domingo, 14 de octubre de 2018

TSSpentestweb. Auditoría Automatizada.


Buenos días a tod@s:

Hoy os traigo una herramienta desarrollada por mi (espero seais compasivos), pero que a los que empezais, os puede ayudar bastante a la hora de realizar una auditoria de pentesting sobre un dominio o una web.

Se trata de una herramienta creada en Bash, con varias herramientas que son llamadas desde el menu principal, pero siguiendo la estructura de un pentest (sería un pentest simple, pero es una tool de codigo abierto y modificable, que es lo mas interesante, como siempre)

 La podeis descargar desde aqui.

Es muy sencilla de utilizar y muy intuitiva. Perfecta para los que estais empezando.
Empezamos...una vez que la descargamos, le damos permisos al fichero:


Posteriormente, lanzamos la herramienta:


Nos aparecerá la pantalla de inicio, donde tendremos que meter el dominio a auditar:
 

Nos mandará al menu principal. Sencillo y repito..muy intuitivo:
 

Los primero es iniciar el análisis completo, donde lo que hará será un spidering, posteriormente , cuando lo termine, guardará todo en una carpeta con el nombre del dominio y donde podremos ver los resultados obtenidos, para posteriormente realizar mas pruebas.


Una vez termina la primar fase, te pide que pulses una tecla para continuar...de nuevo, todo muy facil y sencillo. Después analizará los subdominios, servidores de correo, ip's, transferencia de zona etc.



Después nos dará info de su estructura:


Después busca correos en la red y mas subdominios, si los hubiera.


Analiza también si existe un WAF protegiendo la web.


Pasamos despues a un escaneo intenso sobre el objetivo:


Y se finaliza con el menu de analisis de vulnerabilidades. Aquí debeis tener instaladsas todas las herramientas en Kali. Solo está Nikto por defecto. Ni que decir tiene, que desde el codigo de la tool, podeis modificar lo que querais...es lo bueno...


También tenemos el menú de ataques, donde tenemos metasploit, sqlmap, hydra...pero siempre que en las fases anteriores, nos arrojen la información necesaria. Ya sabeis..antes del ataque, hay que recoger y analizar toda la información.


Una vez terminado todo, antes de ir a los ataques, teneis un directorio que se ha creado en vuestro equipo, en el directorio de la aplicación, donde recoge toda la información anterior.
Hay que estudiarla antes de pasar a la explotación!!



Bueno..espero que os guste esta herramienta y le saqueis partido haciendo modificaciones!!!
En proximos post, os enviare la otra herramienta llamada tsspentestred, para analizar redes internas.

Saludos!!!!
@fsanz_moya

jueves, 11 de octubre de 2018

¿Tienes una contraseña? vamos a ver donde la repiten...


Hola  a tod@s:

Hoy os traigo otra facil tool, que nos automatiza búsquedas de varias plataformas, para saber si una contraseña, se repite en ellas.

Lo primero, sería conseguir una contraseña. Cómo? en una auditoría, podriamos conseguirla de muchisaimas formas (wireshark, responder, ficheros visibles...). Una vez tenemos una contraseña, podemos probar en multiples plataformas, para ver hasta donde podemos llegar.

Pero mejor, como siempre, vamos paso a paso...

Primero, descargaremos nuestra herramienta desde aqui.
La herramienta es Cr3dOv3r y está desarrollada en python.

Una vez descargada, debemos instalara los requerimientos con pip:


Posteriormente, procedemos a lanzar la ayuda con el comando -h:


Ahora vamos a lanzar con el comando q, que sería el modo silencioso:


Por lo pronto vemos que nuestro correo, se dio de alta en Taringa y que sus bases de datos fueron vulneradas en las fechas indicadas. Dicho esto, hay que cambiar la contraseña, sí o sí.
POr otro lado, busca en la red, nuestra contraseña en texto plano...en este caso, no la encuentra.
Introducimos la contraseña encontrada y posteriormente, empezaría la busqueda:


Como podemos observar, ha encontrado 4 sitios, donde usa la misma contraseña...

Herramienta muy util en auditorías, para sacar el máximo de información posible y mostrar al cliente los peligros de usar la misma contraseña en distintas plataformas.


Saludos!!!!
@fsanz_moya

lunes, 8 de octubre de 2018

Comprueba mails vulnerados con PwnedOrNot

Hola de nuevo a tod@s:

Hoy os traido un pequeño tutorial de una herramienta muy útil, a la hora de comprobar correos vulnerados en alguna base de datos.

A la hora de realizar un pentest, si tenemos que analizar la fiabilidad del uso de los correos , podemos usar esta herramienta, para automatizar la busqueda de posibles bases de datos que hayan sido vulneradas.

Veamos como funciona esta herramienta, que la puedes descargar desde aquí.

La descargamos y lo primero que hacemos al descomprimirla es instalarla:


Una vez instalada, procedemos a lanzar una revisión de un solo mail:


Esto lo realizamos con el comando -e. También podemos realizar la revisión sobre una archivo, que contenga varios correos, y es aquí donde esta la verdadera utilidad, ya que en una auditoría, si tienes que verificar cientos de correos, hacerlos de uno en uno, sería tedioso. De esta forma, automatizamos el proceso:






Una parte importante en la auditoría, no es sólo ver que correos estan en peligro, sino, en qué páginas o bases de datos, entran los trabajadores de una empresa y el riesgo que corren. De ahí se deben sacar las políticas de buenas prácticas y poder completar la auditoría con la máxima información válida.

Bueno...espero os sea de utilidad esta pequeña herramienta y que además puede ser modificada, para ampliarla o incluso, modificar motores de búsqueda.

Saludos!!!!

@fsanz_moya