Betrifft den Punkt „Auskunftschaftung“ und „Schwachstellenausnutzung“ der Cyber Kill Chain.
sn1per ist eine Anwendung für Linux und vereint viele Werkzeuge zur Informationsbeschaffung / Auskundschaftung und Schwachstellenausnutzung. Einige dieser Werkzeuge habe ich auf dieser WebSeite bereits vorgestellt.
Seit Juni 2022 werden folgende Werkzeuge von sn1per benutzt …
Für die Domain- / Subdomainanalyse
Massdns, Sublist3r, AMass, Subfinder, Dnscan, crt.sh, Censys, Project Sonar, AltDNS, DNSGen, Spoofcheck.py, Hunter.io
Für Amazon S3
Slurp
Für Subdomain Übernahmen
Subover, Subjack
Für Screenshots
Webscreenshot.py, CutyCapt
Open Source Intelligence
theHarvester, GooHak, Whois, Metagoofil, Inurlbr, Waybackmachine
Netzwerk Scanner
NMap, AMap, SSH-audit
OpenVAS, Yasuo, NMap Vulners Script
Schwachstellenausnutzung
Metasploit, NMap Scripts, Jexboss, Findsploit
Hydra, BruteX
Webanwendungen Scanner
BlackWidow, WPScan, Burpsuite, Arachni, Dirsearch, Gobuster, wafw00f, WhatWeb, WIG, WebTech, Nikto, Clusterd, CMSMap, Shocker
Verschlüsselung prüfen
SSLScan, SSLyze, MassBleed
Benachrichtigungen
Slack API
Neben der Pro-Version von sn1per gibt es eine kostenfreie Version. Diese kann hier geladen werden: https://github.com/1N3/Sn1per
sn1per ist kein Teil von Kali-Linux; gleichwohl kann sn1per darin installiert werden.
Das Schöne an sn1per ist, dass der Scan – und die Auswahl des richtigen Werkzeugs – vollkommen automatisiert abläuft. Findet sn1per beispielsweise einen Login-Dialog, wird automatisch ein Brute-Force Angriff durchgeführt.
Der Aufruf ist relativ einfach; hier am Beispiel von hackthissite.org:
sniper -t hackthissite.org
Da diese Testseite voll von Schwachstellen ist, dauert der Scan entsprechend lange.
sn1per fasst die Ergebnisse übersichtlich in einer Berichtsdatei zusammen. Mit der Pro-Version kann man diesen Bericht übersichtlich darstellen lassen. Den Ergebnisbericht der kostenfreien Variante ist nur eine einfache Liste … hier:
Natürlich kann man damit auch die eigene Infrastruktur überprüfen, beispielsweise den eigenen DSL-Router, den eigenen WLAN Access Point, die eigene Smarte Heizung oder ein anderes Gerät.
Beispiel für den eigenen DLS.Router:
sniper -t fritz.box
oder per IP-Adresse
sniper -t 192.168.178.1
Viel Spaß beim Ausprobieren.
Wichtiger Hinweis:
In Deutschland gibt es den Hackerparagrafen: §202c (StGB). Dieses Gesetz verbietet es fremde Systeme auszuspionieren oder anzugreifen. Falls Sie also selbst Hacken lernen wollen, bspw. mit Kali Linux, analysieren Sie bitte nur Systeme in Ihrem eigenen (Heim)Netzwerk und lassen Sie sich von Ihrer IT-Abteilung eine entsprechende Freigabe dafür geben.
weitere Fachbeiträge …
- Dezember 2023 (1)
- Oktober 2023 (1)
- August 2023 (1)
- Juni 2023 (1)
- September 2022 (2)
- August 2022 (2)
- Juni 2022 (1)
- Mai 2022 (3)
- April 2022 (2)
- März 2022 (4)
- Februar 2022 (7)
- Januar 2022 (12)
- Dezember 2021 (8)
Informationssicherheit und Datenschutz – Beratung und Konzeption – Landsberg am Lech
