月度归档:2017年04月

Web模糊测试工具Powerfuzzer

Powerfuzzer是Kali Linux自带的一款Web模糊测试工具。该工具基于各种开源模糊测试工具构建,集成了大量安全信息。该工具高度智能化,它能根据用户输入的网址进行自动识别XSS、SQL注入、CRLF、HTTP500等漏洞。同时,用户可以指定用户和密码等身份验证信息,也可以指定Cookie[……]

Read more

Oracle服务扫描工具Oscanner

Oracle是甲骨文公司推出的关系型数据库,适用于中大规模数据存储,如大型企业、电信、银行等行业。Kali Linux集成了Oracle服务扫描专向工具Oscanner。该工具使用Java语言编写。它可以采用字典方式,枚举Oracle服务的Sid、密码、版本号、账户角色、账户权限、账户哈希值、安全审[……]

Read more

分享Kali Linux 2017年第16周镜像文件

Kali Linux官方于4月16日发布2017年的第16周镜像。这次维持了11个镜像文件的规模。默认的Gnome桌面的4个镜像,E17、KDE、LXDE、MATE、XFCE桌面的各一个,手机版的包括ARMEL和ARMHF。有最近要安装Kali Linux系统的,可以考虑下载。因为这样可以节省升级包[……]

Read more

Linux安全漏洞审计工具Lynis

Lynis是针对类Unix系统的审计工具,它支持Unix、Linux、FreeBSD、Mac OS多种操作系统。它能对系统实施大于400种测试,以发现39个方面的漏洞和配置错误。该工具会生成详细的日志和报告。根据日志报告,用户可以进行响应的系统加固,从而避免常见的攻击和信息泄漏。

为了方便渗透[……]

Read more

轻量级Web渗透测试工具jSQL

jSQL是Kali集成的一款轻量级的Web渗透测试工具。最初该工具主要实施SQL注入,后来增加更多的功能,扩展形成一个综合性的Web渗透测试工具。Kali提供的版本较老,并且无法自动更新。用户需要手动从代码托管网站https://github.com/ron190/jsql-injection下载最[……]

Read more

缓存区溢出漏洞工具Doona

Doona是缓存区溢出漏洞工具BED的分支。它在BED的基础上,增加了更多插件,如nttp、proxy、rtsp、tftp等。同时,它对各个插件扩充了攻击载荷,这里也称为模糊用例(fuzz case),可以更彻底的检测目标可能存在的缓存区溢出漏洞。

每种攻击载荷测试的时候,都要测试多次,每次都[……]

Read more

缓存区溢出检测工具BED

缓存区溢出(Buffer Overflow)是一类常见的漏洞,广泛存在于各种操作系统和软件中。利用缓存区溢出漏洞进行攻击,会导致程序运行失败、系统崩溃。渗透测试人员利用这类漏洞,可以获取系统权限,远程执行命令等。Kali Linux提供的BED工具(Bruteforce Exploit Detect[……]

Read more

SQL盲注工具BBQSQL

SQL注入是将SQL命令插入到表单、域名或者页面请求的内容中。在进行注入的时候,渗透测试人员可以根据网站反馈的信息,判断注入操作的结果,以决定后续操作。如果网站不反馈具体的错误信息,只给出的一个模糊的反馈,如输入数据有误或者空白页面。这种情况下的注入就被称为SQL盲注。

在SQL盲注中,渗透人[……]

Read more

嗅探X-Windows服务按键工具xspy

X-Windows完整名字是X Windows图形用户接口。它是一种计算机软件系统和网络协议。它为联网计算机提供了一个基础的图形用户界面(GUI)和丰富的输入设备功能。现在所有的操作系统都支持和使用X-Windows。例如,Gnome和KED就是基于X-Windows服务构建的。

Kali L[……]

Read more

分享Kali Linux 2017年第15周镜像文件

Kali Linux官方于4月9日发布2017年的第15周镜像。这次维持了11个镜像文件的规模。默认的Gnome桌面的4个镜像,E17、KDE、LXDE、MATE、XFCE桌面的各一个,手机版的包括ARMEL和ARMHF。有最近要安装Kali Linux系统的,可以考虑下载。因为这样可以节省升级包所[……]

Read more