Информационная безопасность

Инструменты: Nmap, Burp, Metasploit

WannaCry. 2017. 150 стран, 200 000 систем, $4 млрд ущерб. Весь атакующий код основан на EternalBlue - том же коде что в Metasploit модуле ms17_010_eternalblue. NSA разработала, Shadow Brokers украли, WannaCry использовал. Pентестеры используют те же инструменты что и атакующие - разница только в разрешении и намерении.

  • WannaCry 2017: EternalBlue exploit из Metasploit = атакующий код. Одни и те же инструменты, разные намерения
  • Yahoo 2012: sqlmap за 30 минут - 450 000 учётных записей. Тот же инструмент в bug bounty - $10 000 вознаграждение
  • Shodan + nmap: каждый день исследователи находят тысячи открытых Elasticsearch без аутентификации

Nmap: сетевая разведка и сканирование

Nmap - Network Mapper, создан Gordon Lyon (Fyodor) в 1997. Используется в каждом пентесте, каждом CTF, большинстве ИБ операций. Упоминается в фильмах: Trinity использует Nmap в Matrix Reloaded (2003) для реального взлома сцены. Более 60 000 коммитов, активно развивается. NSE (Nmap Scripting Engine) содержит 600+ скриптов.

Timing templates (-T0 до -T5): T0=paranoid (5 мин/порт), T3=normal, T5=insane (агрессивно). В реальном пентесте T2-T3: не триггерить IDS, но не ждать часами. masscan сканирует интернет за 6 минут - но намного заметнее.

nmap -sS требует sudo. Почему SYN scan нельзя запустить без root?

Burp Suite: перехват и анализ HTTP

Burp Suite - стандарт web application тестирования. PortSwigger (создатель) проводит Web Security Academy с 250+ лабораториями - бесплатно. HackerOne статистика: 70% bug bounty находок сделаны через Burp. Burp Collaborator - публичный OAST сервер для out-of-band тестирования (SSRF, XXE, Log4Shell верификация).

Burp Community (бесплатная) имеет ограниченный Scanner и медленный Intruder. Для CTF и базового тестирования достаточно. OWASP ZAP - бесплатная альтернатива с автоматическим сканером. Caido - новый быстрый proxy в Rust, набирает популярность.

Тестируется /api/transfer?amount=100&to=user456. Как проверить IDOR (Insecure Direct Object Reference)?

Metasploit: фреймворк эксплуатации

Metasploit Framework - создан HD Moore в 2003, приобретён Rapid7 в 2009. Более 2300 модулей (exploit, auxiliary, post). Используется в defensive: Metasploitable - уязвимая VM для тренировок. WannaCry (2017) использовал EternalBlue - тот же exploit что в Metasploit модуле exploit/windows/smb/ms17_010_eternalblue.

Metasploit создаёт реальный impact: некоторые exploit модули могут краш сервис. Всегда проверять 'check' перед 'run' если модуль поддерживает. В production среде - только с явного разрешения и awareness заказчика что сервис может стать недоступным.

Найден SMB сервер. Metasploit показывает ms17_010_eternalblue как compatible. Что сделать перед run?

sqlmap и автоматизация поиска уязвимостей

sqlmap - open source инструмент автоматизации SQL Injection тестирования. 2023: более 28 000 GitHub stars, 11 000+ коммитов. Обнаруживает и эксплуатирует 6 типов SQLi: boolean-based, time-based, error-based, UNION, stacked queries, out-of-band. При тестировании Yahoo в 2012 году исследователь с помощью sqlmap за 30 минут нашёл SQLi давший доступ к 450 000 учётных записей.

nuclei - более современная альтернатива для широкого сканирования: 7000+ шаблонов CVE, misconfiguration, exposed secrets. feroxbuster/gobuster для directory brute-force. ffuf для parameter fuzzing. Arjun для обнаружения скрытых HTTP параметров - часто находит undocumented API endpoints.

Автоматические инструменты найдут все уязвимости без ручного анализа

Автоматические инструменты находят ~30-40% уязвимостей. Бизнес-логика, race conditions, сложные цепочки уязвимостей требуют ручного анализа

Portswigger исследование: автоматические сканеры пропускают 60%+ уязвимостей класса business logic. Лучшие bug bounty находки всегда сделаны людьми, не автоматикой.

Bug bounty программа разрешает тестирование api.target.com. Какой sqlmap флаг предпочтителен для минимального impact?

Итоги

  • Nmap: сетевая карта цели. NSE скрипты автоматически проверяют известные CVE. -sS требует root для raw packets
  • Burp Suite: HTTP proxy + repeater + intruder + scanner. Burp Collaborator для SSRF/XXE верификации. 70% HackerOne находок через Burp
  • Metasploit: 2300+ модулей. 'check' перед 'run'. Meterpreter = документировать и выходить
  • sqlmap: 6 техник SQLi. Boolean-based для минимального impact. --tamper для WAF bypass. Автоматика находит 30-40% уязвимостей

Связанные темы

Инструменты пентеста реализуют методологию и применяются в Red Team операциях:

  • Методология пентеста — Nmap/Burp/Metasploit реализуют фазы recon/scanning/exploitation
  • Red Team vs Blue Team — Red Team использует те же инструменты для adversary simulation
  • Bug Bounty — Те же инструменты в разрешённом scope bug bounty программ

Вопросы для размышления

  • Почему SYN scan (nmap -sS) предпочтительнее TCP connect scan (-sT) для stealth?
  • Как Burp Collaborator помогает верифицировать SSRF без прямого доступа к внутренней сети?
  • Почему автоматические инструменты не заменяют ручной анализ в пентесте?

Связанные уроки

  • sec-29 — Инструменты реализуют методологию пентеста
  • sec-31 — Red Team использует эти инструменты для adversary emulation
  • sec-32 — Bug Bounty: те же инструменты в разрешённом scope
  • net-42-firewall
Инструменты: Nmap, Burp, Metasploit

0

1

Войти