Взлом и проверка на уязвимости

Сканирование и атака веб-сайта – Katana Framework

Сканирование и атака веб-сайта – Katana Framework

Katana Framework – фреймворк, разработаный Колумбийской командой RedToor. Предназначен для облегчения рутинных действий, а также пентестинга веб-сайтов и других веб-ресурсов.

Данный фреймворк работает на Linux и написан на Python, его можно легко кастомизировать, так как он имеет открытый исходный код. Каждый кто его использует отвечает за свои действия сам и никто не несет отвественности за возможный приченнёный ущерб, кроме Вас самих.

Тестировалась работа фреймворка на следующих ОС, все они на ядре Linux:

ДистрибутивСтатус
Kali LinuxРаботает
Debian(8)Работает
Parrot OSРаботает
WifislaxРаботает
OpenSuseРаботает
Arch LinuxРаботает
RaspbianРаботает
UbuntuРаботает
XbuntuРаботает

Таким образом мы можем увидеть, что Katana Framework без проблем работает на самых популярных дистрибутивах Linux.

Установка Katana Framework – пентестинг сети

Скачать фреймворк можно по ссылке.

Для работы с фреймворком требуется установить зависимости.

Список зависимостей:

Так или иначе, мы уже обсуждали практически все эти программы, которые использует Katana Framework в своей работе.

Переходим в папку с нашим фреймворком и пишем команду для установки всех зависимостей, если они у вас не установлены:

sudo sh dependencies

Установка происходит только с правами суперпользователя.

sudo python install

Установка скрипта завершена.

Возможности Katana Framework – пентестинг веб-сайтов

Для запуска Katana Framework необходимо написать следующую команду в терминале, также рекомендуется перед запуском обновлять фреймворк, так как версия является нестабильной и обновления выходят довольно часто.

python ktf.update

ktf.console

Запуск ktf.console

Для того, чтобы посмотреть модули, которые мы можем использовать, пишем следующую команду:

show modules

Список и описание модулей:

CodeName                     Description
web/cp.finder                 Administrator Panel Finder.
web/sub.dns                   Subdomain Bruteforce.
web/bypass.sql                bypass SQLi with Cheats Injections.
web/bt.form                   Brute force to Form-based.
web/bt.http                   Brute force to Http Authentication.
web/whois                     Whois, DNS Lookup.
web/clt.lfd                   LFD Vulnerability Console.
net/sf.arp                    ARP tables Monitor.
net/sc.hosts                  Hosts live Scan in LAN.
net/sc.scan                   Scan [Ports, OS, Etc] IP.
net/work.sniff                HTTP sniffer.
net/arp.pson                  ARP poisoning Attack.
net/arp.dos                   ARP D.O.S Attack.
net/dns.spoof                 DNS Spoofing.
net/dns.fake                  DNS fake Server Spoof.
net/web.dos                   Web D.O.S Attack in LAN.
msf/back.door                 Generate backdoors with MSF.
set/web.hot                   Gathering Information with web.
set/em.boom                   E-mail Boombing (SPAM).
clt/cl.sql                    Mysql Console Client.
clt/cl.ftp                    FTP Console Client.
clt/cl.pop                    POP Console Client.
clt/cl.adb                    ADB Console Client (Android).
btf/pr.ftp                    Brute Force to FTprotocol.
btf/pr.sql                    Brute Force to SQL protocol.
btf/pr.ssh                    Brute Force to SSH protocol.
btf/pr.pop                    Brute Force to POP3 protocol.
anf/af.imagen                 Forensic image analysis.
fle/bt.rar                    Brute Force to RAR file.
fle/scan.file                 Report of Virus Scan file.
fle/bt.zip                    Brute Force to ZIP file.
mcs/gn.words                  Generator Dictionaries.
mcs/i.settup                  Show Properties of System Current.
mcs/ts.login                  Test Credentials protocols.
mcs/px.checker                Proxy list checker.
wifi/ap.dos                   Access Point D.O.S attack.
wifi/ev.twin                  Access Point Phising.

Использование какого-либо модуля:

use name_of_module

Для просмотра опций модуля:

show options

Установка цели для сканирования:

set target domain or ip-address

Для запуска пишем run.

Katana Framework – пример пентестинга

Для примера работы мы будем использовать модуль поиска админки на популярном сайте фильмов kinogo. cc.

Настройка модуля

Также данный модуль проверяет наличие открытых портов, через которые могут проводится последующие атаки.

inf – закрыто, ошибка доступа, неверный адрес.

suf – успешно.

Результаты сканирования

Сканирование показало открытые порты, а также нашло адрес админ-панели сайта kinogo. cc/ admin.php – без пробелов.

админ панель

Спасибо за то, что читаете. Подписывайтесь на обновления блога, а также делитесь записью в соц. сетях, если хотите нас поддержать.

Теги

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Related Articles

2 комментариев

  1. 2 месяца искал статью похожую на эту,
    написал хорошо, спасибо за информацию!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button