В тестировании на проникновение, особенно при проверке криптостойкости паролей и социальной инженерии, часто требуется произвести перебор электронных почтовых ящиков пользователей и попытаться подобрать к ним пароли (или в дальнейшем использовать полученные ящики для социальной инженерии). Иногда удаётся успешно произвести перебор и брутфорс по протоколу SMTP, но как правило, SMTP сервер блокирует подобные действия (Как произвести перебор учетных записей через SMTP – описывается в статье Перебор почтовых адресов). Если в качестве почтового сервера используется Microsoft Exchange, то можно попробовать перебор и брутфорс через Web интерфейс почты. Если имя учетной записи такое же, как и имя почты, а как правило так и есть, то мы сможем провести перебор, если они различаются (что бывает крайне редко) то можно будет либо перечислить только имена пользователей, либо провести перебор паролей для известных имен пользователей.
Для перебора и брутфорса нам потребуется Metasploit Framework и 2 словаря.
Словарь с паролями (pass.txt):
123456
Qwerty
Password
MySecretPassword
Парольный словарь можно взять готовый или составить самостоятельно. Вообще составление словаря это довольно творческое дело.
Читать далее Перебор и брутфорс учетных записей Microsoft Exchange через Outlook Web Access →
Metasploit Framework это универсальный инструмент для проведения тестов на проникновение, включающий в себя огромное количество необходимых инструментов. С помощью него можно проводить разведку, эксплуатацию уязвимостей и многое другое.
В том же Kali Linux он уже установлен, но часто требуется установить его на отдельный удалённый сервер (например для интеграции с фишинговыми фреймворками, и другим ПО, например BeEF Framework).
Почему весь комплект ПО должен стоять на стороннем сервере, куда далеко не всегда есть возможность поставить готовую сборку какого-либо Linux для тестирования на проникновение? Каждый найдёт свои причины такой установки, поэтому в данной статье я опишу как установить Metasploit Framework на чистый Linux.
Установим curl:
apt-get install curl
Для начала скачаем официальный скрипт для установки:
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall
Делаем сделаем скрипт выполняемым:
chmod +x msfinstall
Запускаем установку ( по умолчанию установка производится в директорию /opt/metasploit-framework/):
Читать далее Установка в Debian фреймворка Metasploit Framework →
Потребовалось установить Metasploit на удаленной машине. Причем как обычно все не так просто, как хотелось.
Проблема была в том, что нельзя было использовать SSH туннели, а Metasploit не позволяет создавать первого пользователя ни откуда, кроме как с localhost.
Для начала скачаем и установим Metasploit
Скачать его можно с одноименного сайта:
http://www.rapid7.com/products/metasploit/download.jsp
скачиваем естественно хорошо известной утилитой wget
wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-installer.run
далее делаем этот файл исполняемым:
chmod +x metasploit-latest-linux-installer.run
Читать далее Установка Metasploit 4.6 →
Безопасные и надежные IT решения