Shutterstock 574000213

Herramientas Serverless para Pentesting


Josemoreno 300x180
José Moreno

En múltiples ocasiones nos ha tocado realizar pensteting pero no tenemos a mano un kali virtualizado o alguna distro de pentest de su elección, entonces usamos a manos servicios diversos que brindan información rápida para análisis de algún objetivo por ejemplo:

Para entrar en contexto debemos comprender primero ¿Qué es Serverless?

“Serverless es un tipo de arquitectura donde los servidores (físicos o en la nube) dejan de existir para el desarrollador y en cambio el código corre en ambientes de ejecución que administran proveedores como Amazon, Google, IBM, etc.”

 

Por mencionar algunos, no quiero extender el listado de herramientas que podríamos tener, la idea fundamental resulta en tener que iniciar un vps dedicado, en algún proveedor e instalarle las herramientas o tener que iniciar uno preparado que tenga los contenedores con todas el arsenal que utilicemos, estos son minutos que podemos estar aprovechando para algo un poco más beneficioso como es seguir estudiando algo nuevo.

 

Como punto a observar sería verificar la infraestructura no es propia, por lo que siempre esta el riesgo de filtrar información confidencial, sin embargo para efectos educativos no existe mayor problema, faltaría si contamos con la infraestructura para contar con nuestra propio datacenter y no correr el riesgo de alguna fuga de información.

 

Procedemos primero a investigar algunas plataformas para serverles la más conocida por obvias razones Amazon Lambda, pero usaremos una alternativa llamada Zeit.co solo necesitamaos asociar nuestra cuenta de gihub o gitlab o podemos crear una nueva cuenta si lo deseamos.

 

En mac

$ brew install node

 

 

En linux

sudo apt install nodejs

 

Una vez hemos creado la cuenta vamos a ir a la imagen al lado del perfil, donde aprece la opción coman-line,  nos aparece unas indicaciones para instalar npm, pero debemos tener instalado node

 

 

Esta consola permitara trabajar directamente a nuestra cuenta de Zeit desde nuestra terminal y introducimos nuestras credenciales de Zeit y nos llegara un correo de confirmación

$ now login

 

 

Vamos a clonar el repositorio https://github.com/ropnop/serverless_toolkit

$ git clone https://github.com/ropnop/serverless_toolkit.git

 

cd serverless_toolkit

 

 

Creamos un pequeño servidor de archivos, el mismo tiene como finalidad permitirnos subir alguna shell para luego descargarla en nuestro objetivo sin tener que tener un servidor para datos o crear un servidor web para este objetivo.

Accedemos al directorio static_example

$ cd static_example

Publicamos el servidor

$ now –public

Procedemos a seleccionar las opciones por defectos