Melhores ferramentas de coleta de informações no Kali Linux

NMAP

Mapper de rede, comumente usado como NMAP, é uma ferramenta gratuita e de código aberto para varredura de rede e porta. Também é proficiente em muitas outras técnicas de coleta de informações ativas. O NMAP é de longe a ferramenta de coleta de informações mais usada usada pelos testes de penetração. É uma ferramenta baseada em CLI, mas também possui uma versão baseada na GUI no mercado chamado Zenmap. Era uma vez uma ferramenta "apenas Unix", mas agora suporta muitos outros sistemas operacionais, como Windows, FreeBSD, OpenBSD, Sun Solaris e muitos outros. NMAP vem pré-instalado em distantes de teste de penetração como Kali Linux e Parrot OS. Também pode ser instalado em outros sistemas operacionais. Para fazer isso, procure o NMAP aqui.

figura 1.1 mostra uma varredura e resultados normais. A varredura revelou as portas abertas 902 e 8080. figura 1.2 mostra uma simples varredura de serviço, que informa qual serviço está sendo executado na porta. figura 1.3 mostra uma varredura de script padrão. Esses scripts às vezes revelam informações interessantes que podem ser usadas ainda mais nas partes laterais de um teste de caneta. Para mais opções, digite NMAP no terminal e mostrará a versão, o uso e todas as outras opções disponíveis.

Figura 1.1: Scan simples NMAP

Figura 1.2: SERVIÇO NMAP/VERSÃO SCAN

Figura 1.3: varredura de script padrão

Tcpdump

O TCPDUMP é um analisador de pacotes de rede de dados gratuito que funciona na interface da CLI. Ele permite que os usuários vejam, leem ou capturam o tráfego de rede sendo transmitido por uma rede que é anexada ao computador. Originalmente escrito em 1988 por quatro trabalhadores no Lawrence Berkely Laboratory Network Research Group, foi organizado em 1999 por Michael Richardson e Bill Fenner, que criou www.tcpdump.org. Funciona em todos os sistemas operacionais do tipo UNIX (Linux, Solaris, todos os BSDs, MacOS, Sunsolaris, etc). A versão do Windows do TCPDUMP é chamada de windump e usa WinPCap, a alternativa do Windows para libpcap.

Para instalar o tcpdump:

$ sudo apt-get install tcpdump

Uso:

# tcpdump [options] [Expression]

Para detalhes das opções:

$ tcpdump -h

Wireshark

Wireshark é um analisador de tráfego de rede imensamente interativo. Pode -se despejar e analisar pacotes à medida que são recebidos. Originalmente desenvolvido por Gerald Combs em 1998 como etéreo, foi renomeado Wireshark em 2006 devido a questões de marca registrada. Wireshark também oferece filtros diferentes para que o usuário possa especificar que tipo de tráfego a ser mostrado ou despejado para análise posterior. Wireshark pode ser baixado de www.Wireshark.org/#download. Está disponível na maioria dos sistemas operacionais comuns (Windows, Linux, MacOS) e é pré-instalado na maioria das distribuições de penetração como Kali Linux e Parrot OS.

Wireshark é uma ferramenta poderosa e precisa de uma boa compreensão das redes básicas. Ele converte o tráfego em um formato que os humanos podem ler facilmente. Ele pode ajudar os usuários a solucionar problemas de latência, pacotes descartados ou até tentativas de hackers contra sua organização. Além disso, ele suporta até dois mil protocolos de rede. Pode não ser capaz de usar todos eles como tráfego comum consiste em pacotes UDP, TCP, DNS e ICMP.

Um mapa

Application Mapper (também um mapa), como o nome pode sugerir, é uma ferramenta para mapear aplicativos em portas abertas em um dispositivo. É uma ferramenta de próxima geração que pode descobrir aplicativos e processos, mesmo quando eles não estão executando em suas portas convencionais. Por exemplo, se um servidor da web estiver em execução na porta 1337 em vez da porta padrão 80, o AMAP poderá descobrir isso. AMAP vem com dois módulos proeminentes. Primeiro, Amapcrap pode enviar dados simulados para portas para gerar algum tipo de resposta da porta de destino, que pode ser usada posteriormente para análises adicionais. Segundo, o AMAP tem o módulo principal, que é o Application Mapper (um mapa).

Uso do AMAP:

$ AMAP -H
AMAP V5.4 (c) 2011 por Van Hauser www.thc.org/thc-amap
Sintaxe: AMAP [Modos [-a | -b | -p]] [options] [porta de destino [porta]…]
Modos:
-A (padrão) Enviar gatilhos e analisar respostas (aplicativos de mapa)
-B apenas banners; Não envie gatilhos
-P Um scanner de porta de conexão de pleno direito
Opções:
-1 rápido! Enviar gatilhos para uma porta até a 1ª identificação
-6 Use IPv6 em vez de IPv4
-b Imprima Banner ASCII de Respostas
-Eu arquive o arquivo de saída legível por máquina para ler portas de
-u Especifique portas UDP na linha de comando (padrão: TCP)
-R Não identifique o serviço RPC
-H não envie gatilhos de aplicação potencialmente prejudiciais
-Você não despeja respostas não reconhecidas
-d despejar todas as respostas
-v modo verboso; Use duas ou mais para mais verbosidade
-Q Não relate portas fechadas e não as imprimem como não identificadas
-o arquivo [-m] gravação de saída no arquivo de arquivo; -m cria saída legível por máquina
-C Contras fazem conexões paralelas (padrão 32, máximo 256)
-Ctiga o número de reconectações na conexão de tempo limite (padrão 3)
-T SEC Connecte o tempo limite nas tentativas de conexão em segundos (padrão 5)
-T SEC Resposta Aguarde um tempo limite em segundos (padrão 5)
-P Proto Enviar gatilhos apenas para este protocolo (e.g. Ftp)
Porta de destino o endereço de destino e as portas para digitalizar (adicional a -i)

Fig 4.1 amostra AMAP Scan

p0f

P0F é a forma curta para “passegurar OS fingorading ”(um zero é usado em vez de um). É um scanner passivo que pode identificar sistemas remotamente. O P0F usa técnicas de impressão digital para analisar pacotes TCP/IP e para determinar diferentes configurações, incluindo o sistema operacional do host. Ele tem a capacidade de executar esse processo passivamente sem gerar tráfego suspeito. P0F também pode ler arquivos PCAP.

Uso:

# p0f [opções] [regra do filtro]

Fig 5.1 amostra de saída P0F
O host deve se conectar à sua rede (espontaneamente ou induzido) ou estar conectado a alguma entidade em sua rede por alguns meios padrão (navegação na web, etc.) O host pode aceitar ou recusar a conexão. Este método é capaz de ver através de firewalls de pacotes e não está vinculado pelas restrições de uma impressão digital ativa. A impressão digital passiva do sistema operacional é usada principalmente para perfil de invasor, perfil de visitantes, perfil de cliente/usuário, teste de penetração, etc.

Cessação

Reconhecimento ou coleta de informações é o primeiro passo em qualquer teste de penetração. É uma parte essencial do processo. Iniciar um teste de penetração sem um reconhecimento decente é como ir a uma guerra sem saber onde e quem você está lutando. Como sempre, há um mundo de ferramentas incríveis de reconhecimento, além daquelas acima. Tudo graças a uma incrível comunidade de código aberto e de segurança cibernética!

Feliz reconhecimento! 🙂