Сканирование и атака веб-сайта – Katana Framework
Сканирование и атака веб-сайта – Katana Framework
Katana Framework – фреймворк, разработаный Колумбийской командой RedToor. Предназначен для облегчения рутинных действий, а также пентестинга веб-сайтов и других веб-ресурсов.
Данный фреймворк работает на Linux и написан на Python, его можно легко кастомизировать, так как он имеет открытый исходный код. Каждый кто его использует отвечает за свои действия сам и никто не несет отвественности за возможный приченнёный ущерб, кроме Вас самих.
Тестировалась работа фреймворка на следующих ОС, все они на ядре Linux:
| Дистрибутив | Статус | |||
|---|---|---|---|---|
| Kali Linux | Работает | |||
| Debian(8) | Работает | |||
| Parrot OS | Работает | |||
| Wifislax | Работает | |||
| OpenSuse | Работает | |||
| Arch Linux | Работает | |||
| Raspbian | Работает | |||
| Ubuntu | Работает | |||
| Xbuntu | Работает |
Таким образом мы можем увидеть, что Katana Framework без проблем работает на самых популярных дистрибутивах Linux.
Установка Katana Framework – пентестинг сети
Скачать фреймворк можно по ссылке.
Для работы с фреймворком требуется установить зависимости.
Список зависимостей:
- nmap
- aircrack-ng
- arpspoof
- mysql
- ssh
- dhcpd
- hostapd
- ettercap
- xterm
- default-jre
Так или иначе, мы уже обсуждали практически все эти программы, которые использует Katana Framework в своей работе.
Переходим в папку с нашим фреймворком и пишем команду для установки всех зависимостей, если они у вас не установлены:
sudo sh dependencies
Установка происходит только с правами суперпользователя.
sudo python install
Установка скрипта завершена.
Возможности Katana Framework – пентестинг веб-сайтов
Для запуска Katana Framework необходимо написать следующую команду в терминале, также рекомендуется перед запуском обновлять фреймворк, так как версия является нестабильной и обновления выходят довольно часто.
python ktf.update ktf.console
Для того, чтобы посмотреть модули, которые мы можем использовать, пишем следующую команду:
show modules
Список и описание модулей:
CodeName Description
web/cp.finder Administrator Panel Finder.
web/sub.dns Subdomain Bruteforce.
web/bypass.sql bypass SQLi with Cheats Injections.
web/bt.form Brute force to Form-based.
web/bt.http Brute force to Http Authentication.
web/whois Whois, DNS Lookup.
web/clt.lfd LFD Vulnerability Console.
net/sf.arp ARP tables Monitor.
net/sc.hosts Hosts live Scan in LAN.
net/sc.scan Scan [Ports, OS, Etc] IP.
net/work.sniff HTTP sniffer.
net/arp.pson ARP poisoning Attack.
net/arp.dos ARP D.O.S Attack.
net/dns.spoof DNS Spoofing.
net/dns.fake DNS fake Server Spoof.
net/web.dos Web D.O.S Attack in LAN.
msf/back.door Generate backdoors with MSF.
set/web.hot Gathering Information with web.
set/em.boom E-mail Boombing (SPAM).
clt/cl.sql Mysql Console Client.
clt/cl.ftp FTP Console Client.
clt/cl.pop POP Console Client.
clt/cl.adb ADB Console Client (Android).
btf/pr.ftp Brute Force to FTprotocol.
btf/pr.sql Brute Force to SQL protocol.
btf/pr.ssh Brute Force to SSH protocol.
btf/pr.pop Brute Force to POP3 protocol.
anf/af.imagen Forensic image analysis.
fle/bt.rar Brute Force to RAR file.
fle/scan.file Report of Virus Scan file.
fle/bt.zip Brute Force to ZIP file.
mcs/gn.words Generator Dictionaries.
mcs/i.settup Show Properties of System Current.
mcs/ts.login Test Credentials protocols.
mcs/px.checker Proxy list checker.
wifi/ap.dos Access Point D.O.S attack.
wifi/ev.twin Access Point Phising.
Использование какого-либо модуля:
use name_of_module
Для просмотра опций модуля:
show options
Установка цели для сканирования:
set target domain or ip-address
Для запуска пишем run.
Katana Framework – пример пентестинга
Для примера работы мы будем использовать модуль поиска админки на популярном сайте фильмов kinogo. cc.
Также данный модуль проверяет наличие открытых портов, через которые могут проводится последующие атаки.
inf – закрыто, ошибка доступа, неверный адрес.
suf – успешно.
Сканирование показало открытые порты, а также нашло адрес админ-панели сайта kinogo. cc/ admin.php – без пробелов.
Спасибо за то, что читаете. Подписывайтесь на обновления блога, а также делитесь записью в соц. сетях, если хотите нас поддержать.
2 месяца искал статью похожую на эту,
написал хорошо, спасибо за информацию!
Спасибо за комментарий, стараемся!
ошибка при запуски команды поиска админ панели когда всё настроил запускаю и ошибка
[run] The module was launched…
[inf] Wed May 19 19:25:01 2021
[inf] Loading file [files/db/commons-dir-admin.tbl]
[stp] [1] Step : Starting Brute Force…
[Exception]([SSL: WRONG_VERSION_NUMBER] wrong version number (_ssl.c:727))