• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Hackbox - Набор для пентеста

vertigo1.png
Добрый день ,Друзья,Уважаемые Форумчане и Дорогие Читатели.

Каждый наверное найдёт для себя полезного из инструмента , который рассмотрим.
Его автором является человек с ником samhaxr.
Hackbox - это небольшой гибридный набор для сканирования цели и проведения пентеста.

В дополнительные функции входит с ресурса vulners подборка эксплойтов.
Их удобно подбирать под конкретные версии веб-приложений и ОС.
Надо сразу оговориться и сказать вам ,что именно эта опция построена на инструменте Getsploit.

И возможно , кто-то пожелает отдельно установить getsploit , не скачивая сам инструмент полностью.
Я вам подскажу как это сделать.

Установка Getsploit :
Код:
# git clone https://github.com/vulnersCom/getsploit.git
# cd getsploit
# pip install getsploit
# ./getsploit.py --update - это функция обновления данного модуля.
# ./getsploit.py wordpress 4.7.0 - это пример поиска эксплойтов (в данном примере для wordpress)
# ./getsploit.py -m wordpress 4.7.0 - так эксплойты можно сохранить.
А мы пойдём далее , и если кто-то заинтересован в полной версии инструмента , то качаем :
Код:
# https://github.com/samhaxr/hackbox.git
# cd hackbox/
# chmod +x hackbox.py
# python hackbox.py -запуск на Debian,Kali Linux
# python2 hackbox.py - запуск на Arch Linux
Сама работа hackbox нареканий не вызывает , очень хорошо настроена в нём опция сканера nmap.
Присутствуют также опции CORS - запросов.
Некоторый манул для представления можно посмотреть

Это использование технологии в браузерах кросс-доменных запросов.
Когда по причине некорректных настроек безопасности , возможно получить доступ к ресурсу другого домена.
А если быть точным , то неверно настроенная политика единого происхождения.

И AWS , её принято сокращать , как S3 - это проверка ресурса на хранение информации с помощью облачных сервисов.
И , соответственно , хранение файлов.

Инструмент , периодически просит вернуться в меню , либо завершить работу , также предлагает установку или какой-то тест.
Всё размеренно , чётко и приятно фокусируется.
vertigo2.png
Вот , к примеру протестили цель немного , получили информацию
vertigo3.png
И тут же он нам может достать эксплойты под тот же nginx
vertigo4.png
Думаю , что смысл понятен общий. Может кому и приглянётся hackbox.
Добавляю также очень хорошее видео , которое раскрывает полностью работу рассматриваемого инструмента.
По сути это , мануал использования .
На этом я вынужден пожелать вам отличного настроения.
Благодарю вас всех за просмотр и до новых встреч. Спасибо ,что Вы с нами.
 

Elektrolife

Green Team
21.10.2016
208
33
BIT
6
Мне всё время было интересно: где вы черпаете информацию о новых инструментах и сплойтах ? Я так понимаю не в рунете ?
 

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 997
BIT
1
Мне всё время было интересно: где вы черпаете информацию о новых инструментах и сплойтах ? Я так понимаю не в рунете ?
Конечно не в нём. Хотя можно и в этом сегменте иногда увидеть новинки.Но это скорее,исключение из правил.
 
  • Нравится
Реакции: ghost и n01n02h

dominikanec

Grey Team
31.01.2018
59
61
BIT
0
Спасибо за проделанную работу, освободил мне вечер.))) Как раз сегодня вечерком думал сделать о Hackbox статью-обзор.

почему сразу дарк?? много интересного можно найти и по обычному запросу из
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vertigo

Elektrolife

Green Team
21.10.2016
208
33
BIT
6
почему сразу дарк?? много интересного можно найти и по обычному запросу из

Для того чтобы искать что то в нужно знать что искать ) Да и потом: зачем перелопачивать горы ненужной информации ? Вы же не идёте за хлебом в магазин электроники ;) Проще и эффективнее черпать информацию там,где её больше и она лучше структурирована,как например на этом форуме.

в мозгах всё в мозгах черпаем это всё

Весьма странный ответ. Сложно найти чёрную кошку в тёмной комнате,особенно если её там нет ) Обмен опытом как раз и нужен для того,чтобы не тратить несколько световых лет для поиска всех ответов в своих мозгах ))

Как то так ))
 
  • Нравится
Реакции: ghost
09.11.2017
258
260
BIT
5
Весьма странный ответ. Сложно найти чёрную кошку в тёмной комнате,особенно если её там нет ) Обмен опытом как раз и нужен для того,чтобы не тратить несколько световых лет для поиска всех ответов в своих мозгах ))

Как то так ))
да это так но тут есть такой подвох... если искать то искать то что нужно для тебя) :)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!