Đây là kho lưu trữ mã cho Python Penetration Testing Cookbook, được xuất bản bởi Packt. Nó chứa tất cả các tệp dự án hỗ trợ cần thiết để hoàn thành cuốn sách từ đầu đến cuối
Về cuốn sách
Kiểm tra thâm nhập là việc sử dụng các công cụ và mã để tấn công một hệ thống nhằm đánh giá các lỗ hổng của nó đối với các mối đe dọa bên ngoài. Python cho phép người kiểm tra bút tạo công cụ của riêng họ. Vì Python là một ngôn ngữ pen-test được đánh giá cao, nên có rất nhiều thư viện gốc và các liên kết Python có sẵn dành riêng cho các tác vụ pen-test
Hướng dẫn và Điều hướng
Tất cả mã được sắp xếp vào các thư mục. Mỗi thư mục bắt đầu bằng một số theo sau là tên ứng dụng. Ví dụ, Chương02
Mã sẽ giống như sau
import urllib.request
import urllib.parse
import re
from os.path import basename
Về cơ bản, một máy tính có cài đặt Python trên đó. Mô phỏng các máy dễ bị tổn thương và thử nghiệm có thể được thực hiện bằng máy ảo
Là một người kiểm tra thâm nhập sử dụng Python trong hầu hết mọi hoạt động tương tác, đây là 5 thư viện python hàng đầu mà tôi khuyên những người kiểm tra thâm nhập nên sử dụng. Một số trong số này có thể là công cụ và một số trong số chúng có thể là thư viện, nhưng ý tưởng là chúng có lợi khi bạn đang thực hiện pentest. Nếu bạn là người mới, chúng ta sẽ tìm hiểu ngắn gọn về Python là gì, sau đó dần dần đi vào chi tiết hơn từ đây, bao gồm cả lý do tại sao những người kiểm tra sử dụng Python nhiều và cuối cùng xem qua danh sách 5 người hàng đầu đó
Vậy Python là gì?
Python là một mục đích chung, ngôn ngữ lập trình thông dịch viên. Nó hướng đối tượng nhưng cũng hỗ trợ lập trình chức năng hạn chế. Nó nhấn mạnh vào khả năng đọc mã và các khối mã thụt đầu dòng phân định. Nó nhanh để tạo các dự án, nhưng với tư cách là một kẻ lừa đảo, nó không quá nhanh khi thực thi mã
Tại sao Pentesters sử dụng Python?
Nó tương đối dễ so với các ngôn ngữ khác và nó được hỗ trợ bởi tất cả các nền tảng chính. Linux, OS X và Windows. Chưa kể nó có một bộ thư viện gốc sâu đáng kinh ngạc, do đó làm giảm số lượng dòng mã cần thiết. Và phần tốt nhất? . Điều này mở rộng chức năng gốc của ngôn ngữ để hoàn thành hầu hết mọi nhiệm vụ
5 thư viện Python hàng đầu của tôi dành cho người kiểm tra [với phần thưởng #6]
- gói tin
- Bản đồ Python [libnmap]
- Scapy/dpkt+pcapy
- Yêu cầu / BeautifulSoup
- mona
- Thưởng. Ổ cắm
Gói lõi
Nó làm gì?
Tại sao nó hữu ích? . Nó cũng tuyệt vời cho việc phát triển trinh sát và khai thác Windows [thậm chí nó còn hỗ trợ xác thực dựa trên hàm băm]. Dự án nào sử dụng thư viện này?
Bản đồ Python
Nó làm gì?
Tại sao nó hữu ích? . Python-Nmap cung cấp một phương pháp dễ dàng để phân tích kết quả quét và thực hiện các cuộc tấn công tùy chỉnh đối với các máy chủ cụ thể. Và tôi đã đề cập đến việc nhập kết quả Nmap vào các công cụ khác cho mục đích báo cáo chưa?
Dự án nào sử dụng thư viện này?
Scapy/dpkt+pcapy
Nó làm gì? . Nó giả mạo/giải mã các gói của nhiều giao thức, gửi chúng trên mạng, thu thập chúng, khớp các yêu cầu và trả lời, v.v.
Tại sao nó hữu ích? . Nó cũng tuyệt vời để làm mờ các cuộc tấn công chống lại các máy khách dày đặc tùy chỉnh và cực kỳ hữu ích như một công cụ giáo dục khi tìm hiểu về các giao thức mạng cấp thấp
Dự án nào sử dụng thư viện này?
Yêu cầu / BeautifulSoup
Nó làm gì? . 1 yêu cầu mà không cần lao động thủ công hoặc mã hóa. Ngoài ra, BeautifulSoup là thư viện Python để lấy dữ liệu ra khỏi tệp HTML và XML
Tại sao nó hữu ích? . Nó cũng kết hợp với BeautifulSoup để nhanh chóng cô lập các chi tiết quan trọng trong phản hồi
Dự án nào sử dụng thư viện này?
mona
Nó làm gì? . py là một plugin cho Trình gỡ lỗi miễn dịch được phát triển bởi Nhóm Corelan — nó nhằm mục đích hỗ trợ phát triển khai thác
Tại sao nó hữu ích?
Dự án nào sử dụng thư viện này?
[khiêm tốn] ổ cắm
Nó làm gì?
Tại sao nó hữu ích? . Đó là người khổng lồ tục ngữ mà tất cả các công cụ khác đều đứng trên vai nhưng I/O đơn giản [giống như tệp] giúp tạo các ứng dụng máy khách/máy chủ cực kỳ dễ dàng
Dự án nào sử dụng thư viện này? . Cúi đầu trước sức mạnh đơn giản của nó. =]
Tôi đã thảo luận về tất cả các công cụ này và nó được sử dụng sâu hơn trong hội thảo trực tuyến của tôi — Tôi mời bạn xem phiên bản miễn phí theo yêu cầu tại đây. Nếu bạn muốn biết thêm về thử nghiệm thâm nhập của NopSec và/hoặc các dịch vụ an ninh mạng khác của chúng tôi, vui lòng truy cập trang này để biết thêm thông tin