Umfassende Pentest-Referenz.

Standard-Tool pro Aufgabe

• Port-Discovery. nmap für Präzision, masscan zuerst wenn der IP-Bereich >/22 ist, um Timing zu begrenzen.
• Web-Content-Discovery. ffuf mit getunter Wordlist (SecLists raft-large als Standard), katana für JS-gerenderte Routen, waybackurls für historische Pfade.
• Web-Vuln-Scan. nuclei mit dem öffentlichen Template-Baum, scoped auf fingerprintete Tech. Niemals den vollen Baum blind laufen lassen.
• Authentifizierungs-Missbrauch. hydra für Service-Brute-Force, kerbrute für AD-Username-Enum und Password-Spray, CrackMapExec für SMB/LDAP/MSSQL.
• Web-Exploitation. Burp Suite für manuell, sqlmap für bestätigte SQLi-Extraktion.
• Post-Exploitation. impacket-Suite (secretsdump, wmiexec, smbexec) auf Linux-Ops-Boxen; Rubeus + SharpHound auf Windows-Footholds.

Merkenswerte Schwachstellenklassen

OWASP Top 10 deckt die volumenstärksten Klassen. Nicht-OWASP-Klassen, die in echten Engagements wiederkehren:

• Untrusted Deserialization. Java (ysoserial-Gadgets), .NET (ysoserial.net), Python pickle, PHP unserialize.
• SSRF-Ketten. Cloud-Metadata (169.254.169.254), internes Redis, gopher:// für Protokoll-Smuggling.
• JWT-Confusion. alg: none, HS256 signiert mit RSA-Public-Key, Key-ID-Directory-Traversal.
• Race Conditions. Single-Request-Multi-Packet (RFC 7230 §3.3.3), Business-Logic-Fenster bei Geld-Bewegungen.
• Server-Side Template Injection. Jinja2, Twig, Velocity, FreeMarker — pro Engine eigene Payload-Syntax.

Banner → erste CVE-Cluster

• Apache HTTPD < 2.4.50. CVE-2021-41773 Path-Traversal; sofortiger Win wenn mod-cgi aktiv.
• Atlassian Confluence. CVE-2022-26134 OGNL-Injection auf jedem Confluence vor 7.18.
• Microsoft Exchange. ProxyShell (CVE-2021-34473 ff.), ProxyNotShell (CVE-2022-41040 + 41082).
• VMware vCenter. Log4Shell-Vektoren auf Pre-Patch-Builds; vSphere-Client-SSRF.
• Citrix NetScaler/Gateway. CVE-2023-3519 unauthentifizierte RCE auf internetzugänglichen Instanzen.
• Ivanti Connect Secure. CVE-2024-21887 + 46805 Auth-Bypass + Command-Injection.