AK
Size: a a a
2020 August 24
S
Тебе об этом тех поддержка данного сайтаскажет, учитываячто везде отвечают моментально, это не занимает много времени, у менятакие проблемы были только с видеоконференциями
😂
P
Господа, подскажите чернорабочему - в чем смысл метасплоита про? Что он может сам по себе без других поделий rapid7?
q
Polimer
Господа, подскажите чернорабочему - в чем смысл метасплоита про? Что он может сам по себе без других поделий rapid7?
web ui
P
qap
web ui
Он может в нормальный детект уязвимостей хотя бы на уровне нессуса (понимаю что говно, поэтому и спрашиваю)?
q
Polimer
Он может в нормальный детект уязвимостей хотя бы на уровне нессуса (понимаю что говно, поэтому и спрашиваю)?
metasploit больше используют для пентеста, там есть модули для продвижения по сети, постэксплуатации и тд. а nessus просто сканер уязвимостей. в pro версии msf прикрутили отчеты и web чтобы можно было регулярно генерить бумагу, но в плане аудита я бы взял nessus
P
qap
metasploit больше используют для пентеста, там есть модули для продвижения по сети, постэксплуатации и тд. а nessus просто сканер уязвимостей. в pro версии msf прикрутили отчеты и web чтобы можно было регулярно генерить бумагу, но в плане аудита я бы взял nessus
С большего думаем что важна эксплуатация, хотя в современном мире, без доменной учетки внутри мало что можно сделать. Принтеры пошатать, да по фтпшкам полазить
q
Polimer
С большего думаем что важна эксплуатация, хотя в современном мире, без доменной учетки внутри мало что можно сделать. Принтеры пошатать, да по фтпшкам полазить
сам по себе msf ниче не сделает. в любом случае команда нужна если разговор об эксплуатации. а там команда уже сама решит какой ей нужен инструментарий
q
если админ хочет сам потыкать сетку msf норм
P
qap
сам по себе msf ниче не сделает. в любом случае команда нужна если разговор об эксплуатации. а там команда уже сама решит какой ей нужен инструментарий
Соответственно если команда норм, то нафиг он нужен?
q
Polimer
Соответственно если команда норм, то нафиг он нужен?
бинго
P
А что тогда делать если сроков нет, сетей дофига, топологию не дали. Скажем так, скоуп 10.0.0.0/8, 172.30.0.0/16. Куча вланов, живых хостов по сути будет 1-1.5к. день-два пройтись нмапом ибо нессус такие скоупы будет долго ковырять, а дальше что?
P
Из последнего что у меня было это инфраструктура на 2016/2019 win server, везде обновленные десятки. Без доменной учетки хуй без соли доедать
q
Polimer
А что тогда делать если сроков нет, сетей дофига, топологию не дали. Скажем так, скоуп 10.0.0.0/8, 172.30.0.0/16. Куча вланов, живых хостов по сути будет 1-1.5к. день-два пройтись нмапом ибо нессус такие скоупы будет долго ковырять, а дальше что?
а какая задача?
P
qap
а какая задача?
Аудито-пентест. Естественно в контакте прописывается пентест, конечная цель захват домен контроллера, но нужно выдать по максимуму все потенциальные дыры.
q
masscan на подсети, потом точечно сканировать каждый порт nmap'ом, а дальше по обстоятельствам
PC
никогда кстати у меня масскан не выдвал нормальный результат, сетевое оборудование и нат таблица умирает куда быстрее
q
никогда кстати у меня масскан не выдвал нормальный результат, сетевое оборудование и нат таблица умирает куда быстрее
по всем портам?
PC
Да, да и по одному порту фолзит нещадно