文章图片
文章图片
渗透工具pentestBox入门介绍使用
文章图片
0x01介绍
PentestBox
渗透测试盒子顾名思义,这是一个渗透工具包,但是不同于绝大多数国内xx工具包的是,
这里集成的大都是Linux下的工具,Kali Linux上面的常用的很多工具这里面也都集成了。
PentestBox官网:https://pentestbox.org/zh/官方的介绍如下:
PentestBox是一款
Windows平台下预配置的便携式开源渗透测试环境为什么又有一个渗透测试环境?
PentestBox不同于运行在虚拟机或者双启动环境的Linux渗透测试发行版。
它打包了
所有的安全工具,并且可以在Windows系统中原生地运行,
有效地降低了对虚拟机或者双启动环境的需求。
我们发现超过50%的渗透测试发行版是运行在Windows系统下的虚拟机程序中,这激发我们创造了它。
文章图片
使用PentestBox优势 1. 方便携带,这点官网已经说明了
2. 满足喜欢Linux指令的用户,同时方便了小白学习Linux指令操作。
(个人最喜欢这点优势)pentestbox可以同时使用windows命令和Linux命令,虽然pentestbox是基于windows的cmd的工具,但是pentestbox是同时满足与Linux 和windows用户爱好者的。
举例说明:在这款工具的运行环境下,我们既可以执行ls命令,又可以执行dir命令。
大家都知道ls是Linux的命令dir是Windows的命令。pentestbox还支持其他的命令。(clear与cls.......)
文章图片
3.不需要环境变量的配置。
这无意对新手和老手来说都是一件好事,环境的配置对新手来说无意来说是一件的头大的事情,对于老手来说是一件浪费时间的事情。
pentestbox里面集成java、python2、python3、ruby、apache........基本上能够满足我们的需要。这点我觉得非常(??????)??棒棒。
文章图片
0x02下载
官网上自带的下载速度还是蛮快的,这里我下载的是 附带 metasploit版本的PentestBox
PentestBox: https://sourceforge.net/projects/pentestbox/files/PentestBox-v2.2.exe/download种子:https://pentestbox.org/PentestBox-v2.2.torrent安装有 Metasploit 的 PentestBox:https://sourceforge.net/projects/pentestbox/files/PentestBox-with-Metasploit-v2.2.exe/download种子:https://pentestbox.org/PentestBox-with-Metasploit-v2.2.torrent
文章图片
如果网速太慢可以到文末领取云盘链接!0x03安装
提示:防火墙的关闭:
按照带有metasploit 的版本的时候得关闭windows自带的防火墙,因为metasploit生成的攻击载荷 对于 windows的安全来说 是个威胁。
Windows7直接在控制面板里面 关闭防火墙即可:
文章图片
文章图片
文章图片
Windows 10的话,除了关闭上述的防火墙 还得关闭 Windows Defender
在windows 自带的 设置-更新和安全-Windows Defender 中关闭。
文章图片
文章图片
注意 如果没有关闭防火墙的话,
PentestBox安装的过程中释放的文件 会直接被 防火墙 悄悄的干掉,
如果这样的话 就非常的尴尬了,
所以 为了方便,建议开始的时候直接关闭防火墙。
直接运行 文件 选择安装的文件位置路径,即可安装,安装其实就是文件的释放,最后整个文件夹大小为4.55GB左右
文章图片
所以我们可以直接 把PentestBox安装在移动硬盘或者 U盘中,
这样就打造了移动渗透工具的平台了,
在任意的windows系统上运行,这就比Kali 的Live U盘要方便许多
0x04 PentestBox使用详解 基本文件结构
PentestBox共5个文件夹,2个库文件,
一个bat批处理和一个exe启动程序。
文章图片
base文件夹:
里面放了一些工具需要用到的环境变量文件,
如:ruby、python 、jdk等。
文章图片
bin文件夹:
里面是一些渗透工具,基本上足够满足日常的渗透测试要求了!
文章图片
PentestBox启动
文章图片
- PentestBox下的“渗透测试”工具启动
文章图片
0x05 基本操作 5.1.软件安装:
终端下输入:toolsmanager
打开工具管理器,在这里可以 安装/升级/卸载 软件
首先,它会从GitHub的信息库自动更新,然后会显示菜单。如果没有互联网连接,脚本会等待一段时间,然后显示菜单。如下图:
文章图片
可以通过选择编号进入相关的模块。例如,如果我选择了Web应用程序类别,然后按10,它会显示:
文章图片
在这里面 我们就可以安装 这里面列出的工具。
现在,如果你想安装imagejs
然后键入install imagejs
它会安装它。
安装后,重启 PentestBox,你所安装的工具会生效。
可以用toolsmanager安装的软件列表,具体见这里 modules.pentestbox.com
文章图片
5.2.软件更新:
1.安装软件就酱紫了,如果要更新的话,这里直接输入编号 11
Update all installed Modules 这里就开始更新已经安装的工具了:
文章图片
2.PentestBox是一个开源项目,让在PentestBox使用的所有文件都存在于它的Github上库。
终端下输入:update 从它的Github上库,如果有任何更改,然后显示菜单将先进行自我更新。
如果没有互联网连接,脚本会等待一段时间,然后显示菜单。
文章图片
5.3.软件卸载:
在toolsmanager 的软件目录里面 我们现在想卸载已经安装过的软件的话,直接键入uninstall + 软件名
假如这里我们想卸载 xssless,然后键入uninstall xssless,这样就会卸载 xssless
文章图片
0x06 键盘快捷键 CTRL + T :要打开新的标签页
CTRL + C :要关闭脚本/程序运行
CTRL + w :这将关闭当前活动的控制台
ALT +Enter :Pentestbox 会去全屏
0x07安装后的调试 因为是国外开源项目的原因,有些配置不符合我们国内的本土风情,举个例子:
1.PentestBox 面封装的atom 编辑器是无法输入汉语的,而且插件也会出现一些问题,比如minimap等得重新配置
解决方法:将自己原来的atom安装的文
里件夹替换PentestBox里面的atom即可
C:UsersCTFAppDataLocalatomapp-1.12.6 (‘CTF’是我自己电脑的用户名)
文章图片
文章图片
- PentestBox封装Burpsuite的是Free版本的,功能上自然比不上 国内的专业破解版的Burpsuite
解决方法:把专业版破解版的burpsuite替换进去,并重命名 即可。
文章图片
0x08 添加自己的工具 很多情况下自己的工具 toolsmanager或默认PentestBox未安装。可以按照下面的指南 来手动添加自己的工具:
需要做两件事情,
1.下载/克隆工具文件,
2.设置别名
别名是基本上是需要PentestBox控制台通过,例如终端命令的SqlMap是一个别名访问sqlmap。
8.1.基于Python的工具
首先复制文件到 C:/PentestBox/bin/customtools/下
添加一个别名:编辑customaliases文件 位于/PentestBox/bin/customtools/文件夹下。
文章图片
例如,如果你需要添加一个别名hello的工具,那么它的别名是 hello=python “%pentestbox_ROOT%bincustomtoolsHello.py” $*
上述行添加到customaliases并保存文件 复制到文件夹下:
文章图片
然后编辑 customaliases文件
文章图片
重启你的 PentestBox ,即可生效
文章图片
8.2.基于exe的工具
1.下载/克隆工具文件。
2.设置别名 方法同上, 只是别名这里 设置的格式为:tool=“%pentestbox_ROOT%bincustomtoolstool.exe” $*
举例:我们添加个金典的 小葵解密工具
编辑 customaliases文件
文章图片
效果如下
文章图片
8.3.基于Ruby的工具和Java的工具
语法格式:
Java :tool=start javaw -jar “%pentestbox_ROOT%bincustomtoolstool.jar” $*Ruby : wpscan=ruby “%pentestbox_ROOT%bincustomtoolswpscanwpscan.rb” $*在PentestBox 中添加自己的Java 和 Ruby工具,方法的原理是一样的,只是在编辑 customaliases文件 的时候,语法格式有点区别,Java 和 Ruby 的工具格式 参考上面的格式。
0x09 通过网络共享PentestBox 考虑你想要在你的办公室,实验室等使用多台计算机上PentestBox喜欢而不是在每个计算机上安装PentestBox的环境中
你可以只安装一台计算机上,共享该文件夹作为一个驱动器上的其他计算机在同一个网络
文章图片
更改读取权限读/写,并单击共享
文章图片
文章图片
现在在局域网的其他电脑上的的 资源管理器 中的 网络 可以看到共享的文件夹
文章图片
文章图片
最后,你可以像你所使用的电脑上安装使用PentestBox
学习不走弯路,扫描底部,获取网络安全学习教程及路线专属大礼包哦!
文章图片
【一文入门玩转windows移动渗透工具包PentestBox】本文由mdnice多平台发布
推荐阅读
- Java|权限系统控制到按钮级别开源推荐 Spring Boot-Shiro-Vue
- 程序员|大牛深入讲解!Android面试中常问的MMAP到底是啥东东(再不刷题就晚了!)
- 5年磨一剑|优酷Android包瘦身治理思路全解
- 深度思考的重要性
- 进击的程序员,如何提升研发效能(|直播预告)
- 干货 | 命令执行漏洞和代码执行漏洞详解
- 软件测试|软件测试开发基础|测开中的几个工具开发实战
- Obsidian 初体验
- 程序员|为什么Charles抓不到HTTPS(为什么会有这种事!)