1
0
O Parrot OS é uma distribuição Linux voltada para segurança e pentest, oferecendo um ambiente robusto para analistas e entusiastas de cibersegurança. Abaixo estão as cinco principais ferramentas de pentest no Parrot OS, com exemplos de uso prático para explorar vulnerabilidades e fortalecer a segurança.
1. Nmap – Varredura de Rede
O Nmap é essencial para mapear redes, descobrir dispositivos conectados e identificar portas abertas. Ele é amplamente utilizado para análises de segurança de redes.
sudo apt install nmap -y- Varredura Básica de Rede:
nmap -sP 192.168.1.1/24Identifica todos os dispositivos conectados a uma rede específica.
nmap -O 192.168.1.10Identifica o sistema operacional do dispositivo alvo.
nmap --script vuln 192.168.1.10Utiliza scripts de detecção para identificar vulnerabilidades conhecidas no dispositivo alvo.
2. Metasploit – Exploração de Vulnerabilidades
O Metasploit é uma das plataformas mais populares para explorar vulnerabilidades. Com uma grande variedade de exploits e payloads, é uma ferramenta poderosa para testar a segurança de redes e sistemas.
sudo apt install metasploit-framework -yPara iniciar o Metasploit, use:
msfconsole- Exemplo de Exploração (MS17-010):
use exploit/windows/smb/ms17_010_eternalblueset RHOST 192.168.1.10exploitExplora a vulnerabilidade EternalBlue em um alvo com SMB habilitado.
3. Hydra – Força Bruta
O Hydra é uma ferramenta de ataque de força bruta para testar senhas em vários serviços. É ideal para verificar a segurança de credenciais de acesso.
sudo apt install hydra -y- Força Bruta em SSH:
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.10Testa diferentes senhas para o usuário “admin” no serviço SSH.
hydra -l root -P /usr/share/wordlists/rockyou.txt ftp://192.168.1.20Verifica possíveis senhas para o usuário “root” no FTP.
4. Burp Suite – Análise de Aplicações Web
Burp Suite é uma ferramenta avançada para teste de segurança de aplicações web, útil para detectar vulnerabilidades como SQL Injection, Cross-Site Scripting (XSS) e outras falhas de segurança em sites.
Para iniciar o Burp Suite, digite:
burpsuite- Interceptando Requisições: Com o Burp Suite configurado, ative o modo Proxy para interceptar e modificar requisições enviadas para o site alvo.
- SQL Injection: Use a função Intruder para testar injeções SQL em campos de entrada da aplicação, variando parâmetros para identificar falhas.
- Automatização com Scanner: Use o módulo Scanner para identificar vulnerabilidades automaticamente.
5. Social Engineering Toolkit (SET) – Engenharia Social
O SET é uma ferramenta desenvolvida para simular ataques de engenharia social, como campanhas de phishing e clonações de sites.
sudo apt install set -yPara iniciar o SET, digite:
sudo setoolkit- Phishing com Clonagem de Site: Use a opção Website Attack Vectors e escolha Credential Harvester para clonar um site e capturar credenciais.
- Campanha de Phishing por E-mail: No menu do SET, escolha Spear-Phishing Attack Vectors para enviar e-mails simulando ataques de phishing.
- Simulação de Ataque USB Infectado: Use o Infectious Media Generator para criar uma mídia infectada e testar o comportamento dos usuários.
