Главная » Linux

Commix kali linux что это

Содержание
  1. Commix kali linux что это
  2. Latest commit
  3. Git stats
  4. Files
  5. README.md
  6. Инструменты Kali Linux
  7. Список инструментов для тестирования на проникновение и их описание
  8. Commix
  9. Описание Commix
  10. Справка по Commix
  11. Руководство по Commix
  12. Примеры запуска Commix
  13. Установка Commix
  14. Установка в BlackArch
  15. Эксплуататор инъекции команд: Commix
  16. Скачать Commix
  17. Требования
  18. Поддерживаемые платформы
  19. Установка Commix
  20. Использование
  21. Примеры использования
  22. Поддерживаемые платформы
  23. Разработка модулей
  24. Обзор Kali Linux 2021.2
  25. Установка
  26. ▍ Обычное железо и Live boot
  27. ▍ Виртуальные машины
  28. ▍ Мобильные средства
  29. ▍ Контейнеры
  30. ▍ Облако
  31. Особенности и характеристики Kali 2021.2
  32. ▍Kaboxer
  33. ▍ Kali-Tweaks v1.0
  34. ▍ Bleeding-Edge
  35. ▍ Привилегированные порты
  36. ▍ Kali NetHunter
  37. ▍ Новые приложения
  38. ▍ Графика и рабочий экран
  39. ▍ Raspberry Pi
  40. ▍ Разное

Commix kali linux что это

Automated All-in-One OS Command Injection Exploitation Tool.

Latest commit

Git stats

Files

Failed to load latest commit information.

README.md

Commix (short for [comm]and [i]njection e[x]ploiter) is an open source penetration testing tool, written by Anastasios Stasinopoulos (@ancst), that automates the detection and exploitation of command injection vulnerabilities.

You can download commix on any platform by cloning the official Git repository :

Alternatively, you can download the latest tarball or zipball.

Note: Python (version 2.6, 2.7 or 3.x) is required for running commix.

To get a list of all options and switches use:

To get an overview of commix available options, switches and/or basic ideas on how to use commix, check usage, usage examples and filters bypasses wiki pages.

Источник

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

Commix

Описание Commix

Commix (это сокращение от [comm]and [i]njection e[x]ploiter) имеет простую среду и может использоваться веб-разработчиками, тестерами на проникновение и даже исследователями безопасности для тестирования веб-приложений в поисках багов, ошибок или уязвимостей, связанных с атаками инъекцией команд. С использованием этого инструмента очень легко находить и эксплуатировать уязвимости инъекции команд в конкретном уязвимом параметре или строке. Commix написан на языке программирования Python.

Автор: Anastasios Stasinopoulos

Справка по Commix

Руководство по Commix

Страница man отсутствует.

Примеры запуска Commix

Тестирование передаваемого пользователем параметра pingme страницы по адресу http://localhost/pingme/ (-u http://localhost/pingme/?pingme=hackware.ru):

Тестирование передаваемого методом POST параметра name (—data=’name=-s’) страницы http://localhost/dvws/vulnerabilities/cmdi/client.php (-u http://localhost/dvws/vulnerabilities/cmdi/client.php):

Примеры использования на различных уязвимых средах вы можете посмотреть по ссылке: https://github.com/stasinopoulos/commix/wiki/Usage-Examples

Установка Commix

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

Информация об установке в другие операционные системы будет добавлена позже.

Источник

Эксплуататор инъекции команд: Commix

Скачать Commix

Commix (сокращенное от [comm] и [i]njection e[x]ploiter) является простой средой, которую веб разработчики, пентестеры или даже исследователи безопасности могут использовать для тестирования веб-приложений для поиска неполадок, ошибок или уязвимостей – относящихся к атакам инъекции команд. Найдите и используйте уязвимости инъекции команд с легкостью.

Commix написан на языке программирования Python.

Инъекция команд является атакой, во время которой целью является выполнение произвольных команд на хосте операционной системы через уязвимое приложение. Атаки инъекции команд возможны, когда приложение передает небезопасные пользовательские данные (формы, куки, заголовки HTTP и т. Д.) в системную оболочку. В этой атаке команды операционной системы, предоставляемые атакующим, обычно выполняются с привилегиями уязвимого приложения. Атаки инъекции команд возможны во многом из-за недостаточно тщательной проверки входных данных. Злобный хакер может использовать эту уязвимость для получения несанкционированного доступа к данным или сетевым ресурсам или даже получить доступ администратора к компьютеру.

Читайте также:  Windows 10 перестали работать активаторы

Эта атака отличается от Code Injection (Инъекции кода) тем, что инъекция кода позволяет атакующему добавлять его собственный код, который после выполняется приложением. В Code Injection (Инъекции кода) атакующий расширяет функциональность приложения по умолчанию без необходимости выполнения системных команд.

Успешная атака инъекции команд может привести к выполнению произвольных команд на пострадавшей системе через уязвимое приложение. Это может возникать, если приложение не обеспечивает достаточную проверку ввода и передает команды от пользователя через формы, куки-файлы или HTTP-заголовки.

Функции, доступные в Commix, включают в себя набор параметров для указания, какие параметры должны быть введены, и для добавления пейлоадов инъекции.

Пользователи могут определить данные в POST запросе, которые должны быть добавлены, также как и использовать суффикс и строки приставки (префикса) пейлоада инъекции для эксплуатации цели. Более того,
существует поддержка кодирования base64 и методов множественных инъекций (классических, основанных на eval, основанных на времени или базирующихся на файлах).

Требования

Python версия 2.6.x или 2.7.x требуется для запуска этой программы.

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Установка Commix

Скачай commix, склонировав Git репозиторий:

git clone https://github.com/commixproject/commix commix

Commix уже встроен в некоторые официальные репозитории следующих дистрибутивов Linux:

Commix также является уже установленным, на следующих фреймворках пентеста:

Использование

Для получения списка всех опций и коммутаторов используйте:

python commix.py -h

Взгляните на все доступные опции и коммутаторы здесь.

Примеры использования

Хотите ли вы получить какое-либо представление о том, как использовать commix?

Поддерживаемые платформы

  • Linux
  • Mac OS X
  • Windows (экспериментально)

Разработка модулей

Хотите ли вы увеличить возможности commix и адаптировать его под ваши нужды? Вы можете с легкостью разработать и импортировать наши собственные модули. Для получения большей информации, посетите страницу Википедии ‘ module development ‘.

Источник

Обзор Kali Linux 2021.2

В начале июня состоялся релиз дистрибутива для цифровой криминалистики и тестирования систем безопасности Kali Linux 2021.2. Эта операционная система является клоном Debian, используя репозиторий Testing с наиболее свежими пакетами. Новые iso образы становятся доступными для загрузки каждые три месяца, предыдущим релизом был 2021.1, а следующим будет 2021.3. Собственные наработки, созданные в рамках проекта, выложены на Гитлабе.

Kali Linux вобрал в себя солидный опыт разработки операционных систем для проверки возможностей несанкционированного доступа к ресурсам ИТ. Начало было положено в августе 2004-го с выходом WhiteHat Knoppix. Затем было несколько выпусков WHAX и BackTrack, под капотом SlackWare Live CD. С марта 2013 г․ под руководством Мати Ахарони и Девона Кернса из Offensive Security выходит Kali Linux v1.0, уже на базе Debian.

Установка

Kali Linux предоставляет множество вариантов для установки, начиная простой рабочей станцией и заканчивая мобильными и встроенными устройствами. Рабочим столом по-умолчанию является Xfce, однако можно выбрать и другие DE:

▍ Обычное железо и Live boot

Имеются iso образы и торренты для платформ:

  • AMD64 ;
  • Intel 386 ;
  • ARM64 iso образ для чипов Apple M1 .

Все образы доступны в трех вариантах:

  • weekly, самые свежие и в то же время нестабильные пакеты;
  • installer, стандартный оффлайновый набор ПО;
  • netinstaller, все пакеты скачиваются во время установки. Не доступен для установки с Live USB;

▍ Виртуальные машины

Можно скачать 64-битные образы и торренты для VMWare и Virtualbox . Для беглого ознакомления с возможностями Kali Linux это пожалуй самый оптимальный вариант. Образ для VMWare имеет размер в 2.6 GiB, для Virtualbox — чуть побольше, 3.8 GiB. Кроме того доступны образы VM для Vagrant.

Читайте также:  Ricoh sp 200nw драйвер для windows 10 как установить

На данный момент имеются образы для следующих устройств на чипах ARM:

  • 1 (Original);
  • 2, 3, 4 и 400 (32-бит);
  • 2 (v1.2), 3, 4 и 400 (64-бит);
  • Zero;
  • Zero W.

Pine64

▍ Мобильные средства

Проект Kali NetHunter — это первая платформа тестирование на проникновение с открытым исходным кодом для устройств под управлением ОС Android. В наборе имеется множество уникальных функций, недоступных на других аппаратных платформах. Специфика NetHunter состоит в том, что с его помощью можно осуществлять проверки безопасности и попытки проникновения на мобильных устройствах. Примеры использования могут включать в себя следующие сценарии:

  • Точка доступа Mana Evil в один клик.
  • BadUSB атака типа MITM через эмуляцию работы USB устройства. Подключив NetHunter к компьютеру жертвы, тот перенаправляет сетевой трафик через себя.
  • Взлом Bluetooth;

Рис. 1 Kali NetHunter.

Кали NetHunter может быть установлен на эти мобильные устройства:

Gemini PDA (Nougat 5.x)

Nexus, все модели начиная с 5-й модели и заканчивая 10-й (Lollipop)

  • OnePlus One (11);
  • OnePlus 2 (Nougat 5.x);
  • OnePlus 2 (Pie 9.0);
  • OnePlus (AnyKernel Pie 9.0);
  • OnePlus (AnyKernel 10);
  • OnePlus (OxygenOS 10);
  • OnePlus 7;
  • OnePlus 7 Pro (OxygenOS 10);
  • OnePlus Nord (11).

Samsung

  • Galaxy Tab S4 (LTE)(Oreo 8.0);
  • Galaxy Tab S4 (WiFi)(Oreo 8.0).

Sony XPeria Z1

  • Davinci Miui (10);
  • Xiaomi Mi A3 (LineageOS 18.1).

ZTE

▍ Контейнеры

Есть сборки для Docker и LXC/LXD, установка производится штатными средствами контейнерного ПО.

Kali-docker образы доступны для платформ arm64 , armhf и amd64 .

▍ Облако

Образы Kali Cloud можно по-быстрому развернуть в инфраструктуре различных облачных провайдеров:

Особенности и характеристики Kali 2021.2

Главная особенность Kali Linux — наличие полноценной подборки специальных приложений для проверки взлома и проникновения. Их общее количество превышает 600 и они разнесены по следующим категориям:

  • Сбор информации: nmap и его разновидности, goofile, p0f и пр․;
  • Анализ уязвимости: cisco-torch, BED, DotDotPwn и пр․;
  • Атаки на беспроводное соединение: Aircrack-ng, Kismet, Pyrit и пр․;
  • Веб-приложения: Blind Elephant, hURL, Nikto, Paros, и пр․;
  • Инструментарий эксплуатации: commix, routersploit, Social-Engineer Toolkit и пр․;
  • Стресс-тесты: DHCPig, t50, Reaver и пр․;
  • Аналитический инструментарий: ddrescue, pdf-parser, iPhone-Backup-Analyzer и пр․;
  • Охота на пароль: Hashcat, THC-Hydra, John the Ripper, wordlists и пр․;
  • Прослушивание и подделка: _hexinject, mitmproxy, Wireshark и пр․;
  • Обратная разработка: apktool, javasnoop, Valgrind и пр․;
  • Поддержание доступа: dns2tcp, HTTPTunnel, pwnat и пр․;
  • Аппаратный взлом: Arduino, dex2jar, smali и пр․;
  • Средства для отчетности: cherrytree, dos2unix, Metagoofil и пр.

Одно из новых впечатлений, еще на этапе установки ОС, это замена супер-пользователя root с паролем tor на kali / kali. Объективности ради надо заметить, что изменение произошло в предыдущем релизе Kali. Это не так просто, как кажется, так как многие серверные приложения крепко привязаны к привилегиям root-а. Некоторые операционные системы давно уже отказались от root, в частности Ubuntu Linux обесточила супер пользователя с незапамятных времен.

▍Kaboxer

Представлен Kaboxer 1.0, (от Kali Application Boxeri), с помощью которого громоздкие приложения можно упаковать в контейнер и далее интегрировать с ОС и штатным менеджером пакетов. Вся прелесть в том, что для пользователя всё прозрачно, программа скомпонованная таким образом устанавливается точно так же из aptitude install package-name . На данный момент с помощью Kaboxer распространяются лишь эти приложения:

  • Covenant — клиент-серверная сетевая служба;
  • Firefox Developer Edition — тяжелое графическое приложение для веб-разработчиков;
  • Zenmap — приложение использует Python 2.
Читайте также:  Для чего нужен windows linux

▍ Kali-Tweaks v1.0

Анонсирована утилита Kali-Tweaks в помощь пользователям дистрибутива для легкой и корректной настройки операционной системы под свои нужды. Это вполне согласуется с философией Kali Linux — полностью отдавать себе отчет в своих действиях. С помощью Kali-Tweaks можно задать конфигурацию для компонент:

Рис 2. Kali-Tweaks.

  • мета-пакеты;
  • сетевые репозитории, это позволяет добавить, или удалить установку новейших и экспериментальных пакетов из древа;
  • командная строка и консоль, например выбрать между Bash и Zsh;
  • виртуализация.

▍ Bleeding-Edge

Ветка репозитория Bleeding Edge существует с марта 2013 г. В дословном переводе это означает кровоточащий край, смысл термина в обозначении самого острого края (острие науки передовой край), отдаленной границы, там где опасно. Соответственно, пакеты из этой ветки никак нельзя назвать стабильными. В текущем выпуске Kali Linux полностью переработан бэкенд репозитория.

Рис. 3 В kali-tweaks можно подключить репозиторий bleeding-edge.

▍ Привилегированные порты

В Unix/Linux системах по умолчанию только root имеет доступ на открытие TCP/IP портов в интервале 1-1024, их еще называют привилегированными. Можно по-разному обходить это ограничение, например перенаправлять привилегированный порт на обычный.

Но этот способ плохо масштабируем и может привести к путанице. Благо, теперь не надо перебрасывать порты, так как обычный пользователь может запускать приложения, которые открывают сокет на привилегированных TCP/IP портах. Это стало возможным благодаря специальному патчу на ядро Linux, без него функционал не будет доступен.

▍ Kali NetHunter

В новой версии были такие обновления:

  • поддержка Android 11;
  • улучшение в работе Magisk root;
  • повышена совместимость благодаря динамическим партициям;
  • улучшения в модуле Bluetooth;
  • включены патчи rtl88xxau для более старых версий ядра.

▍ Новые приложения

Вот список новинок текущего релиза:

  • CloudBrute — Разузнать об инфраструктуре компании, найти файлы и приложения в облачной среде.
  • Dirsearch — Обнаружить файлы и директории на веб-серверах.
  • Feroxbuster — Простое, быстрое, рекурсивное обнаружение содержимого интернет ресурса.
  • Ghidra — Платформа обратной разработки.
  • Pacu — Платформа для эксплойтов AWS.
  • Peirates — Проникновение в среду Kubernetes.
  • Quark-Engine — Рейтинговая система оценки вредоносных программ для Android.
  • VSCode a.k.a. Visual Studio Code Open Source, редактор кода с открытыми исходниками.

▍ Графика и рабочий экран

В терминале появилось возможность быстрого переключения по горячей клавише Ctrl+p между однострочным и двустрочным приглашением PS1.

Рис 4. Переключение режимов PS1 терминала Xfce.

Переработана панель быстрого запуска Xfce, из нее убрали экранный рекордер kazam, добавив текстовый редактор и веб-браузер. Появились новые обои рабочего стола и экрана входа в DE. Для приложений терминала Xfce и файлового менеджера Thunar появилась опция запуска с правами root.

Рис 5. Root терминал Xfce.

▍ Raspberry Pi

  • kalipi-config — своего рода raspi-config на стероидах для облегчения начальной настройки Kali Linux на Raspberry Pi.
  • kalipi-tft-config — для облегчения начальной настройки TFT дисплеев на Rapberry Pi.
  • Заявлено повышение производительности на 1500%.
  • Ядро Linux обновилось до версии 5.4.83.
  • На Raspberry Pi 4 и Raspberry Pi 400 полноценно заработал Bluetooth.
  • Время первой загрузки сократилось с 20 до 15 с.

▍ Разное

Помимо этого были и другие изменения и исправления в разных местах. Устранены дефекты в приложении терминала и pkexec. Помимо этого:

  • Wireshark теперь могут запускать и непривилегированные пользователи;
  • новый Win-Kex v2.10 теперь поддерживает многоэкранный режим;
  • пакет Parallels Tools вышел из Technical Preview для устройств на чипах Apple M1.

Источник

Оцените статью
© 2024 Советы по настройке компьютера