Las mejores herramientas de recopilación de información en Kali Linux

Nmap

Network Mapper, comúnmente utilizado como NMAP, es una herramienta gratuita y de código abierto para el escaneo de redes y puertos. También es competente en muchas otras técnicas de recopilación de información activa. NMAP es, con mucho, la herramienta de recolección de información más utilizada utilizada por Penetration-Westers. Es una herramienta basada en CLI, pero también tiene una versión basada en GUI en el mercado llamado ZenMap. Alguna vez fue una herramienta de "solo unix", pero ahora admite muchos otros sistemas operativos como Windows, FreeBSD, OpenBSD, Sun Solaris y muchos otros. NMAP viene preinstalado en las distribuciones de pruebas de penetración como Kali Linux y Parrot OS. También se puede instalar en otros sistemas operativos. Para hacerlo, busque nmap aquí.

Figura 1.1 te muestra un escaneo normal y resultados. El escaneo reveló los puertos abiertos 902 y 8080. Figura 1.2 le muestra un escaneo de servicio simple, que dice qué servicio se ejecuta en el puerto. Figura 1.3 muestra un escaneo de script predeterminado. Estos scripts a veces revelan información interesante que se puede utilizar en las partes laterales de una prueba de pluma. Para obtener más opciones, escriba NMAP en la terminal, y le mostrará la versión, el uso y todas las demás opciones disponibles.

Figura 1.1: escaneo NMAP simple

Figura 1.2: Servicio NMAP/escaneo de versión

Figura 1.3: escaneo de script predeterminado

Tcpdump

TCPDUMP es un analizador de paquetes de red de datos gratuito que funciona en la interfaz CLI. Permite a los usuarios ver, leer o capturar el tráfico de red que se transmite a través de una red que está conectada a la computadora. Originalmente escrito en 1988 por cuatro trabajadores en Lawrence Berkely Laboratory Network Research Group, fue organizado en 1999 por Michael Richardson y Bill Fenner, quienes crearon WWW.tcpdump.organizar. Funciona en todos los sistemas operativos similares a Unix (Linux, Solaris, todos BSD, macOS, Sunsolaris, etc.). La versión de Windows de TCPDump se llama Windump y usa WinPCap, la alternativa de Windows para libpcap.

Para instalar TCPDump:

$ sudo apt-get install tcpdump

Uso:

# tcpdump [opciones] [expresión]

Para detalles de opciones:

$ tcpdump -h

Wireshark

Wireshark es un analizador de tráfico de red inmensamente interactivo. Uno puede volcar y analizar paquetes a medida que se reciben. Desarrollado originalmente por Gerald Combs en 1998 como Ethereal, pasó a llamarse Wireshark en 2006 debido a problemas de marca registrada. Wireshark también ofrece diferentes filtros para que el usuario pueda especificar qué tipo de tráfico se muestra o arrojar para un análisis posterior. Wireshark se puede descargar desde www.Wireshark.org/#descargar. Está disponible en la mayoría de los sistemas operativos comunes (Windows, Linux, MacOS), y viene preinstalado en la mayoría de las distribuciones de penetración como Kali Linux y Parrot OS.

Wireshark es una herramienta poderosa y necesita una buena comprensión de las redes básicas. Convierte el tráfico en un formato que los humanos pueden leer fácilmente. Puede ayudar a los usuarios a solucionar problemas de latencia, abandonar los paquetes o incluso los intentos de piratería contra su organización. Además, admite hasta dos mil protocolos de red. Uno no puede usarlos todos, ya que el tráfico común consiste en paquetes UDP, TCP, DNS e ICMP.

Un mapa

Mapeador de aplicación (también un mapa), como su nombre puede sugerir, es una herramienta para asignar aplicaciones en puertos abiertos en un dispositivo. Es una herramienta de próxima generación que puede descubrir aplicaciones y procesos incluso cuando no se ejecutan en sus puertos convencionales. Por ejemplo, si un servidor web se ejecuta en el puerto 1337 en lugar del puerto estándar 80, AMAP puede descubrir esto. AMAP viene con dos módulos prominentes. Primero, amapcrap puede enviar datos simulados a los puertos para generar algún tipo de respuesta del puerto de destino, que luego se puede utilizar para un análisis posterior. En segundo lugar, AMAP tiene el módulo central, que es el Mapeador (un mapa).

Uso de AMAP:

$ AMAP -H
AMAP V5.4 (c) 2011 por Van Hauser www.THC.org/thc-amap
Sintaxis: AMAP [modos [-a | -b | -p]] [opciones] [puerto de destino [puerto]…]
Modos:
-A (predeterminado) Enviar desencadenantes y analizar respuestas (aplicaciones de mapas)
-B SOLO BANDERS A LOS PARTIR; No envíes desencadenantes
-P Un escáner de puerto de conexión completo
Opciones:
-1 rápido! Enviar disparadores a un puerto hasta la primera identificación
-6 Use IPv6 en lugar de IPv4
-b Impres. Banner de respuestas ASCII
-I archivo archivo de salida legible por máquina para leer puertos desde
-U especifica los puertos UDP en la línea de comando (predeterminado: TCP)
-R no identifique el servicio RPC
-H No envíe disparadores de aplicación potencialmente dañinos
-No volcan respuestas no reconocidas
-D volcar todas las respuestas
-V MODO LEYECTIVO; Usar dos veces o más para más verbosidad
-P No informe los puertos cerrados y no los imprima como no identificados
-o Archivo [-m] Escriba la salida al archivo Archivo; -M crea salida legible por máquina
-C contras realiza conexiones paralelas (predeterminado 32, máx 256)
-C reintenta el número de reconects en los tiempos de conexión de conexión (predeterminado 3)
-T Tiempo de espera de SEC Connect en los intentos de conexión en segundos (predeterminado 5)
-T Sec Respuesta Espere un tiempo de espera en segundos (predeterminado 5)
-P Proto envíe disparadores a este protocolo solamente (e.gramo. Ftp)
Puerto de destino La dirección de destino y los puertos para escanear (adicional a -i)

Fig. 4.1 muestra de escaneo AMAP

P0F

P0F es la forma corta para "pagascender OS FIgerPrinting ”(se usa un cero en lugar de una o). Es un escáner pasivo que puede identificar sistemas de forma remota. P0F utiliza técnicas de huellas digitales para analizar paquetes TCP/IP y para determinar diferentes configuraciones, incluido el sistema operativo del host. Tiene la capacidad de realizar este proceso pasivamente sin generar ningún tráfico sospechoso. P0F también puede leer archivos PCAP.

Uso:

# P0F [Opciones] [Regla de filtro]

Fig. 5.1 muestra de salida P0F
El host debe conectarse a su red (espontáneamente o inducido) o estar conectado a alguna entidad en su red por algunos medios estándar (navegación web, etc.) El host puede aceptar o rechazar la conexión. Este método puede ver a través de firewalls de paquetes y no está sujeto a las restricciones de una huella digital activa. Las huellas dactilares pasivas del sistema operativo se usan principalmente para perfiles de atacantes, perfiles de visitantes, perfiles de clientes/usuarios, pruebas de penetración, etc.

Cesación

El reconocimiento o la recopilación de información es el primer paso en cualquier prueba de penetración. Es una parte esencial del proceso. Comenzar una prueba de penetración sin un reconocimiento decente es como ir a una guerra sin saber dónde y con quién estás luchando. Como siempre, hay un mundo de increíbles herramientas de reconocimiento aparte de las anteriores. Todo gracias a una increíble comunidad de código abierto y ciberseguridad!

Feliz reconocimiento! 🙂