Как собрать портативный набор для пентестинга на базе Raspberry Pi

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем Sergei webware, 20 фев 2016.

  1. Sergei webware

    Paid Access

    Репутация:
    0
    Регистрация:
    7 фев 2016
    Сообщения:
    24
    Симпатии:
    94
    Приветствую, друзья ! Сомневаюсь, что кто-либо из посетителей этого сайта слышал обо мне. Надеюсь, этот пост позволит мне стать активным членом данного сообщества и поможет расширить собственные знания.

    Мой проект похож на статью Alexey по этой ссылке и публикацию за авторством nemainthium. Они оба используют Raspberry Pi как инструмент для взлома. Это отличные руководства, без сомнения превосходящие моё. Тем не менее, я хочу написать пошаговое руководство о том, что сумел сделать. Будем надеяться, вы узнаете из него что-то новое, а я смогу почерпнуть полезные сведения из ваших комментариев и обсуждений.

    Введение

    Я займусь созданием портативного набора для тестирования проникновением на базе Raspberry Pi. Его примерная стоимость составит около 100 долларов или менее. Фактически, нашей целью является создание эффективного портативного компьютера, которым можно незаметно пользоваться (удалённо или непосредственно), а при необходимости, от него даже можно будет избавиться. Данный проект в значительной степени опирается на ультра маленький форм-фактор Raspberry Pi. Этот миниатюрный компьютер можно засунуть куда угодно. В нашем случае, мы установим его в довольно уникальную коробку для завтрака. Итак, давайте приступим к работе!

    Как собрать портативный набор для пентестинга на базе Raspberry Pi

    Шаг 1: Сбор материалов

    Для того чтобы собрать компьютер для пентестинга менее чем за 100 долларов, нам понадобятся самые лучшие компоненты по умеренной цене. На фото ниже изображена вся необходимая нам электроника.

    Как собрать портативный набор для пентестинга на базе Raspberry Pi

    Я купил почти всё на Ebay:
    • Raspberry Pi
    • LCD дисплей Makerfire 7"
    • Беспроводная клавиатура и мышь Rii mini
    • Аккумуляторная батарея PNY
    • Карта MicroSD
    • Адаптер питания 12V 2A DC (источник питания для экрана я взял от старого маршрутизатора Netgear, которым никогда не пользовался)
    • HDMI кабель (на изображении его нет, поскольку сейчас такой кабель можно найти почти везде)
    Чтобы сделать проект ещё дешевле, вы можете заменить Raspberry Pi на Raspberry Pi Zero за 5 долларов или даже новый CHIP от компании Next Thing, который стоит 9 долларов.

    Из компонентов, не относящихся к электронике, нам понадобиться текстильная застёжка, изолента и, конечно, коробка для завтрака, в которую мы всё установим (примечание: позже я добавил корпус для Pi, напечатанный на 3D-принтере, поскольку он помогает разместить Pi в коробке для завтрака).

    Как собрать портативный набор для пентестинга на базе Raspberry Pi

    Шаг 2: Подготовка Raspberry Pi

    Чтобы подготовить идеальный набор для взлома, нам нужно загрузить на нашу SD карту памяти идеальную операционную систему взломщика. Kali Linux включает все необходимые нам инструменты и программы, чтобы сделать Raspberry Pi эффективным инструментом для взлома.

    Для начала, нам нужно скачать образ Kali Linux для нашего Raspberry Pi по этой ссылке. После загрузки файла, распакуйте его, воспользовавшись Win32 Disk Imager, 7Zip или другой подобной утилитой. Далее воспользуйтесь этой инструкцией.

    Скачав образ системы на SD карту, попробуйте включить Pi и посмотреть, загружается ли система. Если всё работает нормально, переходите к шагу №3. Если вы столкнулись с какими-то проблемами, обратитесь к пошаговому объяснению, которое можно найти здесь.

    Шаг 3: Собираем всё вместе

    После того, как Pi с Kali Linux готов, пришло время собрать вместе все остальные части. В моём случае, я поместил батарею с внешней части коробки, как показано ниже. Но вы можете сделать всё совершенно по-другому. Вы могли заметить, что я добавил корпус для Raspberry Pi, напечатанный на 3D принтере. Это позволяет мне легко отсоединить Pi и батарею.

    Как собрать портативный набор для пентестинга на базе Raspberry Pi

    Экран и контроллер экрана закреплены с помощью изоленты. Клавиатура должна быть съёмной, чтобы ей можно было эффективно пользоваться. На подключение всех кабелей уходит несколько секунд, а затем наш Pi загружается. Соответственно, на выключение системы и отсоединение компонентов требуется то же самое время, и все они легко помещаются в коробку для завтрака.

    Шаг 4: Работа с Kali на Pi

    Подключив все компоненты и убедившись, что они функционируют правильно, вы можете приступать к работе. По умолчанию, на Raspberry Pi с Kali Linux должен быть включён SSH сервер. Вы можете войти в него с другого компьютера или смартфона, воспользовавшись SSH клиентом вроде Putty (Windows) или терминалом в Linux. Во время авторизации, введите стандартный логин и пароль (root, toor) и можете приступать к удалённому использованию Pi.

    Можете установить любые дополнительные программы, необходимые вам для совершения взлома. Но не забывайте об ограничениях аппаратного обеспечения, ведь Raspberry Pi сможет запустить далеко не все утилиты. Лично я предпочитаю использовать этот набор как простой инструмент для тестирования. С его помощью можно провести активную разведку утилитой Nmap, взломать пароль, воспользовавшись John и даже перехватывать трафик с Wireshark. Существует немало инструментов, которые могут сделать данное устройство очень полезным.

    Вот фотография завершённого проекта с запущенной Kali Linux:

    Как собрать портативный набор для пентестинга на базе Raspberry Pi

    Загрузка Pi со съёмной клавиатурой и мышью:

    Как собрать портативный набор для пентестинга на базе Raspberry Pi

    Шаг 5: Заключение и ревизия

    В целом, это отличный проект, если вы заинтересованы в том, каким образом Raspberry Pi можно использовать для взлома. Кроме этого, его интересно собирать и можно использовать в качестве инструмент для тестирования в вашей хакерской лаборатории.

    Как я уже упоминал выше, любую часть данного проекта можно изменить. Вы можете взять более дорогие или наоборот дешёвые компоненты, в зависимости от собственных предпочтений.

    (Сейчас я понимаю, что этот компьютер нельзя назвать полностью портативным, поскольку экрану требуется питание от сети. Впрочем, эту проблему можно решить, добавив ещё один аккумулятор.)

    Спасибо!

    Спасибо, что прочитали мой первый пост. Надеюсь, он показался вам интересным! Если у вас возникли какие-то вопросы, комментарии или вы считаете, что я где-то напортачил, пишите мне. Ещё раз спасибо и удачного взлома !

    Источник http://null-byte.wonderhowto.com/how-to/build-portable-pen-testing-pi-box-0167629/
     
    Brib, koldonuuchu, Stavnik и 6 другим нравится это.
  2. Vander

    Vander Супер-модератор
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    16 янв 2016
    Сообщения:
    807
    Симпатии:
    1.519
    Статья хорошая:) А есть идеи как избавиться от клавиатуры и экрана в пользу SSH и смартфона?
     
    3 пользователям это понравилось.
  3. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    0
    Регистрация:
    12 май 2016
    Сообщения:
    217
    Симпатии:
    224
    Можно на смартфон Nexus установить Kali Linux и подрубаться по SSH
     
  4. Vander

    Vander Супер-модератор
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    16 янв 2016
    Сообщения:
    807
    Симпатии:
    1.519
    Можно и на Nexus, но я морально не готов его ради этого брать)))
     
  5. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    0
    Регистрация:
    12 май 2016
    Сообщения:
    217
    Симпатии:
    224
    Там еще какие то смартфоны поддерживаются. Может что и подешевле есть?
     
  6. z3RoTooL

    z3RoTooL Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    28 фев 2016
    Сообщения:
    490
    Симпатии:
    303
    да, там поддерживается смарт OnePlus One
     
    ghost нравится это.
  7. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    0
    Регистрация:
    12 май 2016
    Сообщения:
    217
    Симпатии:
    224
    Ненамного дешевле Nexus...
     
  8. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    0
    Регистрация:
    12 май 2016
    Сообщения:
    217
    Симпатии:
    224
    Вот еще вопрос по RPi. Как сделать, чтобы по дефолту грузило не рабочий стол XFCE, а просто терминал с login/password как в Raspbian Lite? Отпишитесь кто знает...
     
  9. sosiskapi

    sosiskapi Active Member

    Репутация:
    0
    Регистрация:
    28 дек 2016
    Сообщения:
    28
    Симпатии:
    11
    glyan na etu komandu
    systemctl set-default multi-user.target
     
    ghost нравится это.
  10. AlexMen

    AlexMen Active Member

    Репутация:
    0
    Регистрация:
    5 апр 2017
    Сообщения:
    36
    Симпатии:
    31
    Дома использую малину v2, и kali 2.0 , подключил ее через RJ45 , можно подключаться через терминал SSH , так же есть 3g модем на ней и вайфай карта , работать можно удаленно в любом месте , есть минус если брать с собой таскаю повер банк. так же и с ноутбуком , всею малину в сумку и ноут или телефон через вайфай к ней .
     
    ghost нравится это.
  11. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    456
    Симпатии:
    1.517
    Как вариант можно юзать два вифи адаптера,один для пентеста ,второй для конекта к хотспоту на смартфоне.
    Соответственно малина с альфой лежит в рюкзаке,а мы ее контролим через ssh со своего смартфона любым ssh клиентом для телефона.Для тех кому нужен графический интерфейс может поднять vnc сервер на малине и опять же таки контролить через телефон.Имхо удобно)
     
    ghost и ghostphisher нравится это.
  12. ghostphisher

    ghostphisher гарант codeby
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    7 дек 2016
    Сообщения:
    1.493
    Симпатии:
    1.332
    Именно =) Такую связку использовали пока не появились малины =) или не было возможноси ее использовать. Ноут в сумку, рбкзак, ставим не отключать ноут при закрытие крышки, один адаптер подключается к смарту как к ТД, поднимается VNC и собственно все - можно рулить =)
     
    ghost нравится это.
  13. a113

    a113 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    10 дек 2016
    Сообщения:
    218
    Симпатии:
    151
    Вроде есть PUtty под "андрюху", но это не точно :D:. Как всем известно сервера обслуживаются по SSH за 10, а то и 1000 километров, так что я не думаю, что это дело составит большого труда :)
    P.S: JuiceSSH называется прога. Есть в GooglePlay :)
     
    ghost нравится это.
  14. Vander

    Vander Супер-модератор
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    16 янв 2016
    Сообщения:
    807
    Симпатии:
    1.519
    JuiceSSH - самый адекватный Android ssh-клиент
    Terminus - аналог для iOS
     
    ghost и a113 нравится это.
  15. a113

    a113 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    10 дек 2016
    Сообщения:
    218
    Симпатии:
    151
    Кстати, данная тема более интересна для blackhat`ов, ну или "корпоративным" хакерам (которые следят за конторами по просьбам других контор, юр.лиц и физ лиц). Так как если у вас есть разрешение на тестирование, то вам не нужно прятать аппаратуру :D.
    И вопрос - есть разница какую малину брать?
     
    ghost нравится это.
  16. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    456
    Симпатии:
    1.517
    Лично я давно пользуюсь Terminus,он мне более удобен но в JuiceSSH есть телнет клиент)
    Вот так выглядит первые пару приложений на моем Андроиде
    Как собрать портативный набор для пентестинга на базе Raspberry Pi
     
    ghost нравится это.
  17. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    0
    Регистрация:
    12 май 2016
    Сообщения:
    217
    Симпатии:
    224
    В дневное время суток вместо батареи можно использовать для запитки RPi это
    Как собрать портативный набор для пентестинга на базе Raspberry Pi
    подходит для андрюши - подойдет и для него. Подвесил на рюкзак и все нормально.
    Для безопасности любого SSH клиента не забываем перевешивать порт со стандартного на другой. Встречал много серьезных солидных сайтов, а порт на SSH стандартный. Позор их сисадминам! Отнять руки за такое по самые плечи. :)
     
    ~~DarkNode~~, a113 и Vander нравится это.
  18. Vander

    Vander Супер-модератор
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    16 янв 2016
    Сообщения:
    807
    Симпатии:
    1.519
    В точку, я тут на днях, сервер поднял с астериском и оставил висеть его на 22 порту, уже через мин 15 наверн, брут начался:)


    А что за батарейка на картинке? На днях хотел похожую хотел купить, но продавец отговорил.
    Сказал, что она ваще ни о чем, и не заряжается нормально и не держит
     
    ghost нравится это.
  19. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    0
    Регистрация:
    12 май 2016
    Сообщения:
    217
    Симпатии:
    224
    Смотря для каких целей. Вон на али липа или б/у после майнинга можно и за рубль триста найти. А можно и Orange Pi заменить...
    --- Добавлено 11 апр 2017. Первое сообщение размещено 11 апр 2017 ---
    1. Знаю. Такое сплошь и рядом.
    2. Солнечное зарядное устройстводля планшетов. Водонепроницаемое. С карабином. На али на любой вкус, цвет и мощность.
    (Без названия. Приведено просто для примера.)
     
    Vander нравится это.
  20. AlexMen

    AlexMen Active Member

    Репутация:
    0
    Регистрация:
    5 апр 2017
    Сообщения:
    36
    Симпатии:
    31
    =) про Солнечную даже забыл ахах . да надо будет тоже купить попробовать .
     
    ghost нравится это.
Загрузка...

Поделиться этой страницей