iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 3
2
Security

漏洞挖起來系列 第 3

[Day03]我的賽前準備工具包

  • 分享至 

  • xImage
  •  

「所以我要準備什麼啊?」
「不知道欸,不知道這次打什麼~」
「蛤?」
「你常用什麼就準備什麼就好了啊。」
「哦~」

默默準備好掃瞄器…
然後等著被嗆爆吧…
我是新手我就爛 Q"Q

雖然前輩總是說工欲善其事必先利其器,那要準備什麼咧?
不過,其實每次比賽的內容項目真的差很多,所以也不會有什麼通用的工具包啦,但也不能什麼都不準備吧 (X
所以,下面來分享一下我常準備的工具包 XD

預設

如果連目標要打什麼都不知道的話,最穩就是準備一套用很穩的 Kali 及 更新完最新 Payload 的 Metasploit。

網站

準備個掃 Web 的掃瞄軟體:
求穩求完整可以用【弱掃界的凱迪拉克WebInspect】或是【通用款 BurpSuite】,
求效率求快可以用【Acunetix】或是【Appscan】。

連網設備

先準備個【Namp】掃個 Port 或有沒有常用的腳本可以用,
或是【wnetwatcher】同網段的裝置,
再來【Nessus】先來掃個環境看有沒有值得利用的注入點或是已知弱點。
或者可以看【Wireshark】連上設備的時候會送出什麼內容,
如果還有時間的話,我會再連上【Shodan】去找找看有沒有其他大大們的思路。
https://www.shodan.io/
或在網路上撿撿看受測的裝置有什麼已知的 CVE 可以拿來用 XDDDD

逆向程式

逆向工具【IDA Pro】:還在努力蹲組合語言中

圖片來源:UCCU Hacker

開源逆向友善工具【Ghidra】:https://zhuanlan.zhihu.com/p/59637690

原始碼檢核

應用程式的話,有機會可以原碼掃瞄工具【Fortify】去快速做個CodeReview,
或是靜態 APP 掃瞄【MOBSF】:https://ithelp.ithome.com.tw/m/articles/10215522

其他

或是會準備個【Docker】看看臨時會用到什麼套件可以隨時準備起來。

當然打其他的產品項目或目標的時候,可能還會有其他的工具或選項,後續再逐一說明,
其他的就等大大再補充囉~ =v=+


上一篇
[Day02]傳說中的漏洞挖掘賽
下一篇
[Day04]欸你各位有簽NDA吧
系列文
漏洞挖起來31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言