Aus Linux-Magazin 06/2025

Pentesting lernen und einüben: Die besten Tools

© Pitiporn Aungpraphapornchai / 123RF.com

Wer seine Systeme auf Sicherheitslücken abklopfen möchte, benötigt dazu passende Werkzeuge und eine große Portion Erfahrung. Letztere erhalten angehende Pentester durch wiederholte Einbrüche in vorgefertigte Trainings-VMs.

Eine neu erworbene Küchenmaschine kostet drei Blicke ins Handbuch, zwei sämige Erbsensuppen und einen Finger, bis man die Kraft des Püriermessers auf Stufe 6 richtig einschätzen kann. Analog lassen sich beim Pentesting die Hacker-Werkzeuge nur dann effizient einsetzen, wenn man ihren Zweck, ihre Bedienung und ihre Grenzen kennt. Zusätzlich brauchen Pentester eine gute Strategie.

Während Sie beispielsweise einen Webserver über seine offenen Ports angreifen könnten, gelingt eine Attacke auf eine Firewall vielleicht eher über die Ausweitung der Zugriffsrechte eines Benutzerkontos. Bevor Sie also zum ersten Mal wild rotierende Hackmesser wie Metasploit und Konsorten gegen Ihren Server richten, sollten Sie zunächst die beteiligten Tools kennenlernen und solche Einbrüche üben. Das macht sogar erstaunlich viel Spaß.

Voraussetzungen

Ausgangspunkt und Basis für das Pentesting bildet Ihr aktuelles technisches Wissen. Erfahrungen als Administrator erweisen sich als extrem nützlich. Um etwa einen Nginx-Webserver knacken zu können, sollten Sie die interne Funktionsweise dieser Art von Software begriffen haben und zumindest das bei Ihnen laufende Exemplar einrichten können. Nur so können Sie fehlerhafte Einstellungen des Webservers erkennen und ausnutzen.

Idealerweise haben Sie außerdem schon einmal Systeme gegen Angriffe gehärtet. Damit wissen Sie, welche Stellen aussichtsreich für Einbruchsversuche sein könnten. Die Angriffe beginnen meist am Netzwerk und landen irgendwann auf der Kommandozeile. Sie sollten dann wissen, wie es dort weitergeht. Viele Hacker-Tools sind außerdem ausschließlich als Kommandozeilenprogramme ausgelegt. Selbstgeklöppelte Shell- und Python-Skripte automatisieren unterschiedliche Angriffsversuche. Zusammenfassend ist es von Vorteil, wenn Sie grundlegendes Netzwerkwissen, keine Furcht vor dem Terminal und Skripting-Kenntnisse haben.

Phishing für Anfänger

Zum Pentesting gehört prinzipiell auch das Phishing. Dabei versucht man inkognito, die Mitarbeiter des eigenen Unternehmens zu verleiten, ihre Zugangsdaten oder andere nützliche Informationen herauszurücken. Die dazu notwendige Überredungskunst kann man (unglücklicherweise) lernen. Im Kern geht es schlicht darum, möglichst gut und überzeugend zu lügen. Die Erläuterung der dazu notwendigen psychologischen Techniken würden allerdings den Rahmen dieses Artikels sprengen.

Da Phishing-Angriffe immer auf Personen abzielen, sind sie aus menschlicher und rechtlicher Sicht heikel. Holen Sie sich deshalb vor solchen Maßnahmen das Einverständnis des Betriebsrats ein, beachten Sie die rechtlichen Vorgaben, gehen Sie wohlüberlegt vor und stellen Sie keinen Mitarbeiter an den Pranger. Nutzen Sie Phishing nur, um Ihre Mitarbeiter anschließend für solche Angriffe zu sensibilisieren.

Baumarktbesuch

Im nächsten Schritt besorgen Sie sich einen Werkzeugkasten mit einer Auswahl an häufig benötigten Sicherheitstools. Den finden Sie in Linux-Distributionen, die sich explizit an Pentester richten. Besonderer Beliebtheit erfreut sich Kali Linux [1], verbreitet sind außerdem Parrot [2], Backbox [3], BlackArch [4] und auch das Network Security Toolkit (NST) [5].

Kali Linux und Parrot laufen als Live-System, lassen sich dauerhaft auf einem Rechner installieren und stehen obendrein als virtuelle Maschinen parat. Beide Distributionen verfügen über relativ große Communities und sind gut dokumentiert. Letzteres gilt für Kali Linux noch einen Tick mehr als für Parrot. Neben zahlreichen Anleitungen im Internet gibt es für Kali Linux sogar einige deutschsprachige Bücher.

Pentesting-Einsteigern raten wir daher zu Kali Linux (Abbildung 1). Vieles funktioniert unter Parrot (Abbildung 2) allerdings gleich – erstaunlich häufig lassen sich Anleitungen dort ohne Änderungen durchspielen. Gefällt Ihnen die Benutzeroberfläche von Kali nicht, können Sie deshalb problemlos Parrot als Distribution ins Auge fassen.

Abbildung 1: Kali Linux gehört zu den wenigen Pentesting-Distributionen mit einem alternativen hellen Desktop-Theme.

Abbildung 1: Kali Linux gehört zu den wenigen Pentesting-Distributionen mit einem alternativen hellen Desktop-Theme.

Abbildung 2: Parrot gibt es auch als Docker-Image, für das WSL unter Windows und als Standard-System für die tägliche Arbeit.

Abbildung 2: Parrot gibt es auch als Docker-Image, für das WSL unter Windows und als Standard-System für die tägliche Arbeit.

Die anderen genannten Distributionen richten sich wegen der spärlichen Dokumentationen eher an fortgeschrittene Pentester. Backbox (Abbildung 3) offeriert eine extrem aufgeräumte Benutzeroberfläche, steht aber lediglich als ISO-Image bereit. Die BlackArch-Entwickler setzen auf Masse: Zum Redaktionsschluss umfasste ihre auf Arch Linux basierende Distribution (Abbildung 4) über 2800 Sicherheitswerkzeuge. Das Urgestein NST (Abbildung 5) wird zwar seit 2003 immer noch langsam weiterentwickelt, die Bedienung erfolgt aber hauptsächlich über eine altbacken wirkende Weboberfläche.

Abbildung 3: Backbox Linux nutzt wie die meisten Pentesting-Distributionen die leichtgewichtige Desktop-Umgebung XFCE.

Abbildung 3: Backbox Linux nutzt wie die meisten Pentesting-Distributionen die leichtgewichtige Desktop-Umgebung XFCE.

Abbildung 4: BlackArch existiert in einer Slim-Variante, die nur einige ausgewählte Sicherheitswerkzeuge mitbringt.

Abbildung 4: BlackArch existiert in einer Slim-Variante, die nur einige ausgewählte Sicherheitswerkzeuge mitbringt.

Abbildung 5: Die webbasierte Benutzeroberfläche des NST hat prinzipiell den Vorteil, dass man die Tools bequemer auf einem Server zünden kann.

Abbildung 5: Die webbasierte Benutzeroberfläche des NST hat prinzipiell den Vorteil, dass man die Tools bequemer auf einem Server zünden kann.

Werkstatt einrichten

Auch wenn Kali Linux und Co. als Live-System laufen, sollten Sie sie dennoch auf einem Rechner oder in einer virtuellen Maschine installieren. So können Sie einfacher Tools nachinstallieren, die komplette Distribution arbeitet flotter und es steht mehr Speicherplatz beispielsweise für Passwortdatenbanken zur Verfügung.

Doch Obacht: Um die Werkzeuge möglichst unkompliziert einsetzen zu können, schaltet vor allem Kali Linux einige Sicherheitsmechanismen ab. Die Distributionen selbst sind folglich nicht einbruchssicher. Das sollten Sie im Hinterkopf behalten, wenn Sie auf ihnen sensible Daten speichern oder Programme analysieren. Für eine Lernumgebung können Sie diesen Punkt in der Regel vernachlässigen.

Universelle Helfer

Strings

findet Zeichenketten in Binärdateien

Netcat (kurz Nc)

sendet Zeichen an einen Port beziehungsweise eine Netzwerkschnittstelle

Curl

ruft URLs auf, lädt Dateien herunter und sendet Anfragen an Dienste

Base64

dekodiert in Base64 verfasste Texte

Informationen sammeln

Netdiscover

liefert Informationen zum Netzwerk, unter anderem die IP-Adressen von erreichbaren Systemen

Nmap

liefert Informationen über Server und das Netzwerk. Unter anderem entdeckt Nmap offene Ports

Wireshark

schneidet die Netzwerkkommunikation mit. Über das dabei erzeugte Protokoll analysieren Sie etwa in Ruhe die Antworten eines Webservers.

Ettercap

belauscht die Kommunikation zwischen zwei Geräten

Sicherheitslücken und Einfallstore finden

Legion

führt halbautomatisch zahlreiche Sicherheitstests durch

OWAP Zed Attack Proxy (ZAP)

findet heraus, mit welchen Gegenstellen ein Client oder ein Browser spricht und testet die Gegengestellen auf Sicherheitsprobleme. ZAP arbeitet dabei als Proxy, durch den Sie den Netzwerkverkehr des Clients leiten müssen

Wifite2

findet Sicherheitsprobleme im WLAN

Dirb

sucht auf einem Webserver nach erreichbaren Verzeichnissen, indem das Tool passende URLs durchprobiert wie http:///admin oder http:///internal

WPScan

findet Sicherheitslücken in WordPress-Installationen

Nikto und Burp Suite

finden bekannte Sicherheitslücken in Webanwendungen

Sqlmap

klopft Webanwendungen auf SQL-Injection- und ähnlichen Lücken ab

OpenVAS

deckt bekannte Sicherheitslücken auf dem zu untersuchenden System auf (Vulnerability Scanner)

Metasploit

automatisiert Angriffe und führt Exploits auf Sicherheitslücken aus (Vulnerability Scanner und Exploit Framework)

Passwörter finden und knacken

LaZagne

findet alle auf einem System gespeicherte Zugangsdaten und Passwörter

Aircrack-ng

knackt WLAN-Passwörter (WPA-Verschlüsselung)

Hydra

knackt Logins

John The Ripper

knackt Passwörter anhand eines Hashs

Zip2john

extrahiert den Passwort-Hash aus einer verschlüsselten ZIP-Datei für John The Ripper

Beim Pentesting versetzen Sie sich in die Lage eines Hackers, der in ein System einbrechen möchte. Das erfordert ähnliche Fähigkeiten wie bei einer Fehlersuche, bei der man die Ursache nach und nach einkreist. Funktioniert zum Beispiel der direkte Einbruch in den Webserver über den Port 80 nicht, müssen Sie sich einen anderen Weg überlegen und eventuell mehrere Werkzeuge geschickt kombinieren. Genau diese logischen Fähigkeiten lassen sich trainieren.

Das Leben ist ein Quiz

Die Sparringspartner kommen in Form von vorgefertigten virtuellen Maschinen (VMs), die ein absichtlich defektes und mit Sicherheitslücken gespicktes System enthalten. Das Portal VulnHub [6] sammelt solche Maschinen (Abbildung 6) und schreibt gleich noch die Einbruchschwierigkeit dazu. In vielen Fällen ähneln die verwundbaren Maschinen einem der derzeit beliebten Rätselwürfel beziehungsweise einem umgekehrten Escape Room: Um erfolgreich einzubrechen, müssen Sie mehrere aufeinander aufbauende Aufgaben lösen.

Wann Sie eine Teilaufgabe gemeistert haben, erkennen Sie entweder an eindeutigen Hinweisen oder dem Wort Flag. Die Jagd nach diesen Fahnen heißt Capture The Flag. Meist steigt dabei der Schwierigkeitsgrad von Flagge zu Flagge. Einige der VMs erzählen auf diese Weise sogar eine Geschichte, beispielsweise The Wall und Necromancer.

Abbildung 6: Die Basic Pentesting VMs auf VulnHub erlauben erste Einbruchsversuche.

Abbildung 6: Die Basic Pentesting VMs auf VulnHub erlauben erste Einbruchsversuche.

Für den Einstieg ins Pentesting empfehlen sich trotz ihres Alters die VMs Basic Pentesting**1, Basic Pentesting**2 und Metasploitable**2. Das bereits im Jahr 2001 entstandene Open Web Application Security Project (OWASP) sammelt nicht nur häufig auftretende Sicherheitslücken in Webanwendungen, sondern stellt mit dem OWASP Juice Shop [7] einen verwundbaren Onlineshop bereit. Er eignet sich ebenfalls für erste Gehversuche in Sachen Pentesting, liegt aber lediglich im Quellcode und als Docker-Container vor. Für sämtliche genannten VMs warten im Internet fertige Lösungen. Sollten Sie an einer Stelle nicht weiterkommen, finden Sie also schnell passende Hilfe.

Systeme einsperren

Die verwundbaren Maschinen sollten Sie keinesfalls einfach gedankenlos hochfahren. Ihre Sicherheitslücken könnten Dritte ausnutzen und darüber in Ihr echtes Netzwerk eindringen. Starten Sie deswegen die von Ihnen gewählte Pentesting-Distribution in einer VM und hängen Sie sie zusammen mit dem verwundbaren System in ein eigenes abgeschottetes virtuelles Netz. In VirtualBox gelingt das mit wenigen Mausklicks in den Netzwerkeinstellungen.

Diese Betriebsart bringt als angenehmen Nebeneffekt mit sich, dass Sie nicht versehentlich ein echtes System angreifen. Zusätzlich können Sie mit der Virtualisierungslösung Schnappschüsse der beteiligten Systeme anlegen. Mit deren Hilfe können Sie die Systeme später wieder zurücksetzen und so Ihren Einbruch von vorn starten.

Bevor Sie die verwundbare VM attackieren, sollten Sie sich mit Ihrer Pentesting-Distribution vertraut machen. Richten Sie den Desktop nach Ihren Vorlieben ein und finden Sie heraus, mit welchem Passwort Sie Programme mit Root-Rechten starten können. Aktualisieren Sie abschließend außerdem das komplette System. Damit haben Sie sich ein kleines eigenes Pentesting-Labor (englisch Pentesting Lab) geschaffen. Damit können Sie jetzt die verwundbaren Systeme unter die Lupe nehmen.

Wie man dabei in der Praxis im Einzelnen vorgeht, demonstriert ein weiterer Artikel [8] in dieser Ausgabe des Linux-Magazins. In der Kurzfassung: Beschaffen Sie zunächst Informationen über das anzugreifende System. An welchen Ports lauscht der Server, bietet er eine Benutzeroberfläche und vielleicht sogar ein Login? Welche Software läuft in welcher Version auf dem Server? Mit diesem Wissen suchen Sie nach möglichen Sicherheitslücken und versuchen dann, sie aktiv auszunutzen.

Penibler Protokollant

Halten Sie bei Ihrem Angriffen schriftlich genau fest, wie Sie bei Ihren (Trainings-)Einbrüchen vorgegangen sind, welche Lücken Sie ausgenutzt haben und welche Werkzeuge dabei zum Einsatz kamen. Protokollieren Sie insbesondere die von Ihnen abgesetzten Kommandos und ihre Ausgaben. Derlei Aufzeichnungen dienen später als Gedankenstütze, wenn Sie in ähnlichen Situationen erneut ein Pentesting vornehmen. Rutschen wichtige Informationen im Terminal aus dem Blickfeld, können Sie die Daten in den konservierten Ausgaben der Tools nachschlagen. Zudem fungieren die Aufzeichnungen als Protokoll und als Diskussionsgrundlage mit Kollegen oder in Foren im Internet.

Nachdem Sie mehrere verwundbare virtuelle Maschinen geknackt haben, erweitern Sie Ihr Labor sukzessive. Mithilfe der Virtualisierungslösung lassen sich dazu schnell komplexere Netzwerke aufbauen und simulieren. Ihr Labor ergänzen Sie nach und nach passend zu Ihren wachsenden Fähigkeiten, etwa um Firewalls.

Möchten Sie Angriffe über das WLAN einstudieren, brauchen Sie ein Gerät, das Sie über diesen Weg gefahrlos angreifen können. Hier helfen ein ausgemustertes Notebook oder eine Sammlung aus alten Raspberry Pis. Achten Sie aber unbedingt darauf, dass Sie sich bei Ihren Tests in einem eigenen Netz befinden und das richtige Opfer angreifen. Idealerweise sperren Sie alle Geräte in ein eigenes abgeschottetes Netz.

Hacken unter vier Augen

Falls Sie an den defekten Trainings-VMs scheitern oder sich weitere Unterstützung wünschen: Das Pentesting lässt sich in verschiedenen Kursen erlernen, trainieren und vertiefen. Einen Wochenendcrashkurs offerieren beispielsweise die Golem Karrierewelt [9] und die Bitkom Akademie [10]. Auf Konferenzen gibt es ebenfalls regelmäßig Pentesting-Workshops. Ein solcher Kurs besitzt den Vorteil, dass er unter Anleitung stattfindet und Sie Rückfragen stellen können.

Möchten Sie autodidaktisch tiefer in das Pentesting eintauchen, empfiehlt sich ein gutes Buch. Und zwar in Papierform. Den Wälzer können Sie neben Ihren Computer legen und gleichzeitig am Rechner üben. Gleichzeitig sind Sie gezwungen, die Befehle aus dem Buch abzutippen. Genau das brennt die Kommandos besser ins Gedächtnis ein als Copy and Paste am Bildschirm.

Auf dem Markt tummeln sich zahlreiche englischsprachige und deutsche Einführungen in das Pentesting, von denen der Kasten “Lesefutter für Pentester” einige auflistet. Da die richtige Wahl eines Buchs von Ihren Kenntnissen und dem konkreten Einsatzzweck abhängt, können wir hier keine konkrete Empfehlung abgeben. Sofern die Möglichkeit besteht, blättern Sie in einer Bibliothek in Ihrer Nähe durch die Exemplare. Achten Sie darauf, dass das Erscheinungsdatum des von Ihnen gewählten Buchs nicht zu weit zurückliegt. So stellen sie sicher, dass das Werk aktuelle Sicherheitsprobleme und Werkzeuge behandelt.

Lesefutter für Pentester

Während unzählige englische Bücher in das Pentesting einführen, ist deutschsprachige Literatur rar gesät. Einer der wenigen Titel ist:

  • Robert Shimonski, “Penetration Tester werden für Dummies”, Wiley-VCH, 1. Auflage 2022, ISBN 978-3527717941

Meist versteckt sich das Pentesting in Werken über das Hacken oder die Netzwerksicherheit wie in:

  • Eric Amberg und Daniel Schmid, “Hacking – Der umfassende Praxis-Guide”, mitp Professional, 3. Auflage 2024, ISBN 978-3747508718,
  • Michael Kofler et al., “Hacking & Security – Das umfassende Handbuch”, Rheinwerk Computing, 3. Auflage 2022, ISBN 978-3836291644

Infrage kommen zudem Bücher über die Distribution Kali Linux, darunter:

  • Felix Alexa, Konstantin Goretzki und Tobias Scheible, “Kali Linux Hacking-Tools für Dummies”, Wiley-VCH, 1. Auflage 2023, ISBN 978-3527719105
  • Jürgen Ebner, “Einstieg in Kali Linux – Penetration Testing und Ethical Hacking mit Linux”, mitp Professional, 1. Auflage 2023, ISBN 978-3747507346

Wissen erweitern

Die Sicherheitslücken eines Nginx-Webservers können Sie nur gezielt ausnutzen, wenn Sie sie kennen. Dazu müssen Sie sich allerdings auf dem Laufenden halten – etwa mit den Sicherheitsmeldungen auf Linux-Magazin Online. Kritische Sicherheitslücken protokolliert die Datenbank Common Vulnerabilities and Exposures (CVE [11]). Einige Tools greifen auf die CVE (Abbildung 7) zurück oder verweisen auf die Datenbank. Schon aus diesem Grund sollten Sie sich mit ihrem Aufbau und ihren Inhalten vertraut machen. Informieren Sie sich darüber hinaus über das Vorgehen von Cyberkriminellen. Deren Begriffe wie Malware, Trojaner und Rootkit verwenden ebenfalls viele Hacker-Tools.

Abbildung 7: Die CVE-Nummern identifizieren Sicherheitslücken eindeutig und weltweit.

Abbildung 7: Die CVE-Nummern identifizieren Sicherheitslücken eindeutig und weltweit.

Falls Sie nach weiterem Wissen dursten: Jack Halon [12] hat englischsprachige Quellen für (angehende) Pentester zusammengetragen und sie in einer sehr umfangreichen Liste hinterlegt. Vorschläge für ein methodisches Vorgehen sammeln unter anderem MITRE ATT&CK [13] und das bereits erwähnte OWASP (Abbildung 8). Letztgenannte Organisation stellt außerdem Lehrmaterialien bereit und veranstaltet Pentesting-Konferenzen.

Abbildung 8: Das OWASP gibt den verwundbaren Juice Shop heraus und ermittelt die Top 10 der wichtigsten Sicherheitslücken in Webanwendungen.

Abbildung 8: Das OWASP gibt den verwundbaren Juice Shop heraus und ermittelt die Top 10 der wichtigsten Sicherheitslücken in Webanwendungen.

Für etwas geübte Pentester bietet sich schließlich die Teilnahme an Wettbewerben an. Besonders beliebt und lehrreich sind Capture-The-Flag-Events, bei denen die Teilnehmer möglichst schnell vorgegebene Aufgaben lösen müssen. Die Seite ctftime.org [14] führt einen Kalender mit passenden Veranstaltungen. Im VulnHub finden Sie übrigens einige virtuelle Maschinen, die in vorherigen CTF-Wettbewerben (Abbildung 9) zum Einsatz kamen.

Abbildung 9: Die Website CTFTime sammelt die weltweit anstehenden CTF-Wettbewerbe und ihre Ergebnisse.

Abbildung 9: Die Website CTFTime sammelt die weltweit anstehenden CTF-Wettbewerbe und ihre Ergebnisse.

Fazit

Ein einziges Tool, das automatisch einen Pentest erledigt, existiert nicht. Stattdessen müssen Sie sich sukzessive mit mehreren verschiedenen Werkzeugen langsam vortasten. Das wiederum setzt technische Kenntnisse, ein strategisches Vorgehen und vor allem Erfahrung voraus. Pentester kommen daher um praktische Übung nicht herum.

Was nach Arbeit klingt, macht Dank clever gestalteter Trainings-VMs eine Menge Spaß. Ergänzend stocken Kurse und Literatur das Wissen auf. Achten Sie bei Ihren Einbrüchen in jedem Fall auf die rechtlichen Vorgaben – und dass Sie gerade das richtige System testen. (csi)

Infos

  1. Kali Linux: https://www.kali.org/
  2. Parrot: https://www.parrotsec.org/
  3. BackBox: https://www.backbox.org/
  4. BlackArch: https://blackarch.org/
  5. Network Security Toolkit (NST): https://www.networksecuritytoolkit.org/nst/index.html
  6. VulnHub: https://www.vulnhub.com/
  7. OWASP Juice Shop: https://owasp.org/www-project-juice-shop/
  8. Pentesting Praxis: Tim Schürmann, “Voll im Saft”, LM 06/2025, S. 30, https://www.lm-online.de/52121
  9. Golem Karrierewelt: Penetration Testing Fundamentals – virtueller Zwei-Tage-Workshop: https://karrierewelt.golem.de/products/penetration-testing-fundamentals
  10. Bitkom Akademie: https://bitkom-akademie.de/workshop/ethical-hacking-pentesting
  11. CVE: https://www.cve.org/
  12. “So You Want To Work in Cyber Security?”: https://jhalon.github.io/breaking-into-cyber-security/
  13. MITRE ATT&CK: https://attack.mitre.org/
  14. CTFTime: https://ctftime.org/
DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 6 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben