Tool Penetration Testing: Guida Completa per Fase di Attacco"
Tutti i tool offensivi per il penetration testing organizzati per fase di attacco: recon, exploitation, post-exploitation, pivoting, AD. Con attack chain reali per CTF, OSCP, OSEP e red team.
- Pubblicato il 2026-06-10
- Tempo di lettura: 9 min
Questa guida raccoglie tutti i tool offensivi usati nel penetration testing, organizzati per fase di attacco — non in ordine alfabetico. Dalla recon OSINT all’exploitation, dal lateral movement AD al pivoting su reti segmentate. Ogni tool ha il suo contesto, il suo momento, il suo caso d’uso reale. Ogni fase di un penetration test ha i suoi strumenti. Nmap non serve a nulla se non sai leggere l’output. Mimikatz non funziona senza i privilegi giusti. BloodHound è inutile se non hai prima enumerato il dominio. La scelta del tool sbagliato nel momento sbagliato è la causa principale di engagement falliti e lab non completati.
Il riferimento operativo per chi prepara OSCP, OSEP, lavora su HTB o esegue red team engagement. Per i servizi esposti su ogni porta e i relativi vettori, consulta la Guida Completa alle Porte TCP/UDP nel Penetration Testing.
Recon → Scanning → Enumeration → Exploitation → Post-Exploitation → Pivoting → ExfiltrationTop Offensive Toolkit 80/20 #
Se stai iniziando o prepari OSCP, questi sono i 10 tool che coprono l'80% dei casi reali. Imparali prima di tutto il resto.
| # | Tool | Perché è essenziale |
|---|---|---|
| 1 | Nmap | Port scan, version detection, NSE — tutto parte da qui |
| 2 | Burp Suite | Intercept e test vulnerabilità web — insostituibile |
| 3 | BloodHound | Attack path AD — ti mostra il percorso verso Domain Admin |
| 4 | NetExec | Enumerazione e lateral movement Windows — standard attuale |
| 5 | Impacket | Toolkit Python AD — SMB, Kerberos, DCSync, WMI |
| 6 | Responder | NTLM hash capture automatico su LAN — instant win |
| 7 | FFUF | Web fuzzing veloce — directory, parametri, vhost |
| 8 | Mimikatz | Dump credenziali Windows — NTLM, Kerberos, DPAPI |
| 9 | LinPEAS | Enumera tutto su Linux — privesc in automatico |
| 10 | Hydra | Brute force multi-protocollo — SSH, FTP, HTTP, SMB |
NetExec vs CrackMapExec: NetExec è il fork attivo di CrackMapExec, sviluppato dalla community dopo l’abbandono del progetto originale. Stessa sintassi base, ma NetExec è più aggiornato. Usa NetExec per nuovi engagement, CME se segui documentazione che lo referenzia.
Indice #
- Recon & OSINT
- Network Scanning & Discovery
- Web Application Testing
- Exploitation
- Brute Force & Credenziali
- Active Directory & Windows
- Linux Post-Exploitation & PrivEsc
- Pivoting & Tunneling
- Sniffing & MITM
- Social Engineering & Phishing
- Cloud & Infrastructure
- LOLBins & Tool Nativi Windows
- Attack Chains Reali
- Hub correlati
Recon & OSINT #
Prima di toccare il target, raccogli tutto quello che puoi da fonti pubbliche. Subdomini, email, tecnologie, dipendenti, infrastruttura cloud — tutto quello che riduce il rumore nella fase successiva e aumenta la tua attack surface conosciuta.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| Amass | Enumerazione subdomini passiva e attiva, ASN mapping | Amass |
| Aquatone | Screenshot automatico di tutti i subdomini trovati | Aquatone |
| Assetfinder | Discovery rapido subdomini da fonti OSINT | Assetfinder |
| Eyewitness | Screenshot + report visivo di servizi web e RDP | Eyewitness |
| FOCA | Metadati da documenti pubblici, info su dominio e utenti | FOCA |
| Gitrob | Ricerca segreti e credenziali in repository GitHub pubblici | Gitrob |
| HostRecon | Recon rapido su host singolo, tecnologie e servizi | HostRecon |
| HTTPX | Probe HTTP veloce su lista di host, status code e tech stack | HTTPX |
| Maltego | Grafo OSINT visuale — relazioni tra entità, email, IP, domini | Maltego |
| Recon-ng | Framework OSINT modulare, simile a Metasploit per la recon | Recon-ng |
| ReconSpider | OSINT automatizzato multi-fonte su target specifico | ReconSpider |
| Shodan | Motore di ricerca per device esposti — IoT, ICS, servizi | Shodan |
| SpiderFoot | OSINT automatizzato, scanning passivo su dominio/IP | SpiderFoot |
| Subfinder | Discovery subdomini veloce con certificate transparency | Subfinder |
| theHarvester | Email, subdomini, nomi da motori di ricerca e OSINT | theHarvester |
| Wappalyzer | Identificazione tecnologie web — CMS, framework, librerie | Wappalyzer |
| WaybackURLs | URL storici da Wayback Machine — endpoint nascosti, parametri | WaybackURLs |
| WhatWeb | Fingerprinting tecnologie web da CLI | WhatWeb |
Network Scanning & Discovery #
Identificato il perimetro OSINT, mappi l’infrastruttura. L’obiettivo è trovare tutti gli host attivi, tutte le porte aperte, tutti i servizi esposti. Nmap è il centro — gli altri lo affiancano per velocità o protocolli specifici.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| Nmap | Port scan, version detection, NSE scripts — lo standard | Nmap |
| Masscan | Port scan ad alta velocità su subnet grandi | Masscan |
| Arp-scan | Discovery host su LAN via ARP — più affidabile di ping sweep | Arp-scan |
| Netdiscover | Host discovery ARP passivo e attivo su rete locale | Netdiscover |
| Ping | ICMP echo — host discovery base, TTL fingerprinting OS | Ping |
| Nbtscan | Scan NetBIOS su rete — hostname, dominio, MAC address | Nbtscan |
| NBTSScan | Alternativa nbtscan per enumeration NetBIOS | NBTSScan |
| RPCinfo | Enumera servizi RPC registrati — NFS, NIS, portmapper | RPCinfo |
| Showmount | Lista NFS share esportati — prerequisito per mount anonimo | Showmount |
| SNMP-check | Enumera info SNMP — utenti, processi, routing table | SNMP-check |
| SNMPwalk | Dump completo MIB via SNMP — config device, credenziali | SNMPwalk |
Web Application Testing #
Trovati i servizi web, testi ogni superficie: directory nascoste, parametri vulnerabili, injection points, autenticazione debole. Il combo FFUF + Burp Suite copre il 90% dei casi.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| Burp Suite | Proxy intercept, scanner vuln web, fuzzer — il centrale | Burp Suite |
| FFUF | Fuzzing web veloce — directory, parametri, vhost, LFI | FFUF |
| Feroxbuster | Directory brute force ricorsivo con multi-threading | Feroxbuster |
| Gobuster | Directory e DNS brute force — veloce su target singolo | Gobuster |
| Dirsearch | Directory scan con wordlist, filtri su status code | Dirsearch |
| Nikto | Web server scan automatico — misconfig, header, CVE noti | Nikto |
| OWASP ZAP | Scanner DAST open source, alternativa a Burp Suite | OWASP ZAP |
| Nuclei | Template-based vulnerability scanner — CVE, misconfiguration | Nuclei |
| Arjun | Parameter discovery — trova parametri GET/POST nascosti | Arjun |
| Commix | Command injection automatizzato — trova e sfrutta OS injection | Commix |
| SQLmap | SQL injection automatizzata — dump DB, OS shell, file read | SQLmap |
| SearchSploit | Ricerca exploit in ExploitDB locale — offline, veloce | SearchSploit |
| JWT | Analisi e attacco JSON Web Token — alg:none, weak secret | JWT |
Exploitation #
Identificata la vulnerabilità, passi all’exploitation. Metasploit gestisce i casi standardizzati. Per vulnerabilità custom o ambienti hardened, combini SearchSploit con exploit manuali e PoC pubblici.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| Metasploit | Framework exploitation — moduli per centinaia di CVE | Metasploit |
| msfconsole | Interfaccia CLI di Metasploit — uso operativo quotidiano | msfconsole |
| ExploitDB | Database exploit pubblici — PoC e reference per CVE | ExploitDB |
| RouterSploit | Framework exploitation per dispositivi embedded e router | RouterSploit |
| Weevely3 | Webshell PHP stealth con canale cifrato — post-exploitation web | Weevely3 |
| Vulnerability Exploitation | Metodologia e approccio all’exploitation manuale | Vulnerability Exploitation |
Brute Force & Credenziali #
Quando non hai exploit disponibili, le credenziali deboli sono spesso la via. Hydra copre quasi tutti i protocolli in modalità online. Hashcat è per il cracking offline degli hash catturati.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| Hydra | Brute force online — SSH, FTP, HTTP, SMB, RDP, mail, DB | Hydra |
| Medusa | Brute force parallelo multi-host — alternativa a Hydra | Medusa |
| Hashcat | Password cracking offline — NTLM, NTLMv2, Kerberos, MD5 | Hashcat |
| Patator | Brute force modulare — più flessibile su protocolli custom | Patator |
Active Directory & Windows #
Il cluster più denso. In un AD engagement usi questi tool in sequenza: enumeri con BloodHound e Enum4linux, attacchi Kerberos con Rubeus, fai lateral movement con NetExec e Impacket, dumpi credenziali con Mimikatz.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| BloodHound | Mappa attack path AD — percorso più corto verso Domain Admin | BloodHound |
| NetExec | Enumerazione AD, password spray, exec comandi su Windows | NetExec |
| CrackMapExec | Enumerazione e lateral movement su rete Windows | CrackMapExec |
| Impacket | Toolkit Python — SMB, Kerberos, MSSQL, WMI, DCSync, RPC | Impacket |
| Rubeus | Attacchi Kerberos — AS-REP Roasting, Kerberoasting, ticket forge | Rubeus |
| Mimikatz | Dump LSASS, NTLM hash, Kerberos ticket, DPAPI secrets | Mimikatz |
| SafetyKatz | Mimikatz .NET port — bypass AV, in-memory execution | SafetyKatz |
| Evil-WinRM | Shell su WinRM (5985/5986) — lateral movement e file transfer | Evil-WinRM |
| Enum4linux-ng | Enumerazione SMB/LDAP — utenti, share, policy, gruppi | Enum4linux-ng |
| LDAPsearch | Query LDAP raw — dump utenti, gruppi, GPO, computer | LDAPsearch |
| rpcclient | Shell RPC — enumera utenti, SID, policy via null session | rpcclient |
| SMBclient | Accesso share SMB — lista, download, upload file | SMBclient |
| SMBmap | Enumera share SMB — permessi, contenuto, drive mapping | SMBmap |
| SMBexec | Esecuzione comandi via SMB senza toccare disco | SMBexec |
| WMIexec | Esecuzione comandi via WMI — agentless, basso rumore | WMIexec |
| PsExec | Esecuzione remota via SMB — crea servizio temporaneo | PsExec |
| AdFind | Enumerazione AD via LDAP — alternativa a BloodHound collector | AdFind |
| Seatbelt | Enumera configurazione host Windows — privesc, difese, credenziali | Seatbelt |
| SharpUp | Individua misconfiguration Windows per privilege escalation | SharpUp |
| SharpDPAPI | Dump segreti DPAPI — credenziali browser, password manager | SharpDPAPI |
| SharpChrome | Dump credenziali e cookie Chrome via DPAPI | SharpChrome |
| Sherlock | Trova CVE locali per privilege escalation su Windows | Sherlock |
| Inveigh | Responder .NET — LLMNR/NBT-NS poisoning da Windows | Inveigh |
| KeyThief | Estrae chiavi KeePass dalla memoria — credential theft | KeyThief |
| LaZagne | Dump credenziali da browser, mail client, tool vari | LaZagne |
| Invoke-Manipulation | Bypass AMSI e PowerShell logging — evasion difese | Invoke-Manipulation |
| WMIC | LOLBin Windows — exec comandi, query WMI, lateral movement | WMIC |
| Pass-the-Hash | Usa NTLM hash senza crackarlo per autenticarsi | Pass-the-Hash |
Linux Post-Exploitation & PrivEsc #
Ottenuta una shell su Linux, l’obiettivo è diventare root. LinPEAS automatizza la ricerca di vettori, GTFOBins ti dice come sfruttarli. Pspy monitora i processi in tempo reale senza root — spesso è il modo per scoprire cron job con privilegi elevati.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| LinPEAS | Enumera automaticamente tutto — privesc, credenziali, config | LinPEAS |
| LinEnum | Script bash per privilege escalation check — legacy ma affidabile | LinEnum |
| LSE | Linux Smart Enumeration — output graduato per priorità | LSE |
| Lynis | Audit sistema Linux — trova misconfiguration e hardening gap | Lynis |
| GTFOBins | Riferimento binari Linux per privesc, bypass, shell — essenziale | GTFOBins |
| Getcap | Lista capabilities Linux — vettore di privesc spesso ignorato | Getcap |
| Pspy | Monitora processi in tempo reale senza root — trova cron job | Pspy |
| JAWS | PowerShell script per privesc Windows — analogo di LinPEAS | JAWS |
| WinPEAS | Enumerazione automatica Windows per privilege escalation | WinPEAS |
| WinEnum | Enumera configurazione Windows — servizi, task, permessi | WinEnum |
| Unix-PrivEsc-Check | Script Perl per sistemi Unix legacy — compatibile con sh | Unix-PrivEsc-Check |
| MimiPenguin | Dump credenziali da memoria su Linux — gnome-keyring, SSH | MimiPenguin |
| Chkrootkit | Individua rootkit installati su sistema Linux | Chkrootkit |
| Osquery | Query SQL su sistema operativo — processi, rete, file, utenti | Osquery |
Pivoting & Tunneling #
Dentro la rete, devi raggiungere segmenti non direttamente accessibili. Chisel e socat sono i più usati nei lab HTB. SSHuttle è il più trasparente in ambienti reali. ProxyChains instrada tool esistenti attraverso il tunnel senza modificarli.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| Chisel | TCP/UDP tunneling via HTTP — funziona anche attraverso proxy | Chisel |
| Socat | Relay TCP/UDP multi-uso — port forward, bind/reverse shell | Socat |
| SSHuttle | VPN via SSH — instrada tutto il traffico senza client aggiuntivo | SSHuttle |
| ProxyChains | Instrada tool attraverso SOCKS/HTTP proxy — pivoting trasparente | ProxyChains |
| Plink | PuTTY CLI — SSH tunneling da Windows senza installazioni | Plink |
| RevSocks | Reverse SOCKS proxy — utile quando il target è dietro NAT | RevSocks |
| Netcat | TCP/UDP relay, bind/reverse shell, file transfer base | Netcat |
| nc | Netcat — varianti e sintassi su sistemi diversi | nc |
Sniffing & MITM #
Sulla LAN, il traffico non cifrato è immediata fonte di credenziali. Responder avvelena la rete e cattura NTLM hash in automatico. Wireshark e tcpdump analizzano il traffico. Ettercap e Bettercap gestiscono attacchi MITM completi con modifica dei pacchetti in tempo reale.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| Wireshark | Analisi traffico GUI — filtra, decodifica, segue stream TCP | Wireshark |
| Tcpdump | Packet capture CLI — cattura, filtra, esporta .pcap | Tcpdump |
| Tshark | Wireshark CLI — analisi offline di file pcap, scriptabile | Tshark |
| Responder | LLMNR/NBT-NS/MDNS poisoning — cattura NTLM hash in automatico | Responder |
| Ettercap | ARP poisoning + MITM — intercetta e modifica traffico LAN | Ettercap |
| Bettercap | MITM framework moderno — ARP, DNS, HTTPS downgrade | Bettercap |
| MITMProxy | Proxy HTTP/HTTPS interattivo — ispeziona e modifica richieste | MITMProxy |
Social Engineering & Phishing #
Quando non ci sono vulnerabilità tecniche sfruttabili, l’attacco passa per le persone. GoPhish gestisce campagne phishing complete con tracking. EvilGinx2 cattura credenziali e session cookie bypassando MFA.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| GoPhish | Framework phishing — campagne email, landing page, tracking | GoPhish |
| EvilGinx2 | Reverse proxy phishing — cattura credenziali e cookie MFA bypass | EvilGinx2 |
| BeEF | Browser Exploitation Framework — hook browser via XSS stored | BeEF |
| Social Engineer Toolkit | Framework SE — phishing, vishing, pretexting automatizzato | Social Engineer Toolkit |
Cloud & Infrastructure #
Ambienti cloud mal configurati espongono bucket S3 pubblici, ruoli IAM con privilegi eccessivi, API senza autenticazione. Questi tool automatizzano la ricerca di questi vettori su AWS, Azure e GCP.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| CloudEnum | Enumera risorse cloud pubbliche — AWS, Azure, GCP | CloudEnum |
| S3Scanner | Trova e testa bucket S3 pubblici o mal configurati | S3Scanner |
| AWS Privilege Escalation | Tecniche e tool per privesc su AWS IAM | AWS Privilege Escalation |
LOLBins & Tool Nativi Windows #
I tool nativi di Windows sono i più stealth: già presenti sul sistema, firmati Microsoft, raramente bloccati da AV/EDR. Usali sempre prima di scaricare tool esterni sul target — meno rumore, meno tracce, meno detection.
| Tool | Cosa fa nel pentest | Guida |
|---|---|---|
| CertUtil.exe | Download file, encode/decode base64, verifica certificati | CertUtil |
| WMIC | Query WMI, exec processi, lateral movement — LOLBin potente | WMIC |
| Scheduled Task | Persistenza e privesc via task scheduler Windows | Scheduled Task |
| Crontab | Persistenza su Linux via cron — vettore classico di privesc | Crontab |
| RSH | Remote shell legacy Unix — accesso senza password via .rhosts | RSH |
| Telnet | Connessione servizi in chiaro, banner grab, test porta | Telnet |
| SSH-Audit | Audit configurazione SSH — algoritmi deboli, versioni vulnerabili | SSH-Audit |
| SSH-KeyHunter | Cerca chiavi SSH private nel filesystem — post-exploitation | SSH-KeyHunter |
| Empire | C2 framework PowerShell/Python — post-exploitation avanzato | Empire |
| Fail2ban | Analisi log difensiva — capire i rate limit prima di bruteforce | Fail2ban |
Attack Chains Reali #
I tool non si usano in isolamento. Queste sono le chain più comuni che incontri in ambienti reali, ProLab HTB e assessment OSCP.
Chain 1 — External Recon → Web RCE #
Amass / Subfinder → Enumerazione subdomini
HTTPX → Probe HTTP su tutti i subdomini trovati
Nmap → Port scan + version detection sui target vivi
Nikto / Nuclei → Scan automatico vulnerabilità web note
FFUF → Directory brute force, parameter fuzzing
Burp Suite → Analisi manuale, intercept, injection test
SQLmap / Commix → Exploitation — dump DB o OS shell
Weevely3 → Webshell persistente per post-exploitationChain 2 — AD Attack Chain (da rete LAN) #
Nmap → Identifica DC, host Windows, porte AD aperte
Enum4linux-ng → Null session — utenti, share, policy dominio
Responder → LLMNR/NBT-NS poisoning → cattura NTLMv2 hash
Hashcat → Crack hash offline con wordlist
NetExec → Valida credenziali, password spray, enumera rete
BloodHound → Mappa attack path — trova percorso verso DA
Rubeus → Kerberoasting → hash account servizio
Hashcat → Crack hash Kerberos offline
Impacket secretsdump → DCSync → dump tutti gli hash del dominio
Mimikatz → Golden Ticket / credenziali da LSASS
Domain Admin ✅Chain 3 — Linux Post-Exploitation #
Shell iniziale → whoami, id, uname -a, ip a
LinPEAS → Enumera tutto — SUID, cron, sudo, capability
Pspy → Monitora processi — trova cron job root
GTFOBins → Identifica binario sfruttabile per privesc
Getcap → Controlla capabilities — python3, perl, openssl
Root ✅
MimiPenguin → Dump credenziali da memoria
Chisel + ProxyChains → Pivoting verso subnet internaChain 4 — Internal Windows Lateral Movement #
Nmap → Mappa rete interna — host Windows attivi
CrackMapExec → Verifica accesso su tutti gli host
SMBmap / SMBclient → Enumera share — cerca file con credenziali
Pass-the-Hash → Usa NTLM hash senza password in chiaro
Evil-WinRM → Shell su host via WinRM (5985)
WinPEAS / Seatbelt → Enumera privesc locale
SharpDPAPI → Dump credenziali salvate — browser, Windows
Mimikatz → Dump LSASS — NTLM hash e ticket Kerberos
BloodHound → Aggiorna attack path con nuove credenziali
Lateral movement → Ripeti fino a Domain Admin ✅Hub correlati #
| Hub | Cosa copre |
|---|---|
| Porte TCP/UDP nel Penetration Testing | Tutte le porte per scenario offensivo — AD, web, database, mail, DevOps, protocolli |
| Web Vulnerabilities & Attack Techniques | SQL injection, XSS, SSRF, SSTI, LFI e tutto il web hacking |
Per penetration test professionali su infrastrutture reali, scopri i servizi di HackIta.
