Notre Blog

Sn1per v7.0 – Framework automatisé de Pentest pour les experts en sécurité offensive

on mai 14, 2019

Sn1per v7.0 – Framework automatisé de Pentest pour les experts en sécurité offensive

Sn1per Community Edition est un scanner automatisé qui peut être utilisé lors d’un test de pénétration pour énumérer et analyser les vulnérabilités. Sn1per Professional est l’addon de rapports de premier ordre de Xero Security à l’intention des testeurs de pénétration professionnels, des chercheurs de Bug Bounty et de la sécurité d’entreprise chargés de la gestion d’environnements étendus et de portées pentest. Pour plus d’informations sur Sn1per Professional, visitez le site https://xerosecurity.com .

CARACTÉRISTIQUES DE  SN1PER:

  •  Collecte automatiquement la reconnaissance de base (ie. Whois, ping, DNS, etc.)
  •  Lance automatiquement les requêtes de piratage de Google sur un domaine cible
  •  Énumère automatiquement les ports ouverts via le balayage de ports NMap
  •  Automatiquement les sous-domaines des forces brutes, collecte les informations DNS et vérifie les transferts de zone
  •  Vérifie automatiquement le détournement de sous-domaine
  •  Exécute automatiquement les scripts NMap ciblés sur les ports ouverts
  •  Exécute automatiquement les modules d’analyse et d’exploitation exploités Metasploit
  •  Analyse automatiquement toutes les applications Web pour détecter les vulnérabilités communes
  •  Force brute automatique TOUS les services ouverts
  •  Tester automatiquement l’accès FTP anonyme
  •  Exécute automatiquement WPScan, Arachni et Nikto pour tous les services Web
  •  Énumère automatiquement les partages NFS
  •  Tester automatiquement l’accès LDAP anonyme
  •  Énumérer automatiquement les chiffrements, les protocoles et les vulnérabilités SSL / TLS
  •  Énumérer automatiquement les chaînes de la communauté SNMP, les services et les utilisateurs
  •  Répertoriez automatiquement les utilisateurs et les partages SMB, vérifiez les sessions NULL et exploitez MS08-067
  •  Exploiter automatiquement les serveurs vulnérables JBoss, Java RMI et Tomcat
  •  Teste automatiquement les serveurs X11 ouverts
  •  Auto-Pwn  ajouté pour Metasploitable, ShellShock, MS08-067, Creds Tomcat par défaut
  •  Effectue une énumération de haut niveau de plusieurs hôtes et sous-réseaux
  •  S’intègre automatiquement à Metasploit Pro, MSFConsole et Zenmap pour la génération de rapports
  •  Recueille automatiquement les captures d’écran de tous les sites Web
  •  Créer des espaces de travail individuels pour stocker tous les résultats d’analyse

EXPLOITS:

  •  Services Web RESTful Drupal unserialize () SA-CORE-2019-003
  •  Apache Struts: S2-057 (CVE-2018-11776): Mises à jour de sécurité disponibles pour Apache Struts
  •  Drupal: CVE-2018-7600: Exécution de code à distance – SA-CORE-2018-002
  •  Routeurs GPON – Contournement de l’authentification / Injection de commande CVE-2018-10561
  •  MS17-010 Corruption du pool de noyaux Windows à distance EternalBlue SMB
  •  Apache Tomcat: Exécution de code à distance (CVE-2017-12617)
  •  Oracle WebLogic wls-wsat Désérialisation de composant Exécution de code à distance CVE-2017-10271
  •  Exécution de commande arbitraire Apache Struts Content-Type (CVE-2017-5638)
  •  Apache Struts 2 Framework Checks – Plug-in REST avec gestionnaire XStream (CVE-2017-9805)
  •  Exécution de commande arbitraire Apache Struts Content-Type (CVE-2017-5638)
  •  Microsoft IIS WebDav ScStoragePathFromUrl Overflow CVE-2017-7269
  •  ManageEngine Desktop Central 9 Vulnérabilité aux ID de connexion à FileUploadServlet CVE-2015-8249
  •  Shellshock Bash Shell exécution de code à distance CVE-2014-6271
  •  Détection OpenSSL HeartBleed CVE-2014-0160
  •  MS12-020: Des vulnérabilités dans Remote Desktop pourraient permettre l’exécution de code à distance (2671387)
  •  Vulnérabilité de mot de passe Ovwebusr par défaut du gestionnaire d’applications Tomcat CVE-2009-3843
  •  MS08-067 Corruption du chemin d’accès relatif au service Microsoft Server
  •  Webmin File Disclosure CVE-2006-3392
  •  VsFTPd 2.3.4 Backdoor
  •  Porte dérobée ProFTPd 1.3.3C
  •  MS03-026 Débordement d’interface DCOM Microsoft RPC
  •  Exécution de la commande du démon DistCC
  •  JBoss Java De-Serialization
  •  Chemin d’accès en écriture HTTP PUT / DELETE Accès au fichier
  •  Énumération d’utilisateurs Apache Tomcat
  •  Connexion Tomcat Application Manager Bruteforce
  •  Enumération Jenkins-CI
  •  Scanner HTTP WebDAV
  •  BAD Android non sécurisé
  •  Accès FTP anonyme
  •  Porte déroutée PHPMyAdmin
  •  PHPMyAdmin Auth Bypass
  •  Énumération d’utilisateurs OpenSSH
  •  LibSSH Auth Bypass
  •  Enumération d’utilisateurs SMTP
  •  Montages NFS publics

Cet outil ne doit pas être utilisé à des fins illégales , c’est uniquement à des fins éducatives et pour permettre à des personnes de comprendre les mécanismes de sécurisation des SI.

SN1PER COMMUNITY EDITION

https://github.com/1N3/Sn1per

COMMANDER SN1PER PROFESSIONNEL:
Pour obtenir une licence Sn1per Professional, rendez-vous sur https://xerosecurity.com .

 

Captures d’écrans du projet:

adminSn1per v7.0 – Framework automatisé de Pentest pour les experts en sécurité offensive

Related Posts

Take a look at these posts