[codejump]

Hey !
pour ceux ou celles qui aurais des questions sur kali linux ( comme moi ^^ ) poster ici.
déjà première question vous en pensez quoi ?

[sfxo]

Salut,

C'est une version avec plein d'outils spécialisés déjà installé pour tester la sécurité d'un réseau.

Basé sur une DEBIAN, elle a l'air d'être une référence en la matière.
Débutant en matière de sécurité, c'est celle que j'utilise pour mes tests 

Pour l'instant, j'en suis satisfait.

[codejump]

Oui c'est aussi ce que j'utilise en ce moment ( depuis 1 semaine ) ^^
pourrais-tu m'en (nous) en dire plus sur les outils que tu utilise stp ( vue que je suis débutant ahah ) ?
parce-que je n'ai vue que "sqlmap" pour l’instant.

[the lsd]

Si vous voulez mon avis, Kali est un bon outil, pas un bon OS. Je ne le conseille pas en tant qu'OS pour du daily use.
Typiquement, je suis en train de me faire une partition Linux Mint customisée avec les dépots Kali. Comme ça, j'ai un linux propre avec les tools kivonbien.
Accessoirement, une bonne partie des tools mis sur Kali sont utilisables (ou ont des équivalents) sur du windows, donc Kali n'est pas forcément obligatoire.

Concernant les softs en eux mêmes, ils permettent pas mal de choses (réseau comme l'a dit sfxo, mais pas que), il y a de l'attaque web, réseau externe/interne, metasploit, wifi/ondes, etc.
Après, un outil ne fait pas tout. Ce n'est pas parce que j'ai une grue que je vais pouvoir reconstruire le world trade center. Il faut déjà comprendre le fonctionnement des attaques utilisées par les-dits outils avant de les utiliser. Et quand on a compris le fonctionnement d'une attaque... on a plus besoin de l'outil, vu qu'on peut le faire soi même (bon, j'exagère un peu, OK).

Les tools que j'utilise personnellement sont surtout ceux pour le réseau (MITM, nmap, ce genre là), ça reste plus rapide de les utiliser que de les recoder. Pour le reste, c'est du scripting home made.

Enjoy

The lsd

[codejump]

Oui je suis aussi de cet avis en ce qui concerne l'OS,

et oui c'est claire que on gagne du temps mais comme dirais un certain IceF0x "Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman."
^^
après c'est intéressant aussi de savoir l'utilisé

[philippe_]

Bonjour!
Alors, si je peux me permettre:
Débutant également dans les tests d'intrusion et sécurité info (1 an d'XP); je ne l'ai que rarement utilisé.
Je travaille sur une Debian testing, virtualbox pour embarquer un Win7 (parce qu'il faut pouvoir s'adapter à tous les cas rencontrés en audit).
J'ai également une Kali en VM. J'aime bien l'idée de l'avoir sous la main si jamais il me manquait un outil. Mais c'est plus par peur de manquer d'un truc qu'objectivement par nécessité pure lors des tests d'intrusion/audit.
Je rejoins the lsd: il y a très souvent nécessité de bien comprendre certaines attaques et ensuite de décider si les outils existant sont effectivement les plus adaptés (2/3 des cas, sachant que si on comprend bien, on peut le recoder, mais ça réinvente aussi la roue) ou s'il faut les recoder (1/3 des cas).
Après, en ce qui concerne les logiciels libres/propriétaires, j'ai adoré le libre il y a quelques temps, j'en suis partiellement revenu. Il faut en test d'intrusion des outils qui marchent dans un temps contraint, pas toujours possible de passer le temps pour le recoder chez le client, c'est trop tard. Et puis bon, connaitre la recette, c'est sympa, mais personne ne le fait en pratique: il n'y a qu'à penser à openssl pour s'en rendre compte.

[codejump]

Donc Kali linux a quoi de plus que les autres ?
après c'est vrais que c'est intéressante de les recoder mais faut avoir le niveau et parfois on a pas forcément le temps, donc le temps d'apprendre ce qu'il faut tu a un petit exemple de ce que sa doit donné a la fin
mais je rejoins également the lsd.

[the lsd]

Bonjour!
Alors, si je peux me permettre:
Débutant également dans les tests d'intrusion et sécurité info (1 an d'XP); je ne l'ai que rarement utilisé.
Je travaille sur une Debian testing, virtualbox pour embarquer un Win7 (parce qu'il faut pouvoir s'adapter à tous les cas rencontrés en audit).
J'ai également une Kali en VM. J'aime bien l'idée de l'avoir sous la main si jamais il me manquait un outil. Mais c'est plus par peur de manquer d'un truc qu'objectivement par nécessité pure lors des tests d'intrusion/audit.
Je rejoins the lsd: il y a très souvent nécessité de bien comprendre certaines attaques et ensuite de décider si les outils existant sont effectivement les plus adaptés (2/3 des cas, sachant que si on comprend bien, on peut le recoder, mais ça réinvente aussi la roue) ou s'il faut les recoder (1/3 des cas).
Après, en ce qui concerne les logiciels libres/propriétaires, j'ai adoré le libre il y a quelques temps, j'en suis partiellement revenu. Il faut en test d'intrusion des outils qui marchent dans un temps contraint, pas toujours possible de passer le temps pour le recoder chez le client, c'est trop tard. Et puis bon, connaitre la recette, c'est sympa, mais personne ne le fait en pratique: il n'y a qu'à penser à openssl pour s'en rendre compte.

<3

Même constat. Quand on a 5 jours pour faire u n pentest, on prend le tool kivabien, osef qu'il soit libre ou pas.
Pour la partie tests en soi, j'utilise également assez peu kali. J'ai une VM qui traine sur un ESX, que j'utilise quand j'ai vraiment rien sur mon win, ça suffit la plupart du temps. Au pire un live CD si besoin est. Une grande partie des tools sont des scripts perl/python/ruby/whatever qu'on peut lancer sans problème sur win.

Bon, là, nouveau laptop, donc je fais les choses bien, une partition win, une nux, histoire d'avoir la persistance des données et de pas avoir à lancer une VM pour récupérer des vieux scripts/fichiers/whatever. Mais bon, mon nux est un Linux Mint sur lequel je vais juste installer certains outils kali (typiquement, la partie 3G/radio, j'ai ni les missions, ni le matos, ni les compétences), et surtout, ce Mint me servira pour du daily use, donc pour d'autres choses que le pentest.

Donc Kali linux a quoi de plus que les autres ?
après c'est vrais que c'est intéressante de les recoder mais faut avoir le niveau et parfois on a pas forcément le temps, donc le temps d'apprendre ce qu'il faut tu a un petit exemple de ce que sa doit donné a la fin
mais je rejoins également the lsd.

En soi, l'intéret de Kali, c'est juste d'avoir un bundle d'outils déjà compilés/installés/testés. C'est pratique quand tu cherches un soft que tu connais pas, t'as juste à matter les tools installés pour voir si un d'eux correspond.

Pour la partie coding, j'ai envie de dire que quand tu fais du pentest, t'es passionné par l'info, tu tombes pas dedans par hasard, donc t'aimes bien passer tes soirées à coder un **No slang** de code en C qui te fera pile ce que tu veux, code que tu réutilisera pour le taf plus tard Le niveau, il vient tout seul, au fil du temps.

Enjoy

The lsd

[MrMcBurger]

Hello,

N'ayant jamais utilisé une Kali, je suis interessé par les raisons qui te poussent à dire qu'il est pas adapté à du "Daily use".

Merci !

[pixis]

Parce que ce qu'il n'a pas été créé pour du daily use. C'est plus un outil qu'autre chose. Il n'y a que le root user par défaut, ce qui peut être dangereux car on peut faire des bêtises très vite, sans filet de protection.

Bien sûr, il est possible de modifier Kali pour le rendre plus "daily-use-friendly" mais ce n'est pas son but, à l'origine.

Les solutions sont la VM, le dual boot, ou même sur un HDD externes que tu peux plug sur n'importe quel machine qui autorise le boot depuis un HDD.

[the lsd]

Hello,

N'ayant jamais utilisé une Kali, je suis interessé par les raisons qui te poussent à dire qu'il est pas adapté à du "Daily use".

Merci !

C'est pas parce qu'on est militaire qu'on se balade avec un lance roquette toute la journée sur soi, on en prend un quand on est en mission

Plus sérieusement, Pixis a bien résumé, rien que le root/toor par défaut ça montre que ce n'es pas fait pour de l'utilisation quotidienne.
De plus, un des avantages de linux c'est qu'il y a plein de distros, avec plein d'environnements graphiques. Si tu prend Kali, tu es forcément limité à Debian like avec un seul environnement graphique (par défaut j'entend, évidemment, on peut le changer), mais du coup, on perd la souplesse d'avoir LE nux qui nous convient.

Typiquement, j'aime pas la GUI de base de Kali, elle est tout moche, et j'ai pas envie de me faire chier à installer une autre GUI, de modifier mon kernel parce que c'est pas le bon, etc etc. Je préfère largement installer ma propre distro, qui me convient totalement, et télécharger les paquets dont j'ai besoin (parce qu'encore une fois, plein de tools ne me sont pas utiles sur Kali)

Enjoy

The lsd

[MrMcBurger]

Hello,

N'ayant jamais utilisé une Kali, je suis interessé par les raisons qui te poussent à dire qu'il est pas adapté à du "Daily use".

Merci !

C'est pas parce qu'on est militaire qu'on se balade avec un lance roquette toute la journée sur soi, on en prend un quand on est en mission

Plus sérieusement, Pixis a bien résumé, rien que le root/toor par défaut ça montre que ce n'es pas fait pour de l'utilisation quotidienne.
De plus, un des avantages de linux c'est qu'il y a plein de distros, avec plein d'environnements graphiques. Si tu prend Kali, tu es forcément limité à Debian like avec un seul environnement graphique (par défaut j'entend, évidemment, on peut le changer), mais du coup, on perd la souplesse d'avoir LE nux qui nous convient.

Typiquement, j'aime pas la GUI de base de Kali, elle est tout moche, et j'ai pas envie de me faire chier à installer une autre GUI, de modifier mon kernel parce que c'est pas le bon, etc etc. Je préfère largement installer ma propre distro, qui me convient totalement, et télécharger les paquets dont j'ai besoin (parce qu'encore une fois, plein de tools ne me sont pas utiles sur Kali)

Enjoy

The lsd

Je suis assez d'accord pour le root/toor, bon après c'est pas très compliqué de rajouter des comptes utilisateurs.
Par contre au niveau de l'environnement graphique ça me semble être le cas de pleins de distros de bases, et si on veut avoir le choix entre gnome3, unity, openbox, awesome et compagnie sans environnement de base alors on part sur du archlinux ou gentoo par ex. Mais bon pour autant je considère pas que archlinux sera spécialement mieux pour du daily use qu'une debian par ex, ça dépend du profil utilisateur.

[the lsd]

Je suis assez d'accord pour le root/toor, bon après c'est pas très compliqué de rajouter des comptes utilisateurs.
Par contre au niveau de l'environnement graphique ça me semble être le cas de pleins de distros de bases, et si on veut avoir le choix entre gnome3, unity, openbox, awesome et compagnie sans environnement de base alors on part sur du archlinux ou gentoo par ex. Mais bon pour autant je considère pas que archlinux sera spécialement mieux pour du daily use qu'une debian par ex, ça dépend du profil utilisateur.

J'ai pas dit que root/toor c'était pas changeable :p

Pour le coup environnement graphique, je suis pas expert linux, mais j'ai l'impression que de plus en plus de distros proposent de télécharger des versions avec différentes GUI. Après, j'ai parlé de GUI parce que c'est un exemple parlant, mais on peut faire le même exercice avec d'autres parties (kernel, packages pré installés, etc).

Ça tombe bien que tu parles de profil utilisateur, puisque du coup, on arrive à la même conclusion ("on perd la souplesse d'avoir LE nux qui nous convient")

Enjoy

The lsd

[m4Th]

bonjour tout le monde kali c est super bien la je commence seulement a utiliser la 2.0 je regrette quand meme l'epoque Bt3 

[virus00x]

il faut que tu saches comment utiliser car il est un grand OS that should be used in the correct way it's very helpful