Realizando Pruebas de Seguridad con el Framework Faraday

Post57 nn

Introducción

Una vez que se comprende el cómo realizar un Pentest, es necesario aprender a optimizar tiempo para poder obtener resultados de una manera mucho más expedita, por esta razón en esta oportunidad hablaremos sobre Faraday. Faraday es una framework que funciona como una caja que contempla todas las acciones que se hacen con las herramientas habituales de pentesting para ir recogiendo los resultados en cada uno de los formatos de salida que tienen las utilidades y unificar la información que se ha obtenido en un repositorio común. Faraday posee una shell que permite ejecutar cualquiera de las herramientas de Kali Linux. (Este Framework viene por defecto en Kali Linux 2).

Si no posees Faraday, lo puedes descargar del repositorio oficial.

https://github.com/infobyte/faraday

Una vez descargado ejecutar install.sh y listo, podrán ejecutarlo sin problemas, al iniciar Faraday, aparecerá una interfaz como la siguiente:


Framework Faraday Pentesting – Interfaz de Faraday


En primer lugar realizaremos un escaneo de puertos hacia un objetivo en particular.




Framework Faraday Pentesting – Escaneando Puertos



Realizamos un escaneo de la forma nmap –sV –T4 –A 192.168.206.130. Sin embargo cómo es posible apreciar en la imagen anterior al comando ingresado, se le añade automáticamente la opción oX, para crear un archivo xml con la salida del escaneo. Podemos ejecutar cualquier comando de Kali dentro de esta terminal y de esta manera realizar Test de Penetración a través de esta interfaz, a continuación crearemos un espacio de trabajo el cual nos servirá para poder almacenar los resultados y posteriormente obtener un reporte.

Pero primeramente lo que haremos será habilitar la conexión con la base de datos CouchDB, esto nos servirá para la gestión de los datos (reportes). Para hacer esto vamos al menú edit -> Server Connection. Y posteriormente habilitamos el puerto a la escucha de la siguiente manera.


http://127.0.0.1:5984


Framework Faraday Pentesting – Conectándose con la Base de Datos CouchDB


Luego  le damos en OK, y automáticamente se establecerá la conexión con dicho Motor de Base de Datos. Luego creamos el espacio de trabajo en la opción workspace -> Create.


Framework Faraday Pentesting – Creando un Espacio de Trabajo (1)


Framework Faraday Pentesting – Creando un Espacio de Trabajo (2)


Creamos un espacio de trabajo (a modo de ejemplo se agregó el nombre de btacademy), Posteriormente realizamos algún tipo de ataque a un host específico, utilizaremos la herramienta nikto para esta prueba.

Luego realizamos un Escaneo de Puertos a un host y obtenemos lo siguiente:


Framework Faraday Pentesting – Escaneando puertos (2)


Finalmente vamos a tool -> visualize (esto lo hacemos para visualizar el escaneo a través de un reporte de manera formal). Se nos abrirá el browser con lo siguiente


Framework Faraday Pentesting – Dashboard Scan


Podemos Ver que el host no posee mucha información sobre vulnerabilidades, si existiesen vulnerabilidades asociadas, se podrían detectar exploits para dichas versiones, lo interesante de esta herramienta, es que la podríamos vincular con la base de datos de Nessus por ejemplo para poder detectar más vulnerabilidades a nivel de servicio.



Artículos que te pueden interesar

Perfil Samuel Esteban
Creado casi 2 años | leído hace 33 minutos

Sqlmap Parte 1: Automatizando Inyección SQL - Backtrack Academy

Sqlmap Parte 1: Automatizando Inyección SQL

Sqlmap es una poderosa herramienta la cual permite automatizar la vulnerabilidad de Inyección SQL. Cuando se realiza un Pente...


11377199 823624627724323 316179458809227237 n Luis Yapura
Creado más de 2 años | leído hace 1 minuto

¿Qué es ser un Hacker? - Backtrack Academy

¿Qué es ser un Hacker?

Un nombre mítico para muchos envuelto de misterio y con cierta magia al pronunciar esas palabras, pero ¿que significa realme...