Blog

ACTUALIDAD
16 Nov 2018

TSSpentest: Nueva herramienta de auditoría pentest automatizada

Hoy os presentamos una herramienta desarrollada por Francisco Sanz, CEO en The Security Sentinel. Esperamos que esta herramienta os sirva de ayuda a la hora de realizar una auditoría pentest sobre un dominio o una web.

Estamos hablando de una herramienta creada en Bash, con varias herramientas que son llamadas desde el menú principal, pero siguiendo la estructura de un pentest (sería un pentest simple, pero es una tool de código abierto y modificable, que es lo más interesante).

Podéis descargar esta herramienta desde aquí.

¿Cómo realizar una auditoría pentest automatizada con TSSpentest?

TSSpentest es muy sencilla de utilizar y muy intuitiva. Es perfecta para aquellos que estéis empezando. Una vez que la descarguemos, le damos permiso al fichero:

Pentest1

Posteriormente, lanzamos la herramienta:

pentest 2

Nos aparecerá la pantalla de inicio, donde tendremos que meter el dominio a auditar:

pentest 3

Acto seguido, nos mandará al menú principal. Todo muy sencillo e intuitivo:

pentest 4

Lo primero es iniciar el análisis completo, donde lo que hará será un spidering, posteriormente, cuando lo termine, guardará todo en una carpeta con el nombre del dominio y donde podremos ver los resultados obtenidos, para posteriormente realizar más pruebas.

pentest 5

Una vez que termine la primera fase, te pedirá que pulses una tecla para continuar. A continuación, analizará los subdominios, servidores de correo, ip’s, transferencia de zona, etcétera.

pentest 6

pentest 7

Después nos dará información de su estructura:

pentest 8

Seguidamente buscará correos en la red y más subdominios, si los hubiera.

pentest 9

Analiza también si existe un WAF protegiendo la web.

pentest 10

Pasamos después a un escaneo intenso sobre el objetivo:

pentest 11

Y se finaliza con el menú de análisis de vulnerabilidades. Aquí debéis tener instaladas todas las herramientas en Kali. Solo está Nikto por defecto. Desde el código de la tool, podéis modificar todo lo que queráis.

pentest 12

También tenemos el menú de ataques, donde encontramos metasploit, sqllmap, hydra… pero siempre que en las fases anteriores nos arrojen la información necesaria.

Antes del ataque, hay que recoger y analizar toda la información.

pentest 13

Una vez terminado todo, antes de ir a los ataques, encontraréis un directorio que se ha creado en vuestro equipo, en el directorio de la aplicación, donde se recoge toda la información anterior.

¡Tenemos que estudiarla antes de pasar a la explotación!

pentest 14

pentest 15

Esperamos que os haya gustado esta herramienta y que le saquéis partido haciendo modificaciones.

Próximamente tendremos noticias de una nueva herramienta, llamada Tsspentestred, para analizar redes internas.