武器级工具包 Immunity Canvas 7.26 泄露版本ubuntu安装

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
资源分享467,1151字数 919阅读3分3秒阅读模式
AI智能摘要
想亲手掌握480多个漏洞利用的"武器级"渗透利器?Immunity CANVAS 7.26泄露源码意外流出,这份Ubuntu实战安装指南为你揭秘!作为商业级渗透测试工具,它专攻漏洞利用与IDS检测,却因2021年完整源码泄露可免费部署。本文直击安装痛点:避开pygame版本陷阱、加速国外资源下载,手把手教你用15行命令在kali虚拟机中激活工具。安全研究员必备的实战方案,从此高效验证系统防御漏洞,告别理论空谈——即刻解锁渗透测试新维度!
— AI 生成的文章内容摘要

Immunity CANVAS是Immunity公司的一款商业级漏洞利用和渗透测试工具,包含了480多个以上的漏洞利用,该工具并不开源,其中文版介绍如下:

“Canvas是ImmunitySec出品的一款安全漏洞检测工具。它包含几百个以上的漏洞利用。对于渗透测试人员来说,Canvas是比较专业的安全漏洞利用工具。Canvas 也常被用于对IDS和IPS的检测能力的测试。Canvas目前已经使用超过700个的漏洞利用,在兼容性设计也比较好,可以使用其它团队研发的漏洞利用工具,例如使用Gleg, Ltd’s VulnDisco 、 the Argeniss Ultimate0day 漏洞利用包。”

泄露事件

2021年03月02日,Twitter上一位安全研究员披露了Immunity CANVAS 7.26工具源码包泄露事件

武器级工具包 Immunity Canvas 7.26 泄露版本ubuntu安装-图片1

经过评估,本次泄露事件是该工具的完整源码,可在Windows及linux平台直接安装使用

源码随后在网络上大量传播

泄露代码目录

武器级工具包 Immunity Canvas 7.26 泄露版本ubuntu安装-图片2

根据目录名我们可以大致推断其用途,如backdoors存放后门文件,exploits存放漏洞攻击组件等

安装

工具包提供了Windows与linux安装方式 ,处于安全考虑,我将此工具包安装在虚拟机上的kali中,工具包提供了Linux的安装与使用方式:

Pre Requests for installing Canvas: (tested setup) Ubuntu 18.04 (updated but not upgraded) Copy Canvas.zip to Linux PC Unzip it to working folder.  Run command as root: sudo apt-get update sudo apt-get -y install python-pip sudo apt-get -y install gtk2.0 sudo apt-get -y install python-glade2 sudo apt-get -y install python-nacl python-bcrypt sudo pip install pycrypto sudo pip install pyasn1 sudo pip install diskcache==4.1.0 sudo pip install asn1tools sudo apt-get install -y python-pycurl sudo apt-get install -y libcanberra-gtk-module sudo pip install pycurl sudo pip install requests sudo pip install pygame  Go to CANVAS folder, then run: sudo bash CANVAS/installer/linux_installer.sh  Setup is finished Executing:  sudo python CANVAS/runcanvas.py  You are breathtaking!  

依次安装依赖:

sudo apt-get update sudo apt-get -y install python-pip sudo apt-get -y install gtk2.0 sudo apt-get -y install python-glade2 sudo apt-get -y install python-nacl python-bcrypt sudo pip install pycrypto sudo pip install pyasn1 sudo pip install diskcache==4.1.0 sudo pip install asn1tools sudo apt-get install -y python-pycurl sudo apt-get install -y libcanberra-gtk-module sudo pip install pycurl sudo pip install requests sudo pip install pygame 

然后cd进源码目录运行installer/linux_installer.sh

sudo bash CANVAS/installer/linux_installer.sh 

安装完成

安装时的几个坑

一个是pygame要安装1.9系列版本的,但是安装说明中并未指定版本,如果使用2.x最新版本将无法启动并报错

解决方案:

sudo pip uninstall pygame sudo pip install pygame==1.9.6 

再者linux_installer.sh中有好多资源是国外的非常慢

linux_installer.sh的第185行上:

URLs=(["https://download.gnome.org/sources/pygtk/2.24/pygtk-2.24.0.tar.bz2"]="cd1c1ea265bd63ff669e92a2d3c2a88eb26bcd9e5363e0f82c896e649f206912"           ["https://ftp.gnome.org/pub/GNOME/sources/pygobject/2.28/pygobject-2.28.7.tar.xz"]="bb9d25a3442ca7511385a7c01b057492095c263784ef31231ffe589d83a96a5a"           ["https://cairographics.org/releases/py2cairo-1.10.0.tar.bz2"]="d30439f06c2ec1a39e27464c6c828b6eface3b22ee17b2de05dc409e429a7431"           ["http://archive.ubuntu.com/ubuntu/pool/universe/v/vte/vte_0.28.2.orig.tar.xz"]="86cf0b81aa023fa93ed415653d51c96767f20b2d7334c893caba71e42654b0ae"           ["http://archive.ubuntu.com/ubuntu/pool/universe/v/vte/vte_0.28.2-5ubuntu4.debian.tar.xz"]="f50ead3db07cf55a6ecd7ecd732aa5404d980b8acc20bba5d2303417f74e41ce"           ["https://ftp.gnome.org/pub/GNOME/sources/libglade/2.6/libglade-2.6.4.tar.bz2"]="64361e7647839d36ed8336d992fd210d3e8139882269bed47dc4674980165dec"          )  

在下载时由于太慢会导致timeout从而致使整个脚本停止,可以先下到自己的服务器上,再替换其中的url,这样就不会导致脚本中断

运行

运行sudo python runcanvas.py开启

武器级工具包 Immunity Canvas 7.26 泄露版本ubuntu安装-图片3

下载链接:

复制这段内容后打开百度网盘App,操作更方便哦。
链接:https://pan.baidu.com/s/1SC7kdjNsoMVB4tfl4txKBQ
提取码:0iE2

压缩包解压密码 base64_decode("aGFja2VyMTk2MQ==")

https://www.freebuf.com/sectool/265328.html

 
枫少@KillBoy
  • it2021
  • it2021.com
  • kali
  • linux
  • 渗透测试
  • 渗透测试工具
  • 漏洞利用
  • 漏洞利用工具
  • 漏洞检测
评论  46  访客  46
    • 安心小熊
      安心小熊 0

      这工具包真能跑起来?我上次装pygame就卡死了

      • 初雪微甜
        初雪微甜 1

        pygame必须1.9.6,血泪教训,别用2.x

          • 雾灵使者
            雾灵使者 1

            @ 初雪微甜 确实,2.x直接崩,回滚到1.9.6才稳。

          • 魔龙降临
            魔龙降临 1

            求问在Ubuntu 20.04上能装吗?依赖会不会冲突

            • Veilwhisper
              Veilwhisper 1

              刚试了,下载pygtk那步直接timeout,国外源太慢了

                • 染匠徐
                  染匠徐 0

                  @ Veilwhisper 可以先在本地下载好pygtk再离线安装,或者换成国内镜像,速度快多了。

                • 玉衡生
                  玉衡生 0

                  后门模块都有啥?有点好奇但不敢乱点

                    • 麦芽呼呼
                      麦芽呼呼 0

                      @ 玉衡生 后门里常见的是reverse shell和bind shell,别随便执行,最好先审计源码。

                    • 旅途的光
                      旅途的光 0

                      解压密码是hacker1961吧,base64解出来就是这个

                      • 深渊者
                        深渊者 0

                        这种泄露版用着心里发毛,谁知道有没有被下料🤔

                        • 冥界领主
                          冥界领主 0

                          安装脚本里那些tar.xz能不能打包成国内镜像啊

                            • SteelMill
                              SteelMill 0

                              @ 冥界领主 脚本里的URL可以自己改成国内能访问的,不然一直卡住。

                            • 雾境行者
                              雾境行者 0

                              前几天刚搞完这个,确实折腾了好久,最后还是kali跑通的

                              • 长歌入梦
                                长歌入梦 1

                                vte_0.28.2那俩debian包现在archive都404了,咋整?

                                • 星星女孩
                                  星星女孩 0

                                  这工具真香,直接跑起来。

                                  • 蜜桃奶昔
                                    蜜桃奶昔 0

                                    依赖挺多,装着麻烦。

                                    • 虚空绘梦者
                                      虚空绘梦者 0

                                      pygame装不对老是报错。

                                      • 数据预言家
                                        数据预言家 1

                                        泄露版用着心里发毛,别轻易信。

                                        • 豹步疾风
                                          豹步疾风 1

                                          我上次也装了,折腾了整整一天。

                                          • 尘外客
                                            尘外客 1

                                            官方文档里没提到pygame版本,这坑真是血泪教训,1.9.6才行 👍

                                            • 兴奋的雷
                                              兴奋的雷 0

                                              把installer里所有国外URL换成本地镜像,下载速度会提升不少,建议提前准备。

                                              • 夜语停
                                                夜语停 0

                                                Ubuntu 22.04上还能直接用这个脚本吗?依赖会不会冲突?

                                                • 机敏的兔子
                                                  机敏的兔子 1

                                                  如果pygtk一直timeout,有没有离线包可以手动装?或者改用国内源会不会更稳?

                                                    • Roundabout
                                                      Roundabout 0

                                                      @ 机敏的兔子 有离线包的,去gnome官网历史版本里翻翻,手动装就行。

                                                    • 风铃草语
                                                      风铃草语 0

                                                      有人说泄露版可能被植入后门,其实大多数文件都是官方源码,唯一需要警惕的是自行编译时的环境,最好在隔离的VM里跑,别在生产机器上直接使用。

                                                      • 糖豆宝宝
                                                        糖豆宝宝 0

                                                        Ubuntu 20.04实测可以,但得手动处理几个包冲突。

                                                        • 拓扑梦境
                                                          拓扑梦境 0

                                                          pygame版本这坑踩过,装完2.x死活起不来,换成1.9.6秒开。

                                                          • 纳米造物主
                                                            纳米造物主 0

                                                            这种工具还是放虚拟机里玩吧,出问题也好恢复。

                                                            • 打盹的菠萝
                                                              打盹的菠萝 0

                                                              国内镜像源试了不行,那些包太老,最后还是自己找离线包传上去的。

                                                              • 星辉璀璨
                                                                星辉璀璨 0

                                                                有现成的Docker镜像就好了,省得折腾依赖。

                                                                • 幻象编织者
                                                                  幻象编织者 0

                                                                  跑起来了,功能确实多,就是界面有点复古。

                                                                  • 锦鲤
                                                                    锦鲤 0

                                                                    装是装上了,但感觉这版本有点老了,好多新漏洞没有吧?

                                                                    • 坚韧的竹子
                                                                      坚韧的竹子 0

                                                                      求问,这个和Metasploit比起来优势在哪?

                                                                      • 热闹小精灵
                                                                        热闹小精灵 0

                                                                        之前用kali装没这么多破事,ubuntu事真多。

                                                                        • 甜甜圈圈
                                                                          甜甜圈圈 1

                                                                          解压密码直接给明文多好,还base64一下。

                                                                            • 远方的脚印
                                                                              远方的脚印 0

                                                                              @ 甜甜圈圈 base64一下可能就是不想直接明文放出来,习惯性操作。

                                                                            • 清子
                                                                              清子 0

                                                                              pygame版本那步确实坑,我装2.x也报错,换成1.9.6就好了。

                                                                              • 幽冥追猎者
                                                                                幽冥追猎者 1

                                                                                国内镜像源好像不行,那些包太老了,得自己找离线包。

                                                                                • 废土幽灵
                                                                                  废土幽灵 1

                                                                                  这东西只能在虚拟机里玩吧,放真机上太危险了。

                                                                                  • 超维空间
                                                                                    超维空间 0

                                                                                    界面是挺老的,不过功能好像还挺全的。

                                                                                    • Ruby红
                                                                                      Ruby红 1

                                                                                      网盘链接好像挂了?

                                                                                        • 龙飞凤舞
                                                                                          龙飞凤舞 1

                                                                                          @ Ruby红 链接失效,同求补档

                                                                                        • 许珀里翁
                                                                                          许珀里翁 1

                                                                                          依赖包装到一半就卡住了,真头疼。

                                                                                            • 金色凤凰
                                                                                              金色凤凰 1

                                                                                              @ 许珀里翁 装这玩意儿就是折腾人

                                                                                            • 三岔口夜
                                                                                              三岔口夜 1

                                                                                              装好了,但界面有点复古啊

                                                                                                • 星环漫溯
                                                                                                  星环漫溯 1

                                                                                                  @ 三岔口夜 老工具了,界面是这样的

                                                                                              匿名

                                                                                              发表评论

                                                                                              匿名网友

                                                                                              拖动滑块以完成验证