Codeby web-security - новый курс от Codeby Security School

Представляем вашему вниманию новый курс от команды The Codeby - "Тестирование Веб-Приложений на проникновение с нуля". Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...


— Бендер, а ты уверен, что этой дорогой короче? 

— Сейчас уже не так как час назад.

(Футурама)

Довольно часто мне приходилось видеть мнения от пользователей Linux (не Kali), «зачем нужна Kali, что в этом дистрибутиве такого особенного если нужные инструменты можно установить на любой дистрибутив и пользоваться им?». Честно говоря, резного рода теоретики (не обязательно по этому вопросу, меня поражает сложившаяся ситуацию, когда сайты о здоровье ведут не то что не врачи, а школьники, «сео-специалисты», которые заказывают статьи по 20 рублей за 1000 символов у других школьников и «копирайтеров»; особенно, думаю, «интересно» читать женские сайты, которые ведутся мужчинами, некоторые из которых не имели отношений с женщиной вообще никогда…; но не будем уходить от темы). Смысл в том, что те, кто ставил программы не из репозитория, знает, что это не всегда просто: иногда нужно решать проблемы с зависимостями, иногда этих зависимостей также нет в репозиториях, иногда при компиляции появляются ошибки, которые нужно обязательно разрешать, иногда возникают ошибки в процессе установки уже скомпилированных бинарников и т. д. И все эти «иногда» случаются довольно часто.

Именно поэтому востребован инструмент, который бы загружал, компилировал, устанавливал зависимости, производил саму установку, т. е. делал всё необходимое для получения инструментов, которые применяются при тестировании на проникновение.

По задумке, PTF (Penetration Testers Framework) — это набор скриптов, которые автоматически устанавливают, компилируют и т. д. самые свежие версии самых лучших инструментов для пентестинга и т. д. Т.е. этот фреймворк сам устанавливает необходимые зависимости и т. д. Не хочется сильно заострять внимание на функциях, т. к. всё равно ничего не работает.

Редко (вроде, почти никогда) я пишу о программах, которые не работают. Тем не менее, очень уж интересная идея у этого PTF (фреймворка для тестирования на проникновения): на любой Linux по выбору устанавливаются самые популярные программы из чемоданчика пентестера. И я уверен, что эта программа привлечёт внимание многих. А исходя из задумки самой программы — установка на обычный дистрибутив — довольно много народу могут засорить свои домашние, рабочие компьютеры результатами деятельности этого фреймворка. Именно поэтому я и хочу рассказать об опыте его использования.


Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


До описания команд сразу перейду к результатам тестирования PTF:

  • без моего ведома, PTF в источники приложений добавила репозитории Kali Linux;
  • не спрашивая меня, была установлена уйма пакетов;
  • работа PTF длилась ОЧЕНЬ долго, при этом она постоянно что-то загружала и устанавливала (за это время можно было бы установить Kali Linux на флешку или в виртуальную машину раз пять, если не больше);
  • в зависимости от условий запуска, в программе постоянно появлялись разные ошибки — это к вопросу о проверке условий запуска и качеству кода;
  • ничего не заработало — инструменты вроде бы как загрузились по своим папкам, но запускаться отказывались;
  • такое ощущение (работа от суперпользователя, необходимость в источниках приложений репозиториев Kali), что автор этих скриптов тестировал своё детище в самой Kali Linux. Т.е. весьма вероятно, что там скрипт сработает правильно. Но зачем одни и те же программы в одной системе два раза?

Общий вывод по программе — не тратьте на PTF своё время. Используйте Kali, или установите руками нужные вам программы — в этом случая хотя бы есть шанс, что будет работать.

Как я уже сказал, положительного результата мне добиться не удалось (тестировал на LMDE 2 — Linux Mint на основе Debian). Дольше всего программа «работала» — выполняла какие-то свои действия, а не вылетала с ошибкой — при следующих условиях запуска:

su -

В любом случае нужны права суперпользователя. Кроме того, нужно инициализировать git, а многим его ещё и нужно установить перед этим:

git init
git clone https://github.com/trustedsec/ptf.git
cd ptf
./ptf

07

Теперь можно установить программы по отдельности, либо обновить/установить сразу всё:

use modules/install_update_all

Про результат я уже сказал — ничего не работает. Я не рекомендую использовать PTF, поскольку при отсутствии результата происходит засорение системы чужими источниками приложений и большим количеством установленных пакетов.


Codeby Market от Сodeby

Мы запустили свой магазин CodebyMarket Equipment for InfoSec. Уже добавили RaspberryAlfa Long-RangeOrange PiArduino и многое другое. Купить Pentesting Devices