Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Hacking Tools für Pentester vorgestellt!

Dr. Matteo Große-Kampmann

Als Pentester benötigt man ein breites Arsenal an Hacking Tools. Diese gehören genauso dazu, wie ein scharfer Verstand und Hartnäckigkeit. Als Pentester nutzen Sie Hacking Tools, um Schwachstellen in einem System aufzudecken und an das getestete Unternehmen zu melden.

Was sind Hacking Tools?

Mit Hacking Tools sehen Sie das, was ein Angreifer auch sieht und bekommen ein Gefühl für die Angriffsfläche des Unternehmens. So ist sichergestellt, dass der Pentester Ihr System so analysiert wie es auch ein Angreifer analysieren würde. Hacking Tools entwickeln sich natürlich dauerhaft weiter, genauso wie Angriffsstrategien und -methoden. Aus diesem Grund ist es bereits eine Herausforderung in der Cybersicherheits-Branche auf dem aktuellen Stand zu bleiben.

Hacking Tools – Das Betriebssystem

Mit dem Betriebssystem legt der Pentester die Grundlage für seine Hacking Tools. Es gibt hier einige Auswahlmöglichkeiten, die den Pentester vor die Qual der Wahl stellen, von einem individuell gestalteten Ubuntu bis hin zu Linux Arch Derivaten hat er viel Auswahl hinsichtlich der Funktionalität und Stabilität.

Kali Linux

Kali Linux ist eine der bekanntesten Hacking Distributionen. Kali Linux basiert auf BackTrack und wird von Offensive Security entwickelt. Es basiert auf Debian und kommt mit einer großen Anzahl an Hacking Tools die vorinstalliert sind. Ein Vorteil von Kali ist die ordentliche Dokumentation und eine große, sowie aktive Community.

Parrot Security OS

Parrot ist ein relativ neuer Player im Bereich der Hacking Betriebssysteme. ParrotOS zielt auf Pentester ab, die eine Entwickler und Uentester-freundliche Umgebung benötigen, mit den Möglichkeiten sich trotzdem anonym zu bewegen.

Ubuntu Linux

Ubuntu ist ein General Purpose Betriebssystem und eignet sich dadurch auch für ein Pentesting System. Mit einer Installation von Ubuntu stellen Sie sicher, dass nur die Hacking Tools installiert sind, die Sie benötigen. Sie müssen diese Hacking Tools allerdings auch selber installieren. Dies ist zeitraubend und die Konfiguration kann nervenaufreibend sein.

Black Arch

Black Arch ist ein spezielles Arch Linux Derivat, speziell für Sicherheitsfroscher und Pentester. Es ist wenig einsteigerfreundlich, da viele Tools mit der Installation nicht funktionieren und angepasst werden müssen. Wer sich nicht sicher auf der Kommandozeile fühlt, sollte von dieser Distribution eher die Finger lassen.

Hacking Tools – Must Haves

Legt der Pentester mit dem Betriebssystem den Grundstein für seine Arbeit, so gibt es einige Must Haves, die an Board und funktionstüchtig sein sollten. Von der Vergrößerung der Angriffsfläche, bis zu Post Exploitation, gibt es unterschiedliche Tools von denen jeweils eins Einsatzbereit sein sollte:

Google oder eine andere Suchmaschine

Google ist natürlich kein direktes Hacking Tool, aber durch seine mächtige Suchfunktion ein mächtiger Verbündeter, wenn es darum geht Informationen über ein potenzielles System zu sammeln, welches angegriffen werden soll. Von CVEs die Sie dort finden können, über Google Hacking Dorks haben Sie unterschiedlichste Möglichkeiten die mächtige Suchmaschine für Informationsrecherchen zu nutzen. Sie sollten mit den grundlegenden Suchoperatoren wie „site“, „intitle“, „filetype“ und weiteren vertraut sein.

Subdomain Enumeratoren

Für jeden potenziellen Eindringling ist das auffinden von Subdomains ein essentieller Schritt. Häufig liegen hinter vergessenen Subdomains alte Systeme die sich leicht angreifen lassen. Fierce oder Amass sind nur zwei Hacking Tools die Sie für diese Aufgabe nutzen können.

Hacking Tools – Nmap

Am Anfang eines jeden Penetrationstest steht zudem in der Regel die Verwendung des Programms Nmap. Es ist eines der ältesten Tools, jedoch erhält es ständig neue Updates und Verbesserungen. Nmap wird verwendet um ein Netzwerk zu kartographieren und zu analysieren welche Endpunkte sich im Netzwerk befinden und welche Dienste auf den Systemen laufen.

Hacking Tools – Metasploit

Metasploit ist ein Open Source Projekt, welches Penetrationstestern erlaubt, unterschiedliche Programme zu verwenden und so Schwachstellen zu finden und zu testen. Mit Metasploit können zudem Exploits entwickelt werden. Es kann mit Metasploit Schadcode geschrieben werden der Detektionssysteme umgehen kann, Schwachstellenscans durchführen kann und entfernte Angriffe starten kann. Es gibt Metasploit in drei verschiedenen Versionen als Professional, Community und Framework Version.

Hacking Tools – Nikto

Nikto ist ein Werkzeug, welches in Kali Linux und vielen anderen Hacking Distributionen mit der Installation enthalten ist. Mit diesem Tool können Webserver gescannt werden nach unterschiedlichen Schwachstellen. Es ist ein Kommandozeilen Tool, welches unter anderem Cross Site Scripting, Versionsüberprüfung und Brute-Force Angriffe durchführen kann.

Hacking Tools – Wireshark

Ein weiterer Klassiker im Bereich Tools für Pentester ist Wireshark. Wireshark macht Pakete in Netzwerken sichtbar und kann dabei helfen Sicherheitsprobleme aufzudecken. Es können einzelne Anfragen im Netzwerk in Echtzeit aufgegriffen und analysiert werden. Wireshark unterstützt neben den WLAN-Standards auch Bluetooth, USB und FDDI.

Hacking Tools – SQLMap

Das Tool sqlmap ist ein Tool welches Penetrationstestern dabei hilft, SQL Injections zu testen gegen beliebige Systeme. SQLMap kann dabei unterschiedliche Typen von Injections testen, beispielsweise zeitbasierte-, boolsche-, fehlerbasierte und gestackte SQL Injections. SQL Injections entstehen, wenn Entwickler eine mangelhafte Eingabemaskierung und -validierung implementieren. Ein Angreifer versucht eigene Datenbankbefehle in der Datenbank auszuführen.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Zusammenfassung

Mit Hilfe der in diesem Artikel vorgestellten Hacking Tools ist der Job des Pentesters deutlich einfacher. Viele von den vorgestellten Tools sind eventuell auch für Entwickler interessant, die in das Thema Security einsteigen wollen. Viele der vorgestellten Tools nutzen wir bei der AWARE7 GmbH ebenfalls in unseren Penetrationstests bei denen wir Ihre Infrastruktur, Applikation oder Netzwerk professionell auf Schwachstellen testen. Wir beraten Sie gerne bei allen Fragen rund um die digitale Sicherheit.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

Dr. Matteo Große-Kampmann

Mein Name ist Matteo Große-Kampmann. Gemeinsam mit Chris Wojzechowski habe ich die AWARE7 GmbH in Gelsenkirchen gegründet. Ich habe meine Promotion zum Thema "Towards Understanding Attack Surfaces of Analog and Digital Threats" abgeschlossen und bin ausgebildeter ISO 27001 Lead Auditor.