Nachdem unter dem Katoolin3 Artikel ein Kommentar zum kaputten Installationsscript aufgetaucht ist, möchte ich schnell ein Alternative zur Installation von Kali Tools unter Debian/Ubuntu vorstellen. Extra Scripte sind hierzu nicht mehr nötig.

Kali Linux Tools unter Debian/Ubuntu installieren

Eigentlich wird lediglich das Kali Linux Repository benötigt, danach können Abhängigkeiten und die gewünschten Pakete installiert werden. (Achtung das kann etwas dauern)

sudo bash -c "echo deb http://http.kali.org/kali kali-rolling main contrib non-free >> /etc/apt/sources.list

sudo apt-get update && sudo apt-get upgrade

Nun können zum Beispiel die 10 beliebtesten Tools installiert werden.

Folgende Tools sind in diesem Paket enthalten:  netcat, wireshark, burpsuite,aircrack-ng, john the ripper, sqlmap, metasploit, hydra, nmap, responder und crackmapexec

sudo apt-get install kali-tools-top10

Alternativ können auch andere Pakete gewählt werden. Diese lassen sich einfach via apt ausfindig machen.

sudo apt search kali-tools-*

• kali-tools-802-11 - Kali Linux 802.11 attacks tools
• kali-tools-bluetooth - Kali Linux bluetooth attacks tools
• kali-tools-crypto-stego - Kali Linux Cryptography and Steganography tools
• kali-tools-database - Kali Linux database assessment tools menu
• kali-tools-exploitation - Kali Linux exploitation tools menu
• kali-tools-forensics- Kali Linux forensic tools menu
• kali-tools-fuzzing - Kali Linux fuzzing attacks tools
• kali-tools-gpu/ - Kali Linux GPU tools
• kali-tools-hardware - Kali Linux hardware attacks tools
• kali-tools-information-gathering - Kali Linux information gathering menu
• kali-tools-passwords Kali Linux password cracking tools menu
• kali-tools-post-exploitation Kali Linux post exploitation tools menu
• kali-tools-reporting Kali Linux reporting tools menu
• kali-tools-reverse-engineering Kali Linux reverse engineering menu
• kali-tools-rfid - Kali Linux RFID tools
• kali-tools-sdr - Kali Linux SDR tools
• kali-tools-sniffing-spoofing - Kali Linux sniffing & spoofing tools menu
• kali-tools-social-engineering - Kali Linux social engineering tools menu
• kali-tools-top10 - Kali Linux's top 10 tools
• kali-tools-voip - Kali Linux VoIP tools
• kali-tools-vulnerability - Kali Linux vulnerability analysis menu
• kali-tools-web - Kali Linux webapp assessment tools menu
• kali-tools-windows-resources - Kali Linux Windows resources
• kali-tools-wireless - Kali Linux wireless tools menu

Unter kali.org/tools/kali-meta findet ihr weitere Informationen zu den ob erwähnten Paketen.

sudo apt search sipvicious

Wem das alles zu viel ist, der sucht einfach nach dem gewünschten Paket und installiert dieses.

Bei dieser Auswahl an Tools, die schnell jeder bestehenden Installation hinzugefügt werden können, kann der Winter kommen und ihr könnt viele neue Programme testen und ausprobieren. Aber bitte nur in einer Testumgebung.

Beim Web Security Dojo handelt es sich um eine fertig eingerichtete virtuelle Maschine, welche sich an werdende Penetrationstester oder Web Security Experten richtet. 
Das virtuelle System bietet sich aber genauso als allgemeine Trainingsgrundlage für Anwendungssicherheit an.

Web Security Dojo 2.1 - hacken lernen

Gerade ist eine aktualisierte Version 2.1 des Dojos vom Maven Security Consulting erschienen, welche auf Xubuntu 12.04 LTS basiert. 

Dank der fertig installierten Umgebung kann der interessierte Anwender sofort loslegen.
Bekannte Übungen und Tools wie OWASPs WebGoat sind fertig installiert und müssen nur über den Browser aufgerufen werden. (lediglich der gewünschte Proxy muss selbst gewählt werden.)

Die erst vor wenigen Tagen erschienene Toolsammlung hat zwar Updates erhalten, alle Tools sind dennoch nicht auf dem aktuellen Stand ( Ich glaube WebGoat wurde schon in v6 veröffentlicht, im Dojo ist allerdings 5.3 installiert. Dem Lernerfolg tut dies allerdings keinen Abbruch, da die Änderungen meist nicht gravierend sind.

Folgende bekannte Trainings und Anwendungs Tools sind im Dojo vorkonfiguriert enthalten

• Damn Vulnerable Web Application (DVWA) (login: admin:password)
• Mutillidae/NOWASP
• WebGoat (login: guest:guest)
• Insecure Web App
• w3af test framework
• WAVSEP Scanner Testbench
• XSS Practice Cases (WAVSEP XSS w/ hints hidden)
• REST demos
• JSON demo
• DOM XSS demo
• Simple Maven PHP demos
• sqli-labs

Weitere hilfreiche Tools für den Umgang mit Sicherheitslücken sind ebenfalls mit an Bord

• Burp Suite (free version)
• w3af
• sqlmap
• arachni 
• metasploit
• Zed Attack Proxy 
• OWASP Skavenger
• OWASP Dirbuster
• Paros
• Webscarab
• Ratproxy
• skipfish
• websecurify
• davtest

Alle Anwendung sind im Startmenü hinterlegt und müssen nur aufgerufen werden. Webanwendungen sind im vorinstallierten Firefox als Bookmarks hinterlegt.
Einen guten Start ins Web Hacking bietet sicherlich das bereits erwähnte WebGoat oder DVWA. Gerade ersteres bietet eine Schritt für Schritt Anleitung mit Lösungshilfen wenn gewünscht.

Installation

Es genügt das OVA Image herunterzuladen und in VirtualBox zu importieren.

Das es sich bei der Testumgebung um sehr unsichere Übungsanwendungen handelt, empfiehlt es sich, die Netzwerkverbindungen der virtuellen Maschine zu kappen.

Nun aber viel Spaß beim Hacken ;)

Das könnte dich auch interessieren

• Ubuntu - OpenVAS 8.0 installieren, konfigurieren und ein Netzwerk scannen

• SSLyze - SSL Server Einstellungen per Kommandozeile überprüfen

• WPScan - Wordpress Schwachstellen Scanner auf Ubuntu installieren

• BackBox Linux 4.1 - Update für die Pentesting Ubuntu Distribution

• 7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

• Linux Tools zur IT Forensik - 3 neue Distributionen, sowie Updates für Kali Linux und DEFT