El reconocimiento es parte fundamental de las fases de pentesting, en ocasiones cuando queremos probar una vulnerabilidad día zero o solo queremos comprobar un exploit por curiosidad, hasta probar malas configuraciones de seguridad que se dan mucho en la actualidad y más debido al aceleramiento de la transformación digital causada por la pandemia.
Por lo que en una lectura que comparto al final en las referencias, encontré un código el cual realizaba una búsqueda en shodan y enviaba las notificaciones al email, sin embargo, en muchas ocasiones no utilizamos el correo para comunicación inmediata, por tanto, se hizo una modificación de este para hacer una búsqueda de lo que quisiéramos, monitoreando y almacenando el resultado en la Elasticsearch y la notificación llegará a slack.
Requerimientos:
- Shodan Api Key
- VPS o un equipo con Python
- Elasticsearch
- Una cuenta de slack habilitada con integración en un canal con webhooks
Primero instalaremos Elasticsearch y lo configuramos
Añadimos la llave GPG
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –
Instalamos el paquete https-transport
apt-get install apt-transport-https
Guardamos el repositorio
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Instalamos elasticsearch
apt-get update && sudo apt-get install elasticsearch
Comprobamos el estado del servicio, el cual debería estar desactivado, utilizamos el comando
systemctl status elasticsearch
Iniciamos el servicio con el comando
systemctl start elasticsearch
Verificamos nuevamente que este arriba
Comprobamosmos que el elasticsearch este funcionando con curl
curl -i http://127.0.0.1:9200