前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >PTF:一款多模块渗透测试框架

PTF:一款多模块渗透测试框架

作者头像
FB客服
发布2019-07-29 13:03:37
1.4K0
发布2019-07-29 13:03:37
举报
文章被收录于专栏:FreeBuf

The PenTesters Framework (PTF)

The PenTesters Framework (PTF)是一个针对Debian/Ubuntu/ArchLinux开发设计的Python脚本,在PTF的帮助下,研究人员可以根据自己的需要创建一个专用于渗透测试的小型发行版系统平台。作为渗透测试人员,我们通常会有自己习惯使用的工具集或者/pentest/目录,与此同时我们也希望这些工具能够随时保持最新版本。

PTF会尝试安装所有你需要的渗透测试工具(最新版本),PTF会对这些项目进行编译和构建,并使它们成为在任何设备上都可以安装、更新和分发的工具。PTF还会简化这些工具的安装和打包操作,并为您创建一个完整的渗透测试框架。因为PTF本质上是一个框架,所以我们可以根据自己的需要来进行组建添加以及配置。

使用指南

首先请确保config/ptf.config文件中包含了工具及其组件的安装地址根路径,默认情况下,工具的所有组件会安装在/pentest目录中。配置完成之后,请输入命令“./ptf”(或“python ptf”)运行PTF。

运行之后,你将会看到一个MetaSploitesque风格的Shell界面,我们可以使用“”来查看可用模块以及所有可接受的命令。当然了,我们还可以使用“help”或“?”来查看完整的命令帮助列表。

更新所有组件

如果你想要安装或更新所有工具,请直接运行下列命令:

代码语言:javascript
复制
./ptfuse modules/install_update_allyes

运行之后,将会把所有工具安装进PTF框架中,如果有工具已存在,它将会自动更新这些工具。

比如说:

代码语言:javascript
复制
./ptfuse modules/update_installed

这条命令只会更新你刚刚安装的工具。如果你只想安装漏洞利用工具,你可以运行:

代码语言:javascript
复制
./ptfuse modules/exploitation/install_update_all

这条命令只会安装漏洞利用模块,你还可以用这种方法安装任何类型的模块。

定制已安装的工具

你可以通过modules/custom_list/list.py文件来安装你所需要的工具,修改list.py文件后,你可以直接添加你需要安装或更新的工具。输入下列命令:

代码语言:javascript
复制
./ptfuse modules/custom_list/listyes

此时你可以根据需要来配置模块,并只对特定的工具进行安装和更新操作。

模块

首先,进入modules/目录,该目录下会有基于渗透测试执行标准(PTES)划分的子目录,这些子目录中都包含对应的功能模块。当你添加一个新的模块后,比如说testing.py,PTF会在你下次启动PTF时自动加载这个模块。

下面给出的是一个模块样本:

代码语言:javascript
复制
AUTHOR="DavidKennedy (ReL1K)"DESCRIPTION="Thismodule will install/update the Browser Exploitation Framework (BeEF)"INSTALL_TYPE="GIT"REPOSITORY_LOCATION="https://github.com/beefproject/beef"X64_LOCATION="https://github.com/something_thats_x64_instead_of_x86INSTALL_LOCATION="beef"DEBIAN="ruby1.9.3,sqlite3,ruby-sqlite3"ARCHLINUX= "arch-module,etc"BYPASS_UPDATE="NO"AFTER_COMMANDS="cd{INSTALL_LOCATION},ruby install-beef"LAUNCHER="beef"TOOL_DEPEND="modules/exploitation/metasploit"

模块开发

模块中所有的参数都很简单,我们可以使用GIT、SVN或FILE,然后直接填写依赖项和安装位置即可。PTF将获取Python文件的位置,并将其移动到PTF配置中指定的位置。默认情况下,PTF会将所有工具安装到/pentest/PTES_PHASE/TOOL_FOLDER目录中。

当然了,我们还可以通过设置{PTF_LOCATION}来指定PTF安装路径。

After_Commands

通过设置After_Commands,我们可以设置工具安装完成后需要执行的命令:

代码语言:javascript
复制
AFTER_COMMANDS="cpconfig/dict/rockyou.txt {INSTALL_LOCATION}"

自动化命令行

我们还可以通过运行下列命令来自动化更新所有工具组件

代码语言:javascript
复制
./ptf--update-all

无人值守运行

如果我们想要完成PTF的自动构建,我们就可以使用一个heredoc,这样我们就可以不用跟PTF进行交互键入了:

代码语言:javascript
复制
./ptf<<EOFuse modules/exploitation/metasploitrunuse modules/password-recovery/johntheripperrunEOF

项目地址

ThePenTesters Framework (PTF):【https://github.com/trustedsec/ptf】

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-07-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • The PenTesters Framework (PTF)
  • 使用指南
  • 更新所有组件
  • 定制已安装的工具
    • 模块
    • 模块开发
      • After_Commands
        • 自动化命令行
          • 无人值守运行
          • 项目地址
          相关产品与服务
          网站渗透测试
          网站渗透测试(Website Penetration Test,WPT)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行,我们提供黑盒、白盒、灰盒多种测试方案,更全面更深入的发现客户的潜在风险。
          领券
          问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档