nuskaito kelis taikinius, nurodytus per “-f” jungiklis.
• WEBPORTHTTP: Paleidžiamas visas HTTP žiniatinklio programos nuskaitymas pagal konkretų pagrindinį kompiuterį ir prievadą.
• WEBPORTHTTPS: Paleidžiamas visas HTTPS žiniatinklio programos nuskaitymas pagal konkretų pagrindinį kompiuterį ir prievadą.
• WEBSCAN: Paleidžia visą HTTP & HTTPS žiniatinklio programų nuskaitymas naudojant „Burpsuite“ ir „Arachni“..
• MASSWEBSCAN: Bėga “internetinis nuskaitymas” režimu nuskaitomi keli taikiniai, nurodyti per “-f” jungiklis.
• VULNSCAN: Paleidžia OpenVAS pažeidžiamumo nuskaitymą.
• MASSVULNSCAN: Paleidžia a “vulnscan” režimu nuskaito kelis taikinius, nurodytus per “-f” jungiklis.

Baigiamieji žodžiai:

Jei norite, tikrai galite išbandyti šį įrankį.

„Sn1per“ neautomatizuoja viso įsiskverbimo testo, bet tikrai jį supaprastina.

Jei jums patiko mūsų pastangos Sn1per straipsnyje. Būtinai palikite komentarą žemiau. Bet kokie pasiūlymai ar klausimai yra vertinami.