domingo, 14 de octubre de 2018

TSSpentestweb. Auditoría Automatizada.


Buenos días a tod@s:

Hoy os traigo una herramienta desarrollada por mi (espero seais compasivos), pero que a los que empezais, os puede ayudar bastante a la hora de realizar una auditoria de pentesting sobre un dominio o una web.

Se trata de una herramienta creada en Bash, con varias herramientas que son llamadas desde el menu principal, pero siguiendo la estructura de un pentest (sería un pentest simple, pero es una tool de codigo abierto y modificable, que es lo mas interesante, como siempre)

 La podeis descargar desde aqui.

Es muy sencilla de utilizar y muy intuitiva. Perfecta para los que estais empezando.
Empezamos...una vez que la descargamos, le damos permisos al fichero:


Posteriormente, lanzamos la herramienta:


Nos aparecerá la pantalla de inicio, donde tendremos que meter el dominio a auditar:
 

Nos mandará al menu principal. Sencillo y repito..muy intuitivo:
 

Los primero es iniciar el análisis completo, donde lo que hará será un spidering, posteriormente , cuando lo termine, guardará todo en una carpeta con el nombre del dominio y donde podremos ver los resultados obtenidos, para posteriormente realizar mas pruebas.


Una vez termina la primar fase, te pide que pulses una tecla para continuar...de nuevo, todo muy facil y sencillo. Después analizará los subdominios, servidores de correo, ip's, transferencia de zona etc.



Después nos dará info de su estructura:


Después busca correos en la red y mas subdominios, si los hubiera.


Analiza también si existe un WAF protegiendo la web.


Pasamos despues a un escaneo intenso sobre el objetivo:


Y se finaliza con el menu de analisis de vulnerabilidades. Aquí debeis tener instaladsas todas las herramientas en Kali. Solo está Nikto por defecto. Ni que decir tiene, que desde el codigo de la tool, podeis modificar lo que querais...es lo bueno...


También tenemos el menú de ataques, donde tenemos metasploit, sqlmap, hydra...pero siempre que en las fases anteriores, nos arrojen la información necesaria. Ya sabeis..antes del ataque, hay que recoger y analizar toda la información.


Una vez terminado todo, antes de ir a los ataques, teneis un directorio que se ha creado en vuestro equipo, en el directorio de la aplicación, donde recoge toda la información anterior.
Hay que estudiarla antes de pasar a la explotación!!



Bueno..espero que os guste esta herramienta y le saqueis partido haciendo modificaciones!!!
En proximos post, os enviare la otra herramienta llamada tsspentestred, para analizar redes internas.

Saludos!!!!
@fsanz_moya

3 comentarios:

  1. Buenas tardes,
    Probando ésta automatización. Gracias por colgarla y hacerla claro!

    Un saludo

    ResponderEliminar
  2. También probando la herramienta.
    Gracias por compartir

    ResponderEliminar