劉詢

這里將為大家列舉10個作為黑客最值得擁有的小工具。這些工具非常適合無聊時的調(diào)劑品，或是作為生日或節(jié)日禮物送給你的白帽朋友。譬如無線愛好者可能會對下面的天線感興趣，因為它能夠通過無線方式捕獲到擊鍵，類似于WPA2握手包的抓取。而對四軸飛行器（Quadrotor）感興趣的人可能會更關(guān)注無人機(jī)，因為它們能夠在不丟失信號的情況下飛行1～2mile，并可攜帶WiFiPineapple和RaspberryPi等附加硬件。

1. Mousejack Hacking

2016年，安全公司Bastille Networks安全研究員發(fā)現(xiàn)，大多數(shù)無線鼠標(biāo)和接收器之間的信號是不加密的。攻擊者在100 m范圍內(nèi)控制目標(biāo)計算機(jī)而無需任何物理訪問，并可將他們的設(shè)備匿名配對使用流行無線鍵盤適配器的目標(biāo)計算機(jī)進(jìn)行遠(yuǎn)程擊鍵注入。

由于鍵盤供應(yīng)商（Logitech和Dell）未對鍵盤和USB適配器之間的傳輸數(shù)據(jù)加密或未正確驗證與適配器通信的設(shè)備，因此導(dǎo)致了該攻擊的發(fā)生。漏洞披露雖然已有2年多的時間，但據(jù)報道全球受此影響的設(shè)備超過10億，因此漏洞帶來的影響將很難在短時間內(nèi)消除。

攻擊中使用的“Crazyradio USBDongle”是一個2.4 GHz的雙向收發(fā)器，可以發(fā)送和接收無線電遙測。從本質(zhì)上講，USB Dongle可用于觀察、記錄和對無線電波注入。

2.用于密碼破解的GPU

圖形處理器（GPU）通常嵌入連接到計算機(jī)主板的內(nèi)部顯卡中，用于高效處理圖像及游戲內(nèi)存等，可以說GPU負(fù)責(zé)電子設(shè)備上的所有視頻和圖像渲染。

黑客可以利用GPU構(gòu)建自己專屬的密碼破解設(shè)備，這將大大縮短“爆破”的時間以及提升“爆破”的成功率。Tokyoneon在他的帖子“Hack 200 Online User Accounts in Less Than 2 Hours”中充分證明了該方案的可用性。他通過GPU成功破解了泄露密碼數(shù)據(jù)庫中的哈希，并且接管了數(shù)百個Twitter，F(xiàn)acebook和Reddit用戶帳戶。

推薦GeForce顯卡（GeForce GTX 1050 Ti），這款顯卡的售價僅為189美元，是一款出色的入門級GPU。當(dāng)然，如果想要密碼破解設(shè)備更為高效和強(qiáng)大，可以選擇購買GTX 1080 Ti或是RTX 2080 Ti。

3.世界上最小的筆記本電腦

GPD Pocket被稱為“世界上最小的筆記本電腦”，它采用 Intel Atom X7，1920 x 1080分辨率和8 GB RAM，裝在一臺小型筆記本電腦中，只比大多數(shù)現(xiàn)代智能手機(jī)大一點兒。

由于體積小，擁有物理鍵盤和處理高性能游戲的能力，以及優(yōu)于Raspberry Pis和智能手機(jī)的英特爾CPU，而受到越來越多人的青睞。

滲透測試人員可以在此設(shè)備上輕松安裝各種Linux操作系統(tǒng)，包括Ubuntu，Kali Linux和BlackArch，而不是默認(rèn)的Windows 10。

如果想要更薄功能更為完善的GPD Pocket，可以選擇最新推出的GPD Pocket 2，相比GPD Pocket它的厚度至少減少了一半。

4.最新的Raspberry Pi

2018年剛推出的Raspberry Pi 3 Model B+，具有更快的CPU，以及升級的WiFi和Ethernet模塊，并可以使用Ethernet端口（PoE HAT）在沒有傳統(tǒng)電源適配器的情況下供電。

5. USBarmory

USB armory是由Inverse Path設(shè)計的一款開源硬件，它是一款U盤大小的微型計算機(jī)。它支持多個安全軟件和應(yīng)用程序的開發(fā)，同時降低功耗。根據(jù)開發(fā)人員keynote在FSec 2016的主題演講，USB Armory可用于：

具有高級功能的文件存儲，例如自動加密、病毒掃描、主機(jī)身份驗證和數(shù)據(jù)自毀；

不受信任主機(jī)的OpenSSH客戶端和代理；

端到端VPN隧道的路由器；

帶有集成web server的密碼管理器；

電子錢包（例如比特幣錢包）；

認(rèn)證令牌；

便攜式滲透測試平臺；

USB安全測試。

6. VPS訂閱

虛擬專用服務(wù)器（VPS）是一臺可以讓我們從世界任何一個地方遠(yuǎn)程控制連接互聯(lián)網(wǎng)設(shè)備的計算機(jī)。因此，為你的武器庫添加可靠的VPS訂閱對任何滲透測試人員和安全研究人員都至關(guān)重要。通過遠(yuǎn)程VPS，滲透測試人員可以：

用于攻擊macOS和Windows 10的主機(jī)payloads；

同步文件；

創(chuàng)建IRC bots；

托管釣魚網(wǎng)站；

執(zhí)行密碼爆破重用攻擊；

主機(jī)USB drop payloads；

使用高級Nmap腳本；

創(chuàng)建服務(wù)器代理；

創(chuàng)建洋蔥站點；

主機(jī)Metasploit sessions。

解白帽子和滲透測試人員最喜歡用的托管服務(wù)之一就是BulletShield。因為它在注冊或支付時無需提供任何的個人信息，能夠充分保護(hù)我們的個人隱私。

7. Hak5 Gear

Hak5是一個屢獲殊榮的播客，提供信息安全培訓(xùn)服務(wù)以及許多知名的滲透測試設(shè)備。以下是Hak5提供的一些優(yōu)秀黑客工具。

USB Rubber Ducky

USB Rubber Ducky是Hak5的USB擊鍵注入工具，能夠以每分鐘超過1 000字的速度執(zhí)行payload。它可在不到5 s的時間內(nèi)破解Mac OS設(shè)備，也可禁用防病毒軟件或在社工中將其插入目標(biāo)計算機(jī)。

Bash Bunny

Bash Bunny是一款類似于USB Rubber Ducky的多功能USB攻擊工具。然而，Bash Bunny則是一個功能齊全的Linux操作系統(tǒng)，與USB Rubber Ducky相比具有更多優(yōu)勢，如可攜帶多個高級payloads模擬設(shè)備組合以及執(zhí)行多種高級攻擊。需要將物理攻擊提升到一個更高水平的滲透測試人員，應(yīng)該會非?？粗剡@一點。

Packet Squirrel

Packet Squirrel是一個口袋大小的中間人攻擊工具，針對隱蔽數(shù)據(jù)包捕獲和對目標(biāo)網(wǎng)絡(luò)的安全遠(yuǎn)程訪問而設(shè)計。Packet Squirrel上擁有2個接口，分別是USB和以太網(wǎng)接口。

LAN Turtle

LANTurtle看似是一個USB轉(zhuǎn)RJ45的機(jī)器，但它實際上是一個黑客工具。基本功能包括中間人攻擊、網(wǎng)絡(luò)掃描和遠(yuǎn)程訪問等。此外，它還配備了SIM（3G）功能和模塊化框架，非常易于使用。

WiFi Pineapples

WiFi Pineapple和WiFi Pineapple Nano是優(yōu)秀的惡意接入點創(chuàng)建和WiFi審計設(shè)備。該工具旨在幫助滲透測試人員快速、輕松地執(zhí)行偵察任務(wù)、實施中間人攻擊或是無線網(wǎng)絡(luò)攻擊。另外，為了便于使用WiFi Pineapple還提供了圖形化界面，可通過手機(jī)或瀏覽器輕松訪問。

8.無線黑客必備路由器

無線方面的攻擊技術(shù)一直是滲透測試人員熱衷討論的話題之一，可以說是一項必備的安全技能。因此，配備一個無線滲透專用的路由器自然也少不了，最好是與Kali兼容的路由器。

9.遠(yuǎn)程無線黑客天線

如果標(biāo)準(zhǔn)的無線天線無法滿足你的需求，那么可以選擇使用更大的天線來增加信號的覆蓋范圍，這樣就能在更遠(yuǎn)的距離滲透路由器。

Tupavco TP512 Yagi WiFi定向天線的標(biāo)準(zhǔn)覆蓋范圍約為100 m，但一些在線報告中聲稱其最遠(yuǎn)覆蓋距離可以高達(dá)近2 km。還有一些供應(yīng)商銷售類似的八木天線以及捆綁產(chǎn)品。例如ALFA的八木天線，包括一個ALFA芯片組和必要的電纜適配器。

10.無人機(jī)

隨著無人機(jī)技術(shù)的不斷改進(jìn)和普及，無人機(jī)也受到越來越多人的喜歡，如果你是一名DIY黑客，無人機(jī)將會是首選的小工具。

Project Cuckoo是被稱為“Glytch”的黑客創(chuàng)建的測試無人機(jī)。這款3D打印的無人機(jī)具有附加的WiFi Pineapple Nano，可以執(zhí)行中間人攻擊并將惡意JavaScript注入到WiFi熱點，并在不連接路由器的情況下隱藏嗅探WiFi活動。

亞馬遜的3D打印機(jī)起步價約為299美元，再加上材料費，單獨的組件以及遙控器，從頭到尾打造一個無人機(jī)的花費大概需要500美元左右。這對于一般人來說算是一筆不小的開銷。

DJI Spark無人機(jī)是一款小巧輕便的無人機(jī)，包括一個遙控器，價格為399美元。其續(xù)航能力長達(dá)15 min，最遠(yuǎn)遙控距離為2 km并附帶了12 MP 1 080p攝像機(jī)，這可能是目前市場上最好、最實惠的小型無人機(jī)。

如果預(yù)算充足，那么“DJI Mavic無人機(jī)”是更好的選擇，它具有更高分辨率的攝像頭，近4 km的遙控距離和8 GB的內(nèi)存空間（用于視頻錄制），以及超過20 min的續(xù)航能力。