Kraken: Переменные

Переменные работы со временем

Устанавливают текущее время

%date1% Устанавливает текущее время Формат: mmm d hh:nn:ss
%date2% Устанавливает текущее время Формат: mmm d hh:nn:ss.zzz
%date3% Устанавливает текущее время Формат: dd-mm-yy
%date4% Устанавливает текущее время Формат: hh:nn:ss
%date5% Устанавливает текущее время в UTC Формат: mmm dd hh:nn:ss
%date6% Устанавливает текущее время в UTC Формат: dd/mmm/yyyy:hh:nn:ss
%date7% Устанавливает текущее время Формат: yyyy-mm-dd
%date8% Устанавливает текущее время Формат: mmm dd yyyy hh:nn:ss.zzz
%date9% Устанавливает текущее время в UTC Формат: yyyy-mm-ddThh:nn:ss.zzzzzz
Пример: 2020-10-04T16:12:36.208147+0000
%date10% Устанавливает текущее время Формат: mmm dd yyyy hh:nn:ss
Пример: Sep 12 2017 12:36:22
%date11% Устанавливает текущее время в UTC Формат: yyyy-mm-ddThh:nn:ss+00:00
Пример: //2021-10-18T06:46:04+00:00

Статические переменные.

Устанавливает значения, которое не меняется в процессе работы. Данный тип переменных предназначен в первую очень для работы плейбуков, так как основной функционал отправки событий много поточный и в каждом потоке будет свое значение.

%sIp% Устанавливает случайны IP адрес Подсеть 0.0.0.0/0
%sMac% Устаналивает случайный MAC адрес
%sIPv6% устаналивает случайный IPv6 адрес
%sIface% Устаналивает случайное имя интерфейса

Динамические переменные

Переменные, которые постоянно меняют свое значение в пределах описанных правил.

%mac1% Формирует случайны MAC адрес
%mac2% Формирует случайны MAC адрес
%Ip1% Возвращает случайный IPv4 IP адрес подсеть 0.0.0.0/0
%Ip2% Возвращает случайный IPv4 IP адрес подсеть 0.0.0.0/0
%ipv6% Возвращает случайный IPv6 IP адрес
%arpa% Возвращает случайный in-addr.arpa адрес
%HOME_NET_192% Возвращает случайный IPv4 IP адрес подсеть 192.168.0.0/16
%HOME_NET_172% Возвращает случайный IPv4 IP адрес подсеть 172.16.0.0/12
%HOME_NET_10% Возвращает случайный IPv4 IP адрес подсеть 10.0.0.0/10
%HOME_NET_192_168_0% Возвращает случайный IPv4 IP адрес подсеть 192.168.0.0/24
%NET_104_17_244% Возвращает случайный IPv4 IP адрес подсеть 104.17.244.0/24
%Networks184_84_59% Возвращает случайный IPv4 IP адрес подсеть 184.84.59.0/24
%port1% Возвращает случайный порт Диапазон от 0 до 65535
%port2% Возвращает случайный порт Диапазон от 0 до 65535
%port_low% Возвращает случайный порт в нижнем диапазоне Диапазон от 0 до 999
%proto% Возвращает случайный протокол в верхнем регистре TCP или UPD
%proto2% Возвращает случайный протокол в нижнем регистре tcp или udp
%severity% Возвращает случайное число от 1 до 3
%eventlog_category% Возвращает случайную категорию (IDS) Примеры:
SIP EVENT EMPTY REQUEST URI
AM SCAN RDP bruteforce attempt failed logons
AM POLICY RDP session ended with RST
...
%rule_group% Возвращает случайную группу (IDS) Список:
emerging-scan
emerging-policy
emerging-dns
emerging-dos
emerging-current_events
%eventlog_class% Возвращает случайный класс (IDS) Примеры:
1:2013504:3
140:3:1
1:2001972:19
%HTTP_PORTS%' Возвращает случайный HTTP порт Значения: 80, 81, 82, 83, 84, 85, 86, 87, 88, 8080, 8081, 8082, 8085, 8088, 8090, 8118, 8123, 8180, 8181, 9000, 9002, 9060, 9080, 9090, 9091, 9111, 9290, 9443, 9447, 9710, 9780, 9999, 10000
%deviceExternalId% Возвращает случайный ID Диапазон 1000000000 до 1516122234
%id% Возвращает номер события в генераторе
%user_agent% Возвращает случайный User-Agent Примеры:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36
ClamAV/0.101.2 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
ltx71 - (http://ltx71.com/)
Microsoft WinRM Client OpenVAS-VT
<script>alert(''test'');</script>
...
%user_agent_json% Возвращает случайный User-Agent в формате json (с экранированием) Примеры:
ltx71 - (http:\/\/ltx71.com\/)
Debian APT-HTTP\/1.3 (1.4~beta3)
%OpenVas_UserAgent% Возвращает случайный User-Agent OpenVAS Список:
Mozilla/5.0 [en] (X11, U; OpenVAS-VT 8.0.9)r
Mozilla/5.0 [en] (X11, U; OpenVAS-VT 11.0.1)
Mozilla/5.0 [en] (X11, U; OpenVAS-VT 9.0.3)
Mozilla/5.0 [en] (X11, U; OpenVAS 7.0.10)
Mozilla/5.0 [en] (X11, U; OpenVAS 8.0.9)
Mozilla/5.0 [en] (X11, U; OpenVAS 7.0.10)
Mozilla/5.0 [en] (X11, U; OpenVAS 8.0.9)
Microsoft WinRM Client OpenVAS-VT
%url% Возвращает случайный URI Примеры:
/fwlink/?LinkID=252669&clcid=0x409
/system/?%3F%2F=any%3F%0D%0ASet-cookie%3A+Tamper%3Da7e1500c-a8a2-4fca-bec1-2165a55aec74
/upload/?%3F%3F%3F%3F%2F=any%0D%0ASet-cookie%3A+Tamper%3D5a17c0f2-6da2-4bf3-98dc-8f20f21525a0
%url_json% Возвращает случайный URI в формате Json (с экранированием) Примеры:
\/debian\/pool\/main\/p\/popt\/libpopt0_1.16-10_amd64.deb
\/fwlink\/?LinkID=252669&clcid=0x409
%referer% Возвращает реферер ссылку Всегда "-"
%http_code% Добовляет случайный HTTP код. Вероятность:
89% - 200
3% - 404
2% - 403
1% - 500
1% - 301
1% - 505
1% - 504
1% - 503
1% - 502
%http_method% Добавляет случайный HTTP метод. Вероятность:
80% - GET
10% - POST
6% - HEAD
2% - CONNECT
1% - OPTIONS
1% - DELETE
%domain% Возвращает случайный домен Примеры:
1.test.3322.org.cn
hotmal1.com
go.microsoft.com
%hostname% Возвращает случайное имя компьютера Формат: DESKTOP-[7 случайных символов]
%web_proto% Добовляет случайный HTTP протокол (http/https) Вероятность:
80% - https
20% - http
%user_domain% Возвращает случайный домен Список:
contoso
ad
test
demo
%user_name% Возвращает случайное имя пользователя Примеры:
Thenus
Thignus
Alfhaeh
Boignar
Botan
Casin
%file_path% Возвращает случайный путь уровень вложенности от 1 до 5
длина имени директории от 3 до 8
Примеры:
/9y8aieyh/c356/squui/
/q4vl5/izg6q/
%file_name% Возвращает случайное имя файла Возвращает случайное имя файла с именем от 3 до 8 случайных символов и одним из расширений из списка:
doc
exe
pdf
xls
%size% Возвращает случайное число Диапазон от 0 до 100000
%size_kb% Возвращает случайный размер Формат два случайных через точку
первое число от 0 до 999
второе число от 0 до 99Пример: 833.61
%malware_ip% Возвращает случайный IP из списка Список быстро теряет актуальность!!
возвращает случайный элемент из списка IP адресов когда-то зафиксированной вредоносной активности
Примеры:
1.14.34.199
36.226.154.215
71.10.61.168
%small_localnet% Возвращает случайный IPv4 IP адрес подсеть 172.16.0.0/24
%ip_list% Возвращает случайный элемент списка Список: data/iplist.txt
%fuzzing% Возвращает случайный набор символов Возвращает от 1 до 10240 случайных символов
%uuid% Возвращает уникальный UUID Формат: 00000000-0000-0000-0000-000000000000
%md5% Возвращает случайную строку в формате MD5
%sha1% Возвращает случайную строку в формате SHA1
%cisco_cmd% Возвращает случайную команду Cisco Пример:
dir
pwd
shutdown
%emailAddress% Возращает случаную электронную почту Пример:
[email protected]
[email protected]
[email protected]
%iface% Возвращает иммя сетевого интерфейса Пример:
enp0s2
ens160
%fingerprint% Вовзращает случайный fingerprint сертифката Пример:
d0:07:91:57:8b:c3:0c:e9:db:e0:65:b9:35:e0:c1:ea:e2:b5:80:00
78:8d:58:e7:16:0e:04:10:21:40:76:ee:65:50:20:60:a2:da:ee:cb
%ca_serial% Вовзращает случайный сертийный номер сертифката Пример:
AC:9A:5E:73:D4:86:6C
0A:F0:BA:C2:80:D9:2B
%tls_ver% Вовзращает версию TLS с вероятностью
11% - TLS 1.0
29% - TLS 1.1
60% - TLS 1.2
(Visited 1 times, 1 visits today)