Behöver Er organisation hjälp med penetrationstester?

PenetrationstestInformation om penetrationstester och IT-säkerhetsgranskningar

  • Hem
  • Verktyg
  • Penetrationstest av WordPress
  • Publika rapporter
  • Så skriver du en rapport

Automated Penetration Testing Toolkit (APT2)

Kategori: Verktyg Taggar: APT2, Core Impact, Immunity CANVAS, Metasploit, Metasploit Pro, Nmap, OWASP Top 10, OWASP Topp 10, Rapid7, Responder, Responder.py

Skrivet 2017-02-13

Tweet

APT2 är ett verktyg för att automatiskt genomföra flertalet annars manuellt moment vid ett penetrationstest. Det är skrivet i python av två medarbetare vid företaget Rapid7 (som även utvecklar Metasploit).

Metodiken vid ett penetrationstest ser ungefär ut som liknande:

Och ser man på ovan linje så är inte så mycket automatiserat i dagsläget. Metasploit Pro, Core Impact och Immunity CANVAS är kommersiella verktyg och har många av dessa steg inbyggda.

Ett exempel på ett förfarande som APT2 kan automatisera åt dig:

  • Identifiera öppna portar med Nmap
  • Identifiera FTP och utför bruteforce
  • Identifiera webbservrar och testa efter OWASP Top 10 osv
  • Köra Responder.py identifiera nätverksutdelningar
  • Köra Metasploit mot tjänster

Verktyget går att ladda hem via GitHub här: https://github.com/MooseDojo/apt2

Test av APT2

Först installerar vi alla beroenden med hjälp av pip enligt README-filen. Efter detta så startar jag metasploit och kör kommandot som apt2.py skriver ut för att starta API:t (apt2 pratar med msf).

När det är klart så kör jag nmap och skapar en xml-fil som sedan kan skickas in som argument till apt2. För att få Nmap att skriva ut en XML-fil med resultatet skriver du med -oX argumentet, likt följande:

nmap -oX internal-scan.xml 10.0.1.2

Och denna fil använder vi sedan till apt2.py:

./apt2.py -v -v -b -s 1 -f internal-scan.xml

Och om allt går väl så skrivs det ut en rapport i html-format. Jag är tyvärr inte helt imponerad av rapporten som skapades mot det system som jag testade, nämligen metasploitable3. Resultatet var att apt2 inte lyckades utnyttja något:

Så min rekommendation just nu är att skippa APT2. Det tillför inget även om det är en bra grundidé men har potential att bli något bra.

Relaterade

Jonas Lejon

Jonas Lejon som skrivit denna artikel driver företaget Triop AB och är en av Sveriges främsta IT-säkerhetsexperter. Kontakta mig gärna på [email protected] om Er organisation behöver hjälp.


Twitter @kryptera

Dela gärna detta inlägg:

Klicka här för att avbryta svar.

Kommentarer

Senaste kommentarer

  • Mats om Kör Kali Linux med Vagrant
  • Sebastian Nielsen om Ny metod för att gissa SSH-användare
  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb

Arkiv

  • januari 2019
  • november 2018
  • oktober 2018
  • augusti 2018
  • juli 2018
  • mars 2018
  • februari 2018
  • januari 2018
  • november 2017
  • oktober 2017
  • september 2017
  • maj 2017
  • april 2017
  • mars 2017
  • februari 2017
  • januari 2017
  • december 2016
  • oktober 2016
  • september 2016
  • augusti 2016
  • juni 2016
  • maj 2016
  • april 2016
  • mars 2016
  • februari 2016
  • januari 2016
  • november 2015
  • oktober 2015
  • september 2015
  • augusti 2015
  • juli 2015
  • juni 2015
  • maj 2015
  • mars 2015
  • februari 2015
  • januari 2015
  • december 2014
  • oktober 2014
  • september 2014
  • augusti 2014
  • juli 2014
  • juni 2014
  • maj 2014

Copyright 2019 Triop AB - All Rights reserved.