PTF:一款多模块渗透测试框架
source link: https://www.tuicool.com/articles/mq6fYbn
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
The PenTesters Framework (PTF)
The PenTesters Framework (PTF)是一个针对Debian/Ubuntu/ArchLinux开发设计的Python脚本,在PTF的帮助下,研究人员可以根据自己的需要创建一个专用于渗透测试的小型发行版系统平台。作为渗透测试人员,我们通常会有自己习惯使用的工具集或者/pentest/目录,与此同时我们也希望这些工具能够随时保持最新版本。
PTF会尝试安装所有你需要的渗透测试工具(最新版本),PTF会对这些项目进行编译和构建,并使它们成为在任何设备上都可以安装、更新和分发的工具。PTF还会简化这些工具的安装和打包操作,并为您创建一个完整的渗透测试框架。因为PTF本质上是一个框架,所以我们可以根据自己的需要来进行组建添加以及配置。
使用指南
首先请确保config/ptf.config文件中包含了工具及其组件的安装地址根路径,默认情况下,工具的所有组件会安装在/pentest目录中。配置完成之后,请输入命令“./ptf”(或“python ptf”)运行PTF。
运行之后,你将会看到一个MetaSploitesque风格的Shell界面,我们可以使用“<modules>”来查看可用模块以及所有可接受的命令。当然了,我们还可以使用“help”或“?”来查看完整的命令帮助列表。
PTF使用视频
视频地址: https://vimeo.com/137133837
更新所有组件
如果你想要安装或更新所有工具,请直接运行下列命令:
./ptf use modules/install_update_all yes
运行之后,将会把所有工具安装进PTF框架中,如果有工具已存在,它将会自动更新这些工具。
比如说:
./ptf use modules/update_installed
这条命令只会更新你刚刚安装的工具。如果你只想安装漏洞利用工具,你可以运行:
./ptf use modules/exploitation/install_update_all
这条命令只会安装漏洞利用模块,你还可以用这种方法安装任何类型的模块。
定制已安装的工具
你可以通过modules/custom_list/list.py文件来安装你所需要的工具,修改list.py文件后,你可以直接添加你需要安装或更新的工具。输入下列命令:
./ptf use modules/custom_list/list yes
此时你可以根据需要来配置模块,并只对特定的工具进行安装和更新操作。
模块
首先,进入modules/目录,该目录下会有基于渗透测试执行标准(PTES)划分的子目录,这些子目录中都包含对应的功能模块。当你添加一个新的模块后,比如说testing.py,PTF会在你下次启动PTF时自动加载这个模块。
下面给出的是一个模块样本:
AUTHOR="DavidKennedy (ReL1K)" DESCRIPTION="Thismodule will install/update the Browser Exploitation Framework (BeEF)" INSTALL_TYPE="GIT"
REPOSITORY_LOCATION="https://github.com/beefproject/beef"
X64_LOCATION="https://github.com/something_thats_x64_instead_of_x86
INSTALL_LOCATION="beef"
DEBIAN="ruby1.9.3,sqlite3,ruby-sqlite3"
ARCHLINUX= "arch-module,etc"
BYPASS_UPDATE="NO"
AFTER_COMMANDS="cd{INSTALL_LOCATION},ruby install-beef"
LAUNCHER="beef"
TOOL_DEPEND="modules/exploitation/metasploit"
模块开发
模块中所有的参数都很简单,我们可以使用GIT、SVN或FILE,然后直接填写依赖项和安装位置即可。PTF将获取Python文件的位置,并将其移动到PTF配置中指定的位置。默认情况下,PTF会将所有工具安装到/pentest/PTES_PHASE/TOOL_FOLDER目录中。
当然了,我们还可以通过设置{PTF_LOCATION}来指定PTF安装路径。
After_Commands
通过设置After_Commands,我们可以设置工具安装完成后需要执行的命令:
AFTER_COMMANDS="cpconfig/dict/rockyou.txt {INSTALL_LOCATION}"
自动化命令行
我们还可以通过运行下列命令来自动化更新所有工具组件:
./ptf--update-all
无人值守运行
如果我们想要完成PTF的自动构建,我们就可以使用一个heredoc,这样我们就可以不用跟PTF进行交互键入了:
./ptf<<EOF use modules/exploitation/metasploit run use modules/password-recovery/johntheripper run EOF
项目地址
ThePenTesters Framework (PTF):【 GitHub传送门 】
* 参考来源: trustedsec ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
Recommend
-
52
背景 亚马逊AWS云服务平台是全球最受欢迎的云平台之一。由于其成本低、灵活性强、速度快等优势,吸引了大量的企业客户,越来越多的企业开始将其技术资产转移到了云端。随着模式的转变,Sysadmin和DevOps...
-
28
*本文原创作者:Neroqi,本文属于FreeBuf原创奖励计划,未经许可禁止转载 *严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 前言 后渗透模块,顾名思义是在成功渗透目标主机之...
-
57
工具介绍 Trigmap是一款针对Nmap的封装工具,它可以帮助研究人员简化Nmap扫描操作,并通过将扫描到的数据有组织地存储到目录结构中来帮助研究人员对数据进行归类和分析。除此之外,该工具还使用了优化的Nmap算法,并且可扩展性和...
-
43
今天给大家介绍的这款工具名叫Graffiti,各位研究人员可以利用这款工具来生成经过混淆处理的One Liner,并将其用于渗透测试研究中的各种测试场...
-
56
背景 PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进,正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。其中一些改进包括脚本块记录,反恶意软件脚本接口(AMSI...
-
43
关于 ehtools 框架 如今,Wi-Fi工具变得越来越易于使用,且新手也可以轻松驾驭。Ehtools Framework就是这样一款功能强大且简单易用的无线渗透测试框架。Ehtools可以在短短的几秒钟内完成,从新扩展的安装到WPA握手包的抓取任务...
-
50
工具概述 类似Intel SGX这样的可信执行环境能够保证目标计算机在受到网络攻击或入侵的时候,仍然能够保证敏感计算不受影响。而本文...
-
47
Stowaway是一款采用Go语言开发的多级代理工具,该工具专为渗透测试人员设计,广大用户可以使用该工具将外部流量通过多个节点代理至内网,并实现自定义管理功能。demo文件夹下为其Beta版本的demo,大家可以放心使用,如需获取更多demo相关...
-
21
HiveJack是一款专用于内部渗透测试过程中的Windows凭证导出工具,在该工具的帮助下,广大安全研究人员不仅可以轻松地从一台已成功入侵的设备中...
-
7
今天给大家推荐一款基于Python的网页自动化工具:DrissionPage。这款工具既能控制浏览器,也能收发数据包,甚至能把两者合而为一,简单来说:集合了WEB浏览器自动化的便利性和 requests 的高效率。 一、DrissionPage产生背景
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK