Wie man

Faraday - Penetrationstest-IDE und Vulnerability Management Platform

Faraday - Penetrationstest-IDE und Vulnerability Management Platform

Um Ihre Organisation vor den unaufhörlichen und unerbittlichen Hackern, Skript-Kiddies und allen da draußen mit schlechten Motiven zu schützen, müssen Sie Ihr Spiel jeden Tag verbessern. Zweifellos sind Ihre Server und Anwendungen, die darauf laufen, ständig der Gefahr ausgesetzt, ausgenutzt zu werden, insbesondere wenn sie der Öffentlichkeit zugänglich sind. Vor diesem Hintergrund ist es unerlässlich, sich mit den besten Werkzeugen, Fähigkeiten und Teams zu bewaffnen, die ihr Bestes geben werden, um zu schützen und zu schützen, was lieb ist.

In Verbindung mit dieser Offenbarung sollte die Absicherung Ihrer Anwendungen, Server und Netzwerke ein wesentlicher Bestandteil jedes Unternehmens sein, denn es ist offensichtlich, dass Online-Präsenz sehr wichtig ist. Aus diesem Grund teilen wir ein weiteres Tool, das Ihren Entwicklern und Penetrationstestern hilft, Schwachstellen in ihrem Code zu finden. Beenden Sie Ärger, bevor neugierige Blicke das tun, was sie am besten können; Zerstörung. Wir stellen Faraday vor.

Faraday führt ein neues Konzept ein - IPE (Integrated Penetration-Test Environment), eine Mehrbenutzer-IDE für Penetrationstests. Faraday wurde für die Verteilung, Indizierung und Analyse der während eines Sicherheitsaudits generierten Daten entwickelt. Es wurde entwickelt, um Ihnen die Möglichkeit zu geben, die verfügbaren Tools in der Community auf eine echte Multiuser-Weise zu nutzen.

In dieser Anleitung werden wir lernen, wie Faraday das macht, was es am besten kann. Lassen Sie uns die Funktionen überprüfen, die es besitzt:

Merkmale von Faraday

In dieser Anwendung finden Sie Folgendes verpackt:

Folgendes benötigt Faraday, bevor es installiert werden kann:

Du brauchst:

So installieren Sie Faraday

Faraday Server ist die Schnittstelle zwischen PostgreSQL und Faraday Client und der WebUI. Die Verantwortung des Servers besteht darin, Informationen zwischen dem Client oder der WebUI und PostgreSQL zu übertragen und sicherzustellen, dass sie synchron gehalten werden.

Schritt 1: Python 3 Linux installieren

Da Python das Hauptpaket ist, von dem Faraday abhängt, lassen Sie es uns installieren, falls Sie es nicht haben. Befolgen Sie die folgenden Schritte

Python 3 installieren.6+ auf Ubuntu

Wenn Sie Ubuntu 16 verwenden.10 oder neuer, dann können Sie Python 3 ganz einfach installieren.6 mit den folgenden Befehlen:

sudo apt-get aktualisieren sudo apt-get installieren python3.6 python3-pip -y

Wenn Sie eine andere Version von Ubuntu verwenden (e.G. die neueste LTS-Version) oder Sie ein aktuelleres Python verwenden möchten, empfehlen wir die Verwendung der tote Schlangen PPA Python 3 installieren.8:

sudo apt-get install software-properties-common sudo add-apt-repository ppa:deadsnakes/ppa sudo apt-get update sudo apt-get install python3.8 python3-pip python3-dev -y

Python 3 installieren.6+ auf CentOS

Wenn Sie CentOS 7 oder 8 verwenden, müssen Sie nur den folgenden Befehl ausführen, um Python 3 zu installieren:.

sudo yum update sudo yum install -y python3 python3-pip python3-devel

Schritt 2: PostgreSQL-Datenbankserver installieren

Bevor wir mit der Installation von Faraday fortfahren, stellen wir sicher, dass die PostgreSQL-Datenbank installiert ist. Sie können postgreSQL schnell über die folgenden Links installieren:

PostgreSQL 13 unter Ubuntu einrichten
PostgreSQL 12 unter Debian installieren
So installieren Sie PostgreSQL 12 unter Ubuntu

Stellen Sie nach Abschluss der Installation sicher, dass die PostgreSQL-Version höher oder gleich 9 . ist.6 beim Laufen:

$ sudo su - postgres $ psql -c "SELECT version()" postgres

PostgreSQL konfigurieren

Öffne das pg_hba.conf Datei (denken Sie daran, die richtige PostgreSQL-Version anzugeben):

sudo vim /etc/postgresql/POSTGRESQL_VERSION/main/pg_hba.conf

Wenn Sie nicht finden können pg_hba.conf Datei im obigen Pfad, suchen Sie sie einfach wie folgt

sudo find / -name pg_hba.conf

Nachdem Sie die Datei geöffnet haben, müssen Sie die folgenden Zeilen bearbeiten, damit der Authentifizierungstyp von „ident” zu”md5“:

# Lokale IPv4-Verbindungen: Hosten Sie alle alle 127.0.0.1/32 md5 <== # IPv6 local connections: host all all ::1/128 md5 <==

Schritt 3: Installation von Faraday auf Debian|Ubuntu|Kali|CentOS

Alles sollte jetzt für Faraday bereit sein und wir werden nicht zögern, es herunterzuladen und einzurichten. Die gute Nachricht ist, dass Faraday-Entwickler DEB-Pakete für eine einfache Installation in allen Debian-basierten Systemen bereitgestellt haben. Besuchen Sie je nach Versionsnummer die GitHub-Seite "Releases" von Faraday, um die neueste Version zu erhalten.

sudo apt update sudo apt install wget -y wget https://github.com/infobyte/faraday/releases/download/v3.12/faraday-server_amd64.deb

Gehen Sie zu Ihrem Download-Verzeichnis und führen Sie den folgenden Befehl aus, um alles einzurichten.

sudo dpkg -i faraday-server_amd64.deb

Wenn der obige Befehl erfolgreich abgeschlossen wurde, müssen wir die Datenbank mit dem folgenden Befehl initialisieren.

sudo faraday-manage initdb

Sobald der Befehl abgeschlossen ist, erhalten Sie ein zufällig generiertes Passwort, um sich wie unten gezeigt bei der Web-Benutzeroberfläche anzumelden.

Konfigurieren Sie Faraday für den Fernzugriff

Standardmäßig hört Faraday auf localhost. Mit dieser Konfiguration können Sie nicht auf Ihre Anwendung zugreifen, wenn sich Ihr Server an einem entfernten Standort befindet. Um dies zu ändern, öffnen Sie die folgende Datei und ändern Sie localhost auf die von Ihnen bevorzugte IP oder lassen Sie einfach alle IP-Adressen wie folgt zu:

port = 5985 bind_address = 0.0.0.0 ##This Part websocket_port = 9000 debug = false secret_key = TBdhDvbWXo6p9MJOH1SPcD1cs agent_token = 7gDQ35BvIqWt18z0omP5Amxw6

Und unsere Anwendung sollte fertig sein und kann gestartet werden, indem Sie Folgendes ausführen:

sudo systemctl starte faraday-server

Überprüfen Sie dann den Status wie folgt.

sudo systemctl status faraday-server ● faraday-server.service - Faraday-Server geladen: geladen (/etc/systemd/system/faraday-server.Bedienung; deaktiviert; Herstellervoreinstellung: aktiviert) Aktiv: aktiv (läuft) seit Fr 2020-11-06 09:32:37 UTC; vor 5s Haupt-PID: 40670 (.faraday-server) Aufgaben: 3 (Limit: 2204) Speicher: 91.8M CGroup: /system.Slice/Faraday-Server.dienstleistung └─40670 /nix/store/m9g361va65ccbj2v5nil4dfr194zgarn-python3-3.8.3/bin/python3.8 /nix/store/ws2ix6dhr7hj2k1r8x0iv9ssjcx0bpvr-python3.8-faradaysec-3.11.1/behälter/.faraday-server-wrapped 06.11.09:32:37 ubuntu2004.localdomain systemd[1]: Faraday Server wird gestartet… 06. Nov. 09:32:37 ubuntu2004.localdomain systemd[1]: Faraday-Server gestartet.

Falls Sie eine Firewall haben, erlauben Sie Port 5985 auf Ihrer Firewall, wenn sie läuft

sudo ufw erlauben 5985/tcp

Öffnen Sie nun Ihren Browser und zeigen Sie ihn an http://:5985 und loggen Sie sich mit „Faraday” als Benutzername und das im Schritt initdb generierte Passwort.

Faraday-Plugins installieren

Wir brauchen Plugins wie nmap und den Rest, damit der Server Clients scannen kann. Rufen Sie Faraday-Plugins wie folgt ab

sudo pip3 installiere faraday-plugins

Schritt 4: Faraday auf CentOS 7 installieren | CentOS 8

Genau wie bei Debian oder Ubuntu oder Kali sollten wir vor der Installation von Faraday sicherstellen, dass Python und die PostgreSQL-Datenbank installiert sindgre. Sie können PostgreSQL schnell installieren, indem Sie die folgenden Links verwenden:

So installieren Sie PostgreSQL 13 auf CentOS 7
PostgreSQL 13 auf CentOS 8 installieren | RHEL 8

PostgreSQL konfigurieren

Öffnen Sie die pg_hba.conf-Datei und nehmen Sie die Änderungen wie als nächstes empfohlen vor.

vim /var/lib/pgsql/POSTGRESQL_VERSION/data/pg_hba.conf

Nachdem Sie die Datei geöffnet haben, müssen Sie die folgenden Zeilen bearbeiten, damit der Authentifizierungstyp von „ident” zu”md5":

# Lokale IPv4-Verbindungen: Hosten Sie alle alle 127.0.0.1/32 md5 <== # IPv6 local connections: host all all ::1/128 md5 <==

Stellen Sie nach Abschluss der Installation und Konfiguration sicher, dass die PostgreSQL-Version höher oder gleich 9 . ist.6 beim Laufen:

$ psql -c "SELECT version()" postgres

Wenn Sie fertig sind und feststellen, dass Python3 aus dem einen oder anderen Grund fehlt, führen Sie den folgenden Befehl aus, um es zu installieren

sudo yum installiere python3 -y

Auf unseren RPM-basierten Systemen präsentieren Faraday-Entwickler stolz U/min Pakete für dich. Rufen Sie je nach Versionsnummer die GitHub-Seite "Releases" von Faraday auf und holen Sie sich die neueste Version.

sudo yum update sudo yum install wget vim epel-release -y wget https://github.com/infobyte/faraday/releases/download/v3.12/faraday-server_amd64.U/min

Navigieren Sie zu dem Verzeichnis, in das Sie die heruntergeladene U/min Datei dann führen Sie den folgenden Befehl aus, um alles einzurichten.

sudo rpm -ivh faraday-server_amd64.U/min

Starten Sie den PostgreSQL-Server neu und initialisieren Sie die Datenbank:

sudo systemctl restart postgresql sudo faraday-manage initdb

Der zweite Befehl gibt Ihnen ein zufällig generiertes Passwort, um sich bei der Web-Benutzeroberfläche anzumelden.

Konfigurieren Sie Faraday für den Fernzugriff

Standardmäßig hört Faraday auf localhost. Mit dieser Konfiguration können Sie nicht auf Ihre Anwendung zugreifen, wenn sich Ihr Server an einem entfernten Standort befindet. Um dies zu ändern, öffnen Sie die folgende Datei und ändern Sie localhost auf die von Ihnen bevorzugte IP oder lassen Sie einfach alle IP-Adressen wie folgt zu:

port = 5985 bind_address = 0.0.0.0 ##This Part websocket_port = 9000 debug = false secret_key = TBdhDvbWXo6p9MJOH1SPcD1cs agent_token = 7gDQ35BvIqWt18z0omP5Amxw6 

Starten Sie nach der Konfiguration den Faraday-Server

systemctl starte faraday-server

Öffnen Sie nun Ihren Browser und zeigen Sie ihn an http://:5985 und loggen Sie sich mit „Faraday” als Benutzername und das im initdb-Schritt generierte Passwort.

Falls Sie Verbindungsprobleme haben, erlauben Sie Port 5985 auf Ihrer Firewall, wenn sie läuft

sudo Firewall-cmd --permanent --add-port=5985/tcp sudo Firewall-cmd --reload

Schritt 5: Erstellen Sie einen Arbeitsbereich

Erstellen Sie nach der Anmeldung einen Arbeitsbereich, zu dem ein Client eine Verbindung herstellen und die Scanergebnisse laden kann. Um einen Arbeitsbereich zu erstellen, folgen Sie den Screenshots unten

Klicken Sie auf das Dropdown-Menü des Benutzersymbols und wählen Sie „Arbeitsbereiche

Klicken Sie auf der Seite Arbeitsbereiche auf „Neu

Ein Formular wird angezeigt. Geben Sie die Details plus den Zielhost ein und speichern Sie dann. Und du wirst fertig.

Faraday-Plugins installieren

Faraday-Plugins sind der Kern von Faraday. Sie umfassen die meisten verfügbaren Open-Source-Sicherheitstools, wie z Nmap, Hydra, Lynis und vieles mehr. Sie können Faraday-Plugins wie folgt installieren

sudo pip3 install faraday-plugins ##Unter Ubuntu 20 müssen Sie faraday-plugins in ein Verzeichnis auf PATH### kopieren $ sudo cp ~/.local/bin/faraday-plugins /usr/local/bin/

Alle Plugins auflisten

faraday-plugins list-plugins Verfügbare Plugins: Acunetix - [Befehl: Nein - Bericht: Ja] - Acunetix XML-Ausgabe-Plugin Amap - [Befehl: Ja - Bericht: Nein] - Amap-Ausgabe-Plugin Appscan - [Befehl: Nein - Bericht: Ja ] - Appscan XML Plugin AppSpider - [Befehl: Nein - Bericht: Ja] - AppSpider XML Ausgabe Plugin Arachni - [Befehl: Ja - Bericht: Ja] - Arachni XML Ausgabe Plugin arp-scan - [Befehl: Ja - Bericht: Nein] - arp-scan Netzwerkscanner awsprowler - [Befehl: Nein - Bericht: Ja] - AWS Prowler Beef - [Befehl: Ja - Bericht: Nein] - BeEF Online Service Plugin brutexss - [Befehl: Ja - Bericht: Nein] - brutexss Burp - [Befehl: Nein - Bericht: Ja] - Burp XML-Ausgabe-Plugin Checkmarx - [Befehl: Nein - Bericht: Ja] - Checkmarx XML-Ausgabe-Plugin Cobalt - [Befehl: Nein - Bericht: Ja] - Cobalt-CSV-Ausgabe-Plugin dig - [ Befehl: Ja - Bericht: Nein] - DiG dirb - [Befehl: Ja - Bericht: Nein] - Dirb dirsearch - [Befehl: Ja - Bericht: Nein] - dirsearch Dnsenum - [Befehl: Ja - Bericht: Nein] - Dnsenum XML-Ausgabe-Plugin Dnsmap - [Befehl: Ja - Bericht: Nein] - Dnsmap-Ausgabe-Plugin Dnsrecon - [Befehl: Ja - Bericht: Nein] - Dnsrecon XML-Ausgabe-Plugin Dnswalk - [Befehl: Ja - Bericht: Nein] - Dnswalk XML-Ausgabe-Plugin faraday_csv - [Befehl: Nein - Bericht: Ja] - Faraday-CSV-Plugin Heftig - [Befehl: Ja - Bericht: Nein] - Heftige Ausgabe Plugin Fortify - [Befehl: Nein - Bericht: Ja] - Fortify XML Output Plugin Fruitywifi - [Befehl: Ja - Bericht: Nein] - FruityWiFi ftp - [Befehl: Ja - Bericht: Nein] - FTP Goohost - [Befehl: Ja - Bericht: Nein] - Goohost XML-Ausgabe-Plugin Hping3 - [Befehl: Ja - Bericht: Nein] - hping3

Schritt 5: Faraday-Client auf CentOS 8 installieren

Bisher haben wir den Serverteil von Faraday installiert. Es folgt der Server-Client-Architektur und es wird empfohlen, den Server und den Client nicht auf derselben Maschine zu mischen. Zu diesem Zweck werden wir den Faraday-Client auf einem ganz anderen Rechner installieren. Beachten Sie, dass der Client für dieses Beispiel eine GUI benötigt. GNOME ist eine gute Wahl, um die GTK-App zu starten. Aktualisieren Sie zunächst Ihre Maschinen wie folgt:

sudo yum update

Installieren Sie dann Python auf den Client-Servern, wie es in behandelt wurde Schritt 1. Sobald Python eingerichtet ist, installieren Sie den Faraday-Client wie folgt für CentOS 8

sudo yum install cairo cairo-devel libjpeg-turbo-devel pango pango-devel pangomm sudo dnf -y install dnf-plugins-core sudo dnf -y install https://dl.fedoraprojekt.org/pub/epel/epel-release-latest-8.noarch.rpm sudo dnf config-manager --set-enabled PowerTools sudo dnf install gobject-introspection-devel cairo-gobject-devel gtk3 -y sudo pip3 install faraday_client

Dann starten Sie den Faraday-Client wie folgt. Sie müssen die URL für den Server am Ende der Ausgabe der Anwendung eingeben. Geben Sie es entsprechend ein und drücken Sie die Eingabetaste. Später geben Sie den Benutzernamen und das Passwort des Faraday-Clients sowie den zuvor erstellten Arbeitsbereich ein.

$ faraday-client _____ .___ _/ ____\_____ ____________ __| _/_____ ___.__. \ __\ \__ \ \_ __ \__ \ / __ | \__ \ < | | | | / __ \_| | \// __ \_/ /_/ | / __ \_\___ | |__| (____ /|__| (____ /\____ | (____ // ____| \/ \/ \/ \/ \/ [*[ Open Source Penetration Test IDE ]*] Where pwnage goes multiplayer 2020-11-06T13:07:06+0000 - faraday_client.start_client - INFO MainThread [start_client.py:323 - printBanner()] Starting Faraday IDE. 2020-11-06T13:07:06+0000 - faraday_client.start_client - INFO MainThread [start_client.py:435 - main()] Dependencies met. 2020-11-06T13:07:06+0000 - faraday_client.start_client - INFO MainThread [start_client.py:279 - checkConfiguration()] Checking configuration. 2020-11-06T13:07:06+0000 - faraday_client.start_client - INFO MainThread [start_client.py:280 - checkConfiguration()] Setting up ZSH integration. 2020-11-06T13:07:06+0000 - faraday_client.start_client - INFO MainThread [start_client.py:282 - checkConfiguration()] Setting up user configuration. 2020-11-06T13:07:06+0000 - faraday_client.start_client - INFO MainThread [start_client.py:265 - setupXMLConfig()] Copying default configuration from project. 2020-11-06T13:07:06+0000 - faraday_client.start_client - INFO MainThread [start_client.py:183 - setConf()] Setting configuration. Please enter the Faraday Server URL (Press enter for http://localhost:5985): http://172.17.106.186:5985

Schritt 6: Verwenden von Faraday

Die Befehle von Faraday werden in dem Moment installiert, in dem Sie Faraday mit dem installieren .deb oder die .rpm-Installationsprogramm wie oben gezeigt. Um mit dem Scannen von Clients zu beginnen, führen Sie den obigen Faraday-Client aus und geben Sie dann einen Sicherheitsbefehl wie Nmap . aus. Für dieses Beispiel verwenden wir Nmap.

Wir werden einen einfachen nmap-Befehl gegen eine IP mit einem Live-Server ausführen. Sie sollten beachten, dass der faraday-client sofort übernimmt und wenn es fertig ist, einen Bericht an den Server sendet.

Sie können den Bericht anzeigen, indem Sie sich beim Dashboard anmelden und den Arbeitsbereich auswählen, mit dem der Client verbunden ist, wie unten gezeigt

Abschließende Gedanken

Sicherheit hat die Telekommunikationsbranche durchdrungen und durchdrungen und wächst weiterhin in gigantischen Ausmaßen. Angesichts der zunehmenden bargeldlosen Transaktionen gibt es nichts Wichtigeres, als sicherzustellen, dass Ihr Vermögen, Ihr Geld und Ihre Informationen sicher und geschützt sind. Mit Faraday können Sie die bereits entwickelten robusten OpenSource-Tools nutzen, um Ihre Schwachstellen zu testen und zu patchen, bevor neugierige Blicke auf sie fallen.

Wir hoffen, dass der Leitfaden hilfreich war und eine gute Grundlage für weitere Exploits gelegt hat, in die Sie springen werden. Wir danken euch für die Unterstützung und für das Bleiben bis zum Schluss. Prost!! Weitere Anleitungen finden Sie unten

Installieren Sie Sicherheitsupdates / Patches nur auf CentOS 8

Installieren Sie Nessus Vulnerability Scanner auf Kali Linux 2020.x

Vuls - Bester Schwachstellen-Scanner für Linux / FreeBSD / WordPress / Netzwerk

Fix Sie haben keine Berechtigung zum Speichern an diesem Ort Windows 10
Es fühlt sich sehr unangenehm an, wenn Sie an Ihrem PC mit nur einem einzigen Benutzerkonto arbeiten, an dem Sie arbeiten, und Sie versuchen, eine Dat...
So reparieren Sie den blauen Bildschirm des Todes in Windows 10
Blue Screen of Death oder allgemein bekannt als BSOD ist das Ergebnis einer unsachgemäßen Funktion der Hardware (in einigen Fällen kann dies auf einen...
So generieren Sie ein zufälliges Passwort, um es in Windows 10 zurückzusetzen?
Administrator auf der Windows-Plattform ist ein Manager, der für den Umgang mit Software, Hardware, Benutzerkonten usw. verantwortlich ist. Der Admini...