Инструменты которые использую в соревнованиях CTF

Инструменты которые я использую в соревнованиях CTF

В этой статье я собрал список моих наиболее часто используемых инструментов при участии в соревнованиях CTF.

Еще по теме: Лучшие площадки для оттачивания мастерства взлома

Сеть

Сканирование портов

  • NMAP (Network Mapper): сканирование портов, обнаружение уязвимостей, перечисление сервисов и многое другое. См. также «Сканер уязвимостей из Nmap и Vulscan».
  • RustScan: он использует другой метод для сканирования портов намного быстрее, чем nmap, который затем может быть передан механизму сценариев nmap.

Другое

Веб-приложение

  • GoBuster: в основном используется для брутфорса папок, но у него есть и другие возможности. Можете установить его в Kali Linux с помощью команды «sudo apt install gobuster».
  • Nikto: Мощный сканер уязвимостей веб-приложений.
  • Burpsuite: универсальный инструмент для тестирования веб-приложений. См. также «Автоматизация атак в Burp Suite».
  • OWASP ZAP: бесплатный сканер веб-приложений с открытым исходным кодом.
  • WPScan: инструмент для взлома сайтов на WordPress. Получение списка плагинов и тем, оценка уязвимости сайта (для этого нужен токен api, можно получить его, создав учетную запись здесь) и многое другое. См. также «Как проверить сайт на уязвимости».
  • SQLMap: с помощью этого инструмента можно сканировать сайт на наличие уязвимостей.
  • SQL-инъекций, включая формы, параметры и многое другое.

Хеширование и криптография

Онлайн

См. также Cloudtopolis — мощный инструмент для взлома хешей

Офлайн

  • John The Ripper: мощный инструмент для взлома хешей.
  • Hashcat (взлом хеша). См. также «Как пользоваться Hashcat в Kali Linux».
  • Декодирование base64 из консоли с использованием echo “base64_code” | base64 -d
  • Скрипты John The Ripper: можно найти их в Kali Linux в каталое /usr/share /john.

Стеганография и скрытые данные

Стеганография

  • Steghide: скрывает и извлекает данные из файлов. Устанавливается в Kali командой sudo apt install steghide
  • Stegpy: извлечение скрытых данных из png, bmp, gif, webp и wav.
  • Audacity: редактор звуковых дорожек.
  • outguess: скрывает и извлекает данные.

См. также Программы и другие способы реализации цифровой стеганографии

Скрытые данные

  • Binwalk: поиск в двоичном файле исполняемого кода.
  • ExifTool: чтение, запись и редактирование метаданных разных типов файлов.
  • strings: команда для просмотра и поиска текстовых строк в двоичном файле. Есть в Kali.

Реверс-инжиниринг

  • Radare2: r2 — это переписанный с нуля radare. Набор библиотек, инструментов и плагинов для облегчения задач реверс-инжиниринга.
  • hexeditor: нструмент Kali для работы с шестнадцатеричными файлами.
  • ghidra: набор инструментов для анализа программного обеспечения. Позволяет анализировать скомпилированный код на различных платформах, включая Windows, macOS и Linux. См. также «Использование фреймворка Ghidra».

Эксплуатация

  • searchsploit: инструмент командной строки для поиска уязвисмотей Exploit-DB. Установлен по умолчанию в Kali. См. также «Лучшие сайты для поиска уязвимостей».
  • Metasploit: самый популярный фреймворк для тестирования на проникновение. См. также «Как пользоваться Metasploit Framework».
  • Pwntools: фреймворк CTF. Он предназначен для быстрого прототипирования и разработки и призван максимально упростить написание эксплойтов.

На этом все. Это был мой список инструментов, которые я использую в соревнованиях CTF. А какими инструментами пользуетесь вы?

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *