Remote Vulnerability Testing Framework

Автор: Knownsec Security Team
URL: https://github.com/knownsec/Pocsuite
Система: Linux / Windows / OS X / BSD

Pocsuite — это фреймворк на Python с открытым исходным кодом для удаленного тестирования на уязвимости. Фреймворк поддерживает два режима работы:

  • валидации;
  • эксплуатации.

При этом на вход Pocsuite может получать список целей и последовательно тестировать их каждым из требуемых эксплоит-плагинов.

С инструментом можно работать в режиме, подобном Metasploit, интерактивно задавая все необходимые параметры сканирования, и в CLI-режиме, определив все аргументы.

Как и Metasploit, Pocsuite-фреймворк имеет свой так называемый development kit — для разработки собственных эксплоитов. Пользователь может с помощью вспомогательных модулей расширить возможности эксплуатации или интегрировать в Pocsuite дополнительные инструменты оценки уязвимостей.

Из интересных особенностей фреймворка стоит выделить интеграцию с Seebug и ZoomEye API для совместного использования. Оценить уязвимости можно автоматически: искать цели через ZoomEye и использовать PoC’ы из Seebug или локального хранилища.

 

Network Forensics Framework

Автор: Ankur «7h3rAm» Tyagi
URL: https://github.com/7h3rAm/rudra-pcaponly
Система: Windows/Linux

Инструмент Rudra призван предоставить разработчику дружелюбный фреймворк для всестороннего анализа PCAP- и PE-файлов. После сканирования он генерирует отчеты, которые включают структурные свойства файлов, визуализацию энтропии, степень сжатия и другие данные.

Эти сведения, наряду с информацией о формате файла, помогают аналитику понять тип данных, встроенных в файл, и быстро решить, заслуживает ли он дальнейшего изучения.

Возможности Rudra: сканирование API, anti{debug, vm, sandbox}-обнаружение, обнаружение упаковщиков, authenticode-верификация, наложение Yara-правил, детектирование shellcode и поиск по regexp.

Отчеты для каждого анализируемого файла могут быть созданы на диске в форматах JSON, HTML, PDF. Инструмент был впервые представлен на конференции Black Hat USA 2015.

 

StackPivotChecker

Авторы: Xiaoning Li, Haifei Li
URL: https://www.blackhat.com/docs/asia-16/materials/arsenal/asia-16-Li-StackPivotChecker-tool.zip
Система: Windows

У исследователей, занимающихся анализом атак и эксплоитов, во всем мире есть общая проблема — анализ ROP only эксплоитов. Это значит, что, кроме самого эксплоита, и шелл-код написан в технике ROP (return-oriented programming). Анализировать такое очень сложно. В качестве примера можно привести APSA13-02 в PDF reader от Adobe (CVE-2013-0641). В этом эксплоите около тысячи ROP-гаджетов!

StackPivotChecker — инструмент, призванный облегчить подобный анализ. И делает он это с помощью детектирования так называемого StackPivot, ответственного за контроль над стеком, от которого зависит ROP-техника. Логика проста: поймав StackPivot, можно поймать и весь ROP-шелл-код.

Для трассировки инструмент использует связку двух техник: Single Step + BTF.

Более подробно об инструменте можно узнать из презентации StackPivotChecker — Instrumentation Techniques and ROP Exploit Rapid Analysis.

Инструмент был впервые представлен на конференции Black Hat Asia 2016.

 

recoversqlite

Автор: A. Ramos
URL: https://github.com/aramosf/recoversqlite/
Система: Windows/Linux

Инструмент помогает восстановить измененные или удаленные данные из SQLite базы данных. Автор написал его относительно давно, но опубликовал на GitHub только сейчас. Сам recoversqlite состоит из нескольких скриптов на языке Python:

  • recoversqlite.py — первая версия;
  • dumplite.py — вторая, обновленная.

Версии различаются отображением извлеченных данных; кроме того, автор говорит, что вторая версия полностью переписана. В первой, к примеру, мы можем получить данные в формате ASCII или в более удобном hex-формате, а также краткие сведения о файле. Во второй — только hex, но дополнительная информация доступна как для файла, так и для отдельных страниц или «свободных» диапазонов в БД — они как раз и могут содержать данные, которые мы пытаемся восстановить.

Для запуска устанавливать ничего не требуется, достаточно скачать исходники из репозитория проекта и запустить нужную версию:

  • recoversqlite:

    $ python recoversqlite.py -f dumplite/personas.sqlite

  • dumplite:

    $ cd dumplite
    $ python dumplite.py -f personas.sqlite -l -u -d

Среди дополнительных ссылок, оставленных автором в небольшом ReadMe к утилите, можно найти не только описание процесса восстановления с примерами использования, но и материалы (книги, документацию), на которые он опирался при разработке. Есть один минус: примеры использования и справка ко второй версии программы написаны на испанском языке.

 

Изучаем ядро Windows

Автор: Nedim Sabic

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


4 комментария

  1. afiskon

    13.07.2016 at 16:45

    Очень интересно. Пожалуйста, пишите еще. Если это не большой секрет, не могли бы вы поделиться (возможно, в следующей статье) ссылками не ресурсы, за которыми вы следите, чтобы быть в курсе такого рода инструментов?

  2. Qusstem

    31.07.2016 at 15:36

    emPyre надо попробывать.

  3. Inject0r

    02.09.2016 at 10:59

    Пол дня потратил на изучение pocsuite, программа интересная, но очень баговая и мутная. Вначале было непонятно где для нее искать PoC’и. Нашел китайский сайт seebug, собственно оттуда файлы для тестирования и качаются. Но проблема в том, что огромная часть эксплойтов написана с нарушением синтаксиса и pocsuite просто выдает ошибку при обработке файла. Это первый момент, а второй — все PoC’и на сайте платные, идет оплата за килобайты кода. Автоматизация тоже под вопросом, потому что если используется нестандартный порт, то скрипты нужно править вручную. В общем, интересно было поразбираться с ней, но потраченного времени софтина не стоит.

Оставить мнение

Check Also

ОС максимальной секретности. Выбираем дистрибутив для обхода блокировок и защиты от слежки

Возможно, ты уже пользовался дистрибутивом Tails или даже запускаешь его ежедневно. Но это…