Blog

ACTUALIDAD
Auditoría de Pentesting automatizados sobre un dominio o una web
4 Sep 2019

Creando mi propio Passive Recon

Creando mi propio Passive Recon – Auditoría de Pentesting automatizados

Hola a tod@s.

Después de unas vacaciones, hoy os traigo una actualización de una herramienta que ya os mostré para realizar auditoría de Pentesting automatizados. Podeis recordar la entrada aquí.

Hoy vamos a ampliar un poquito el script creado en bash, metiendo algo de recolección de información, como cuando usábamos el complemento de Firefox PassiveRecon (ya desactualizado).

Pues bien, lo que he hecho ha sido introducir en el script peticiones para la recolección, así como la instalación del complemento de Google Dorks para Firefox: Google Dork Builder.

Lo que he introducido es lo siguiente:

Auditoría de Pentesting automatizados sobre un dominio o una web

A la hora de lanzar el script nos pide el objetivo…

Auditoría de Pentesting automatizados sobre un dominio o una web

Después seleccionamos la opción 1, el análisis completo, y comienza el análisis con la parte de recolección que hemos introducido.

Auditoría de Pentesting automatizados sobre un dominio o una web

Comienza abriendo Firefox con la primera instrucción para ver si encontramos subdominios y paginas interesantes…

Auditoría de Pentesting automatizados sobre un dominio o una web

Una vez cerramos esta página nos salta a la siguiente instrucción y vuelve a abrirnos Firefox.

Auditoría de Pentesting automatizados sobre un dominio o una web

Continua ahora con Whois (en este caso hemos cambiado a Dondominio puesto que domaintools tiene limitadas las peticiones).

Auditoría de Pentesting automatizados sobre un dominio o una web

La siguiente petición nos lleva al complemento Google Dork Builder; debemos instalarlo en nuestro navegador.

Auditoría automatizada de pentesting sobre un dominio o una web

Cuando lo instalemos y cerremos la pestaña nos aparecerán en pantalla una serie de instrucciones para probar en el complemento Google Dork Builder que acabamos de instalar.

Auditoría automatizada de pentesting sobre un dominio o una web

Bien, pues abrimos el navegador y nos vamos al complemento…

Auditoría automatizada de pentesting sobre un dominio o una web

Y una vez abierto podremos introducir las instrucciones de la pantalla anterior.

Auditoría automatizada de pentesting sobre un dominio o una web

Copiamos y pegamos las instrucciones que nos salen en nuestro script (he cogido la segunda, pero lo bueno es ir de una en una) y vamos pulsando SEARCH.

Auditoría automatizada de pentesting sobre un dominio o una web

Auditoría automatizada de pentesting sobre un dominio o una web

Ahí tenemos un pdf donde podemos sacar metadatos. Lo mismo con todas las instrucciones restantes… copiar y pegar en el complemento instalado.

De esta forma hemos ampliado nuestra aplicación para recolectar más información en el primer paso de una auditoría de Pentest automatizado sobre un dominio o una web.

Saludos y ¡hasta la próxima publicación!

@fsanz_moya

CEO TSS

Posicionamiento Web SEO: David Moreno Rozas

Creando mi propio Passive Recon – Auditoría de Pentesting automatizados