11. Инструменты¶
Сетезор интегрирует в себя ряд сетевых сканеров, таких как NMAP, SCAPY, MASSCAN, SNMP и позволяет осуществлять сканирование из одного единого пространства.
На данной странице собраны инструменты сканирования IP-адресов, сетевых узлов и доменов. В инструментах можно выбрать цель для сканирования или скоуп - группу целей для сканирования, которая создается на странице “Скоупы”.
Добавление скана (online)¶
В каждом инструменте находится кнопка “Initial scan”, она позволяет создать отдельную “папку” для отсканированной информации. В такую “папку”, с помощью инструментом, заносится отсканированная информация. Таким образом можно разными сканами сканировать разную информацию, а затем на страницах (Графики, Карта сети, Информация, Сравнения) выбирать из какого скана отобразить сводную информацию в таблицах и графиках.
Информацию из разных сканов можно сравнить на странице “Сравнение (online)”.
|
|---|
|
Например, создать первый скан и назвать его “Внешка” - просканировать данные с внешнего периметра, затем создать второй скан и назвать его “Внутрянка” - просканировать данные с внутреннего периметра. Затем на карте сети отображать разные сканы, в зависимости от работы.
Так же сканы можно использовать для одного и того же сканирования, но в разное время. Просканировать сеть одним сканом, выявить уязвимости, устарнить их. Через неделю, просканировать тоже самое другим сканом. А затем сравнить информацию на странице “Сравнение”, это позволит проверить устранены ли уязвимости и появилось ли что-то новое.
Без использования сканов, информация в таблицах и на графиках отображается по последнему использованному скану.
Менеджер (online)¶
Позволяет разграничивать трафик между агентами, во избежание полной блокировки IP-адреса. Также помогает агентам быстрее выполнять задачи.
При выборе нескольких агентов задача разделяется между ними пропорционально.
|
|---|
После выбора агентов, выбрать инструмент сканирования: nmap или masscan.
|
|---|
В окне с инструментом вписать цели или выбрать скоуп, настроить параметры сканирования и выбрать скан. Выбранные ранее агенты начнут выполнять сканирование распределив данные между собой.
|
|---|
Сеть¶
NMAP¶
Nmap (Network Mapper) - это инструмент для активного сетевого сканирования. Позволяет найти открытые порты и идентифицировать операционную систему машины, сервисы, их версии, которые запущены на сканируемом хосте (см. подробнее справочное руководство Nmap).
Импорт логов в NMAP Импорт логов доступен в формате “.xml”. Для этого необходимо нажать “Загрузить xml логи” и выбрать файл, который надо обработать.
|
|
|---|
MASSCAN¶
Самый быстрый сканер сетевых портов. Для его использования необходимо указать область сканирования. При необходимости можно указать список портов для сканирования (см. подробнее masscan).
Импорт логов в MASSCAN Импорт логов доступен в 3 форматах: “.xml”, “.list”, “.json”. Для этого необходимо нажать “Загрузить xml логи” и выбрать файл, который надо обработать.
|
|
|---|
SCAPY¶
Scapy отправляет, анализирует и создает сетевые пакеты. Он способен подделывать или декодировать пакеты широкого круга протоколов, отправлять их на провод, захватывать их, соответствовать запросам и ответам и многое другое.
Scapy в Сетезоре осуществляет пассивное сканирование. Перехватывает пакеты, “налету” извлекает информацию и заносит в базу. После его отключения распарсятся сетевые пакеты и будут обновлены данные на карте (см. подробнее Документация Scapy).
Импорт логов в SCAPY Импорт логов доступен в формате “.pcap”. Для этого необходимо нажать “Загрузить pcap логи” и выбрать файл, который надо обработать.
|
|---|
SNMP¶
Сканирует IP-адреса с открытыми портами. Ищет информацию о роутере: IP-адрес, порт, логин public/private, разрешения read/write и параметры. Информация выводится в таблицу “AUTH_CREDENTIALS” на странице “Информация”.
|
|---|
Speed Test¶
Изменяет скорость между интерфейсами агентов. Информация отображается на карте сети при нажатии на соответствующую связь между устройствами.
|
|---|
|
|---|
Firewall checker (online)¶
Проверяет по каким портам мы можем связать агентов. Информация отображается на карте сети при нажатии на соответствующую связь между устройствами, так же на узле формируется замкнутая стрелка.
|
|---|
|
|---|
Веб¶
Domains¶
Перебор доменов по словарю. Инструмент предназначен для поиска субдоменов домена и содержит в себе несколько инструментов:
“crt.sh” - получение данных о домене с crt.sh.
“Поиск DNS” - поиск A/AAAA/MX/SRV/TXT/NS/PTR/SOA/CNAME - записей для домена.
|
|---|
TLS/SSL CERT¶
Позволяет перехватывать SSL-сертификаты. Сертификат “налету” разбирается и из него достаются данные об удостоверяющем центре, владельце сертификата и срок жизни сертификата.
|
|---|
WHOIS¶
Позволяет получить регистрационные данные о владельцах доменных имён, IP-адресов и автономных систем.
|
|---|
DNS A SCREENSHOT¶
Позволяет сделать скриншот ресурса, для этого необходимо ввести в поле для ввода веб-ресурс и запустить работу скриншотера.
|
|---|
Итоговый результат появится на странице “Информация” в таблице “DNS A SCREENSHOT”.
WAPPALYZER¶
Используется для анализа и идентификации технологий. Позволяет узнать: какие технологии используются на веб-ресурсах.
Осуществляет обработку логов, полученных с инструмента noamblitz/wappalyzer, который необходимо установить и запустить руками: https://hub.docker.com/r/noamblitz/wappalyzer.
docker pull noamblitz/Wappalyzer:latest
|
|---|
Уязвимость¶
ACUNETIX¶
Сканер уязвимостей веб-приложений. Облегчает работу при тестировании на проникновение и даёт более широкую картину в понимании работы сети.
Перед началом работы требуется поднять сканер “Acunetix” на своем АРМ, затем открыть веб-сраницу по адресу “http://0.0.0.0:3443/” и ввести свои учетные данные для “Acunetix”.
|
|---|
Теперь необходимо связать сканер и Сетезор. На веб-странице “Acunetix” → “Administrator” → “Profile” → листать вниз до раздела “API Key”, там находится ключ, который позволяет интегрировать “Acunetix” с другими системами. Нажать на кнопку “Generate new API key”. Ключ (токен) автоматически копируется в буфер обмена.
Перейти в Сетезор на страницу “Настройки” → “Уязвимости” → “Acunetix” → выбрать вкладку “Настройки” и ввести следующие данные:
Название для сканера
Адрес ресурса, на котором развернут “Acunetix”
API key - токен, скопированный ранее
После сохранения справа появится запись о зарегистрированном “Acunetix”.
|
|---|
Для дальнейшей работы необходимо создать “Скоуп” с целями, которые будут сканироваться на наличие уязвимостей.
Перейти обратно на страницу инструментов → “Уязвимости” → “Acunetix” → “Группы” → “Добавить группу” и ввести следующие данные:
Выбрать группу целей (из выпадающего списка выбрать название сканера)
Ввести название создаваемой группы
Описание создаваемой группы
|
|---|
В таблице нажать “Редактировать членство”. Выделить адреса, которые нужно добавить в группу и сохранить.
Перейти на вкладку “Цели”. Здесь 2 варианта добавления целей для сканирования:
Импорт целей. Создать файл с расширением “.csv” внутри которого будут цели для сканирования. Пример содержимого файла: https://link1.com/, http://link2.com/, http://10.1.2.3/, https://10.3.1.2/,
Добавить цели. Выбрать скан, группу и добавить цели из группы, которые нужно просканировать.
|
|---|
Вернуться на вкладку “Группы” и в таблице, в нужной группе, нажать “Скан”. Выбрать параметры скана и нажать “Добавить”.
|
|---|
Информация в созданном скане будет отображаться на вкладке “Сканы”.
После добавления параметров все данные перейдут в поднятый “Acunetix” - “http://0.0.0.0:3443/”.
По завершению сканирования нужно зайти в поднятый “Acunetix” → “Scans” → выбрать все цели → нажать “Generate Report” → выбрать “Comprehensive (new)”. Когда отчёт будет готов перейти на вкладку “Reports” → “PDF” и скачать его.
Так же результаты сканирования можно посмотреть в самом Сетезоре на вкладке “Отчеты” и скачать в удобном формате (см. подробнее в нашей статье).
|
|---|
CPEGuess¶
Поиск CPE-строки для определенного производителя, продукта и версии.
|
|---|
SearchVulns¶
Используется для поиска известных уязвимостей в программном обеспечении.
|
|---|
Токен генерируется на ресурсе: https://search-vulns.com/api/setup. Затем его необходимо вставить в поле “Токен” и нажать “Установить”.
Через поле “Введите запрос” можно запросить локальную информацию или указать название программного обеспечения, например:
“Apache 2.4.39”
строку CPE 2.3 “cpe:2.3:a:sudo_project:sudo:1.8.2:::::::”
После этого нажать на “Поиск”. Справа появится окно с информацией об уязвимостях, в которых присутствует строка поиска.
“Обновить CVE” обновляет информацию об уязвимостях на найденных ресурсах. Найденные уязвимости отображаются на “Графики” и “Уязвимости”.
|
|---|
