← ZavetSec Library
ZavetSec // Distro Manual

KALI LINUX 2026 — РУКОВОДСТВО

Полный разбор Kali Linux 2026.1 (релиз 24.03.2026, ядро 6.18, Xfce 4.20.6): от установки и метапакетов до инструментов по всем категориям меню с командами. Kali — это Debian-based rolling-release для пентеста и форензики. Всё применяй только в авторизованном scope или на своей изолированной лабе.

ВЕРСИЯ: 2026.1 ЯДРО: 6.18 БАЗА: DEBIAN / ROLLING DE: XFCE 4.20.6

// Содержание

  1. 00Что такое Kali и что нового в 2026.1
  2. 01Установка и первая настройка
  3. 02APT, метапакеты, обновление
  4. 03Information Gathering
  5. 04Vulnerability Analysis
  6. 05Web Application
  7. 06Database Assessment
  8. 07Password Attacks
  9. 08Wireless Attacks
  10. 09Reverse Engineering
  11. 10Exploitation Tools
  12. 11Sniffing & Spoofing
  13. 12Post Exploitation
  14. 13Forensics
  15. 14Social Engineering
  16. 15Обслуживание и OPSEC
// 00

Что такое Kali и что нового в 2026.1

Kali Linux — дистрибутив на базе Debian для тестирования на проникновение и цифровой форензики, поддерживаемый Offensive Security. Это rolling-release: пакеты обновляются постоянно, а «релизы» (2026.1 и т.д.) — это снапшоты с накопленными изменениями.

Свежее в релизе 2026.1

Версия 2026.1 вышла 24 марта 2026 года, став первым релизом 2026-го; в нём обновлены ядро до 6.18 и Xfce до 4.20.6.

ИзменениеДетали
Ежегодный рефреш темыНовая тема загрузчика, установщика, логин-экрана и обоев — традиция для всех релизов x.1
BackTrack ModeВ честь 20-летия BackTrack: kali-undercover --backtrack превращает рабочий стол в вид BackTrack 5
8 новых инструментовAdaptixC2, Atomic-Operator, Fluxion, GEF и др. (всего 25 новых пакетов, 9 удалено, 183 обновлено)
Ядро 6.18Конкретно 6.18.12-1kali1
NetHunterУлучшения инъекции Wi-Fi на части Qualcomm-чипсетов, фиксы под Redmi Note 8 / Samsung S10
Известная проблема 2026.1: метапакет kali-tools-sdr (Software Defined Radio) в этом релизе частично сломан — инструменты экосистемы GNU Radio, включая gr-air-modes и gqrx-sdr, не работают. Фикс ожидается в следующем релизе. Если нужен SDR — собирай из исходников или подожди 2026.2.

Новые инструменты 2026.1 — что это

ИнструментНазначение
AdaptixC2 newРасширяемый C2-фреймворк для post-exploitation и эмуляции противника
Atomic-Operator newЗапуск тестов Atomic Red Team на разных ОС (валидация детекта — purple-применение)
Fluxion newАудит Wi-Fi и соц-инженерные сценарии (Evil Twin / captive portal)
GEF newСовременная надстройка над GDB для отладки и эксплойт-разработки
// 01

Установка и первая настройкаFoundation

Варианты развёртывания

ВариантКогда
Installer ISOПостоянная установка на железо/диск, полный контроль
VM (VMware/VBox)Рекомендуется для лабы — снапшоты, изоляция, откат
Live ISOЗагрузка без установки, форензика без записи на диск
WSLKali внутри Windows для лёгких задач (kali-win-kex даёт GUI)
NetHunterМобильная платформа (Android), Wi-Fi-инъекция, HID-атаки
Cloud / ARMAWS/Azure, Raspberry Pi и пр.
Только с официального источника. Качай ISO исключительно с kali.org и обязательно сверяй контрольную сумму/подпись — скомпрометированный образ дистрибутива для пентеста = катастрофа.

Проверка целостности образа

# Сверить SHA256 скачанного ISO с опубликованным на kali.org
sha256sum kali-linux-2026.1-installer-amd64.iso
# Сравнить вывод со значением на официальной странице загрузки

Первый запуск и базовая настройка

В современной Kali по умолчанию НЕ root, а обычный пользователь kali. Это правильно — root только через sudo под конкретную задачу.

# Полное обновление сразу после установки
sudo apt update && sudo apt -y full-upgrade

# Часовой пояс, локаль, имя хоста (по необходимости)
sudo dpkg-reconfigure tzdata
sudo hostnamectl set-hostname kali-lab

# Снапшот VM ПОСЛЕ обновления и настройки -- база для откатов
Undercover-режим. kali-undercover маскирует рабочий стол под Windows (для работы «на людях»), а kali-undercover --backtrack в 2026.1 — под классический BackTrack 5. Полезно и для скриншотов в отчёт, и для приватности.
// 02

APT, метапакеты, обновлениеFoundation

Kali ставит не все 600+ инструментов сразу — базовый образ компактен, остальное доустанавливается метапакетами. Это даёт контроль над размером и набором.

Управление пакетами

sudo apt update                      # обновить индекс
sudo apt full-upgrade -y             # обновить систему (для rolling)
sudo apt install <tool>            # поставить инструмент
apt search <keyword>               # найти пакет
apt show <tool>                   # инфо о пакете
sudo apt autoremove                  # почистить лишнее

Ключевые метапакеты

МетапакетЧто ставит
kali-linux-headlessБазовый набор без GUI
kali-linux-defaultСтандартный набор (то, что в обычном образе)
kali-linux-largeРасширенный набор инструментов
kali-linux-everythingВообще всё (много места)
kali-tools-information-gatheringРекон и сбор информации
kali-tools-webWeb-приложения
kali-tools-passwordsАтаки на пароли
kali-tools-wirelessБеспроводные сети
kali-tools-post-exploitationPost-exploitation
kali-tools-forensicsФорензика
# Посмотреть состав метапакета перед установкой
apt show kali-tools-web

# Поставить категорию целиком
sudo apt install kali-tools-wireless
// 03

Information GatheringRecon

Сбор информации о цели — фундамент. Чем полнее карта, тем меньше «угадывания» дальше.

ИнструментНазначениеБазовая команда
nmapСканер портов/сервисов, NSE-скриптыnmap -sC -sV -p- 10.10.10.10
masscanОчень быстрый сканер портовmasscan -p1-65535 10.10.10.0/24 --rate 10000
netdiscoverОбнаружение хостов в L2 (ARP)sudo netdiscover -r 10.10.10.0/24
dnsenum / dnsreconЭнумерация DNS, поддоменов, зонdnsenum target.com
fierceDNS-рекон и брут поддоменовfierce --domain target.com
theHarvesterOSINT: e-mail, поддомены, хостыtheHarvester -d target.com -b all
recon-ngМодульный OSINT-фреймворкrecon-ng
spiderfootАвтоматизированный OSINT (web UI)spiderfoot -l 127.0.0.1:5001
whatwebФингерпринт web-технологийwhatweb http://10.10.10.10
enum4linux-ngЭнумерация SMB/Samba/ADenum4linux-ng -A 10.10.10.10
nbtscanСкан NetBIOS-имёнnbtscan 10.10.10.0/24

Современные ProjectDiscovery-тулы (subfinder, httpx, nuclei) ставятся через apt или go — связка для быстрого web-рекона.

// 04

Vulnerability AnalysisScan

Поиск известных уязвимостей и мисконфигов. Сканер — отправная точка, а не вердикт: каждую находку проверяй руками (false positive — норма).

ИнструментНазначениеБазовая команда
nmap NSEСкрипты проверки уязвимостейnmap --script vuln 10.10.10.10
nikto legacy/helperСканер web-серверов; сегодня — быстрая вспомогательная проверка, не основной инструмент (ср. nuclei)nikto -h http://10.10.10.10
nucleiШаблонный сканер уязвимостейnuclei -u http://10.10.10.10 -severity high,critical
legionGUI-обвязка для авто-рекона и сканаsudo legion
searchsploitЛокальная база Exploit-DBsearchsploit apache 2.4
unix-privesc-checkЧек privesc-векторов на Unixunix-privesc-check standard
OpenVAS / Greenbone (полноценный сетевой сканер уязвимостей) ставится отдельно: sudo apt install gvm && sudo gvm-setup — тяжёлый, но даёт корпоративный охват.
// 05

Web ApplicationWeb

Burp Suite — центральный хаб (proxy/repeater/intruder). Остальное — фаззинг, специализированные сканеры, эксплуатация конкретных классов.

ИнструментНазначениеБазовая команда
Burp SuiteПерехват/модификация HTTP, главный web-инструментburpsuite
OWASP ZAPOpen-source аналог Burpzaproxy
ffufБыстрый веб-фаззер (директории, vhost, параметры)ffuf -u http://site/FUZZ -w wordlist.txt
gobusterБрут директорий/DNS/vhost; рабочий, но ffuf обычно гибче и быстрееgobuster dir -u http://site -w wordlist.txt
feroxbusterРекурсивный контент-фаззер (Rust)feroxbuster -u http://site
wfuzzУниверсальный фаззер web-запросовwfuzz -w list.txt http://site/FUZZ
sqlmapАвто-эксплуатация SQL-инъекцийsqlmap -r req.txt --batch --dbs
wpscanСканер WordPresswpscan --url http://site --enumerate u
commixЭксплуатация command injectioncommix -u "http://site/?p=1"
dirb legacyКлассический брут директорий; вытеснен ffuf/feroxbusterdirb http://site
cmseek нишевыйДетект и энумерация CMS; узкоспециальный, ниже по значимости, чем nuclei/httpx/Burpcmseek -u http://site

Глубокая отработка web-классов (XSS, SSRF, IDOR, XXE, deser, JWT) — на PortSwigger Web Security Academy, бесплатно.

// 06

Database AssessmentDB

ИнструментНазначениеБазовая команда
sqlmapИнъекции + дамп БД через websqlmap -r req.txt -D db -T users --dump
mssqlclient (impacket)Клиент MSSQL (часто в AD)impacket-mssqlclient user@10.10.10.10 -windows-auth
mysql / psqlНативные клиенты для прямого доступаmysql -h 10.10.10.10 -u root -p
redis-cliКлиент Redis (частая мисконфигурация)redis-cli -h 10.10.10.10
mongoКлиент MongoDBmongo --host 10.10.10.10
Открытые БД без аутентификации (Redis, Mongo, Elasticsearch) — частый быстрый foothold. Проверяй их сразу после nmap, до глубокого web-рекона.
// 07

Password AttacksCreds

ИнструментНазначениеБазовая команда
hashcatGPU-взлом хэшей (быстрейший)hashcat -m 1000 hash.txt rockyou.txt
johnJohn the Ripper, CPU-взлом, удобные форматыjohn --wordlist=rockyou.txt hash.txt
hydraОнлайн-брут сетевых сервисовhydra -l admin -P list.txt ssh://10.10.10.10
medusaАльтернатива hydramedusa -h 10.10.10.10 -u admin -P list.txt -M ssh
crackmapexec / nxcСпрей и проверка кред в сети (SMB/WinRM/etc)nxc smb 10.10.10.0/24 -u u -p p
hashidОпределение типа хэшаhashid '$1$...'
cewlГенерация словаря с сайта целиcewl http://site -w words.txt
crunchГенерация словарей по маскеcrunch 8 8 -t @@@@%%%% -o list.txt

Полезные правила hashcat — в /usr/share/hashcat/rules/ (best64.rule, OneRuleToRuleThemAll). Словарь rockyou — в /usr/share/wordlists/rockyou.txt (разжать gunzip при первом запуске).

Онлайн-брут блокирует учётки. На реальном проекте сверяйся с pass-policy и предпочитай password spraying (один пароль на много юзеров) — согласуй отдельно в RoE.
// 08

Wireless AttacksWi-Fi

Требуется адаптер с поддержкой monitor mode и инъекции (напр. чипсеты Atheros/Ralink). Только свои сети или явный scope.

ИнструментНазначениеБазовая команда
aircrack-ngНабор для аудита Wi-Fi (взлом WEP/WPA-хэндшейк)aircrack-ng -w rockyou.txt capture.cap
airmon-ngПеревод адаптера в monitor modesudo airmon-ng start wlan0
airodump-ngЗахват трафика и хэндшейковsudo airodump-ng wlan0mon
aireplay-ngДеаутентификация (для захвата хэндшейка)sudo aireplay-ng --deauth 5 -a <BSSID> wlan0mon
wifiteАвтоматизация атак на Wi-Fisudo wifite
reaver / bullyАтака на WPS-PINsudo reaver -i wlan0mon -b <BSSID>
Fluxion newEvil Twin + captive portal (соц-инженерия)sudo fluxion
kismetДетектор/сниффер беспроводных сетейsudo kismet
bettercapMITM-фреймворк (Wi-Fi/BLE/Ethernet)sudo bettercap -iface wlan0
// 09

Reverse EngineeringRE

ИнструментНазначениеЗапуск
GhidraДизассемблер/декомпилятор (от NSA), бесплатныйghidra
radare2 / rizinCLI-фреймворк реверсаr2 ./binary
cutterGUI поверх rizincutter
gdb + GEF newОтладчик с современной надстройкойgdb ./binary (GEF подгружается)
objdump / readelfАнализ ELF-структурыobjdump -d ./binary
strings / fileБыстрый осмотр бинаряstrings ./binary | less
ltrace / straceТрассировка библиотечных/системных вызововstrace ./binary
apktool / jadxРеверс Android APKjadx app.apk
GEF в 2026.1 — заметное обновление для эксплойт-разработки: удобный просмотр регистров/стека/heap прямо в GDB. Связка gdb + GEF — стандарт для binary exploitation на OSED-уровне.
// 10

Exploitation ToolsExploit

ИнструментНазначениеБазовая команда
MetasploitФреймворк эксплуатации (модули/payload/post)msfconsole
msfvenomГенератор payload'овmsfvenom -p ... LHOST=.. -f elf -o p
searchsploitПоиск PoC в Exploit-DBsearchsploit -m 12345 (копировать локально)
impacket-*Набор для Windows/AD (psexec, wmiexec, secretsdump)impacket-wmiexec dom/u:p@10.10.10.10
netexec (nxc)Швейцарский нож для сетей (SMB/WinRM/LDAP/MSSQL)nxc smb 10.10.10.0/24 -u u -p p
evil-winrmИнтерактивный WinRM-шеллevil-winrm -i 10.10.10.10 -u u -p p
BeEFЭксплуатация браузеров (XSS-хук)beef-xss
Sliver / AdaptixC2 newOpen-source C2 для red teamsliver / см. docs AdaptixC2

Atomic-Operator (новый в 2026.1) запускает тесты Atomic Red Team — удобен для purple-сценариев: атака → проверка детекта в SIEM.

// 11

Sniffing & SpoofingMITM

ИнструментНазначениеБазовая команда
WiresharkГлубокий анализ трафика (GUI)wireshark
tcpdumpCLI-захват пакетовsudo tcpdump -i eth0 -w cap.pcap
tsharkCLI-Wireshark для скриптовtshark -r cap.pcap -Y http
ResponderОтравление LLMNR/NBT-NS, захват NetNTLMsudo responder -I eth0 -wd
bettercapСовременный MITM-фреймворкsudo bettercap -iface eth0
ettercapКлассический ARP-spoofing/MITMsudo ettercap -G
mitmproxyПерехват/модификация HTTP(S) из CLImitmproxy
dnschefDNS-прокси для подмены ответовdnschef --fakeip 10.0.0.1
Purple-связка: Responder + bettercap в лабе — удобный способ увидеть, как именно эти атаки выглядят в логах и детект-правилах SIEM (LLMNR-poisoning, ARP-аномалии).
// 12

Post ExploitationPost-Ex

ИнструментНазначениеЗаметка
mimikatzИзвлечение кред из памяти WindowsЗапуск на цели (Windows), не в Kali
impacket-secretsdumpДамп SAM/NTDS/LSA-just-dc для домена
BloodHoundГраф attack-path в ADBloodHound CE + bloodhound-python коллектор
PowerSploit / PowerViewPowerShell post-ex и AD-реконЗагружается на цель
linpeas / winpeasЭнумерация privesc-векторовВ составе peass-ng
chisel / ligolo-ngPivoting и туннелированиеReverse SOCKS / маршрут в подсеть
proxychains4Прогон инструментов через прокси/туннельКонфиг: /etc/proxychains4.conf
weevelyPHP-webshell с шифрованием каналаweevely generate pass shell.php
Персистентность и деструктив — только при явном согласовании в RoE. Всё, что переживает сессию, фиксируется и удаляется после теста; cleanup отдельным пунктом в отчёт.
// 13

ForensicsDFIR

Сильная сторона Kali для DFIR-задач: многие форензик-инструменты работают и в live-режиме без записи на исследуемый диск.

ИнструментНазначениеБазовая команда
AutopsyGUI-платформа дискового анализа (поверх Sleuth Kit)autopsy
Sleuth Kit (tsk)CLI-анализ файловых системfls -r image.dd
Volatility 3Анализ дампов памятиvol -f mem.raw windows.pslist
foremost / scalpelFile carving (восстановление по сигнатурам)foremost -i image.dd -o out/
binwalkАнализ и извлечение из прошивок/файловbinwalk -e firmware.bin
bulk_extractorИзвлечение артефактов (e-mail, карты, URL)bulk_extractor -o out/ image.dd
dd / dcflddПобитовое копирование носителяsudo dcfldd if=/dev/sdb of=image.dd
exiftoolМетаданные файловexiftool photo.jpg
chkrootkit / rkhunterПоиск руткитовsudo rkhunter --check
// 14

Social EngineeringSE

ИнструментНазначениеЗапуск
SET (setoolkit)Social-Engineer Toolkit: фишинг, клон-сайты, payload-доставкаsudo setoolkit
gophishПлатформа фишинг-кампаний (для авторизованных учений)gophish
Fluxion newWi-Fi-фишинг через captive portalsudo fluxion
msfvenomГенерация payload для вложений (в рамках учений)см. раздел 10
Соц-инженерия — самая «человеческая» и юридически чувствительная часть. Фишинг сотрудников проводится только в рамках письменно согласованной программы с заказчиком, с заранее определёнными границами и без сбора реальных паролей сверх необходимого для доказательства. Никогда не тестируй на людях вне scope.
// 15

Обслуживание и OPSECHygiene

Поддержание системы

# Регулярно (минимум раз в неделю)
sudo apt update && sudo apt full-upgrade -y

# Чистка кэша и сирот
sudo apt autoremove && sudo apt clean

# Проверить версию релиза и ядра
cat /etc/os-release ; uname -r

Гигиена работы

ПравилоЗачем
Kali — в VM/контейнереИзоляция от хоста, снапшоты, быстрый откат
Снапшот после настройкиЧистая база для каждого нового заказа
Не работать под root постоянноsudo точечно — снижает риск самоповреждения
Отдельная VM/сеть на заказНе смешивать артефакты разных клиентов
Логировать сессиюscript -a sess.log — для отчёта и воспроизведения
Шифровать lootДанные заказчика = высокая ответственность
Главное правило, не зависящее от инструмента. Kali — это набор инструментов двойного назначения. Законным его делает не дистрибутив, а письменное разрешение на тест конкретной цели. Нет scope/RoE/договора — нет действия. В РФ несанкционированный доступ — ст. 272–274 УК.
Угол изучения. Эффективнее всего осваивать Kali как вторую половину к навыкам защиты: почти каждый инструмент атаки имеет зеркало в детекте. Запускаешь Responder — смотришь, как он светится в SIEM; гоняешь Atomic-Operator — проверяешь покрытие правил. Так изучение превращается из «набора хакерских тулзов» в системную прокачку обеих ролей.