HABLEMOS DE PENTESTING CON FARADAY EN KALI LINUX

Aun sigo extrañando EKOPARTY. Y el otro día que estaba en stand de lockpickar estaba al costado infobytes explicando sobre FARADAY. Pero me llamo la atención en guarda información para seguir tu propia investigación de pentesting.

Primeramente veamos que al terminar la instalación tiene varias herramientas favoritas de kali linux, en esas herramientas te encuentras un icono F, y de seguro como nuevo dirás que es FARADAY?.

Que es FARADAY?

Desarrollada en Python, a grandes rasgos, cuando ejecutas Faraday en KALI LINUX, se te abre un IDE con una shell, desde la que puedes ejecutar herramientas típicas de cualquier proceso de auditoría como nmap, nikto o theharvester por ejemplo, que automáticamente son interceptados por Faraday y añaden los flags necesarios para que el resultado del análisis de la herramienta se deje en formato XML, en una ruta dentro del home del usuario que la lanza. 

INSTALACIÓN:

En tu Kali Linux lo tendrás instalado por default pero por si la dudas dejare como instalarlo.

git clone https://github.com/infobyte/faraday.git faraday-dev
cd faraday-dev
./install.sh
./faraday-server.py
./faraday.py

Aparte tiene una zona de demo para ustedes puedan ver el funcionamiento completo. Porque en Kali Linux viene la versión gratuita. Pincha Aquí ver la demo.

screenshot-from-2016-11-04-15-07-49

Ahora vemos que podemos hacer con la versión GRATUITA, te puedes divertir un rato.

Que herramientas usa FARADAY?

68747470733a2f2f7261772e6769746875622e636f6d2f77696b692f696e666f627974652f666172616461792f696d616765732f706c7567696e732f506c7567696e732e706e67

  • Acunetix
  • Arachni
  • Burp
  • Core Impact
  • Maltego
  • Metasploit
  • Nessus
  • Netsparker
  • Nexpose
  • NexposeFull
  • Nikto
  • Nmap
  • Openvas
  • Qualysguard
  • Retina
  • W3af
  • X1
  • Zap

Lo puedes agregar también con los plugin.

UBICACIÓN DE FARADAY EN KALI.

Si vamos a “Home” o simplemente por los comandos “ls -la”

screenshot-from-2016-11-04-15-12-56
Lo bueno que si usas KALI persistence también guarda la información.

screenshot-from-2016-11-04-15-15-41

Como también los plugin puedes encontrar. De seguro me habrás escuchado porque una herramienta como FARADAY se maneja con otras herramientas de seguridad. Me respondo a mi mismo. “Porque te puede ayudar a organizarte con muchos reportes.”
Te pongo un ejemplo:
Hagamos un pentesting rápido sin romper nada, con “X”.

screenshot-from-2016-11-04-15-26-08

screenshot-from-2016-11-04-15-41-48

Ahora probemos con otras herramienta.

screenshot-from-2016-11-04-15-42-30

Ahora intentemos ver el modo gráfico de nos ofrece FARADAY y almacena los registros.

screenshot-from-2016-11-04-15-44-58

screenshot-from-2016-11-04-15-45-39

Y ahora queremos ver el tipo de VULNERABILIDAD que obtenemos

screenshot-from-2016-11-04-15-46-37

Ahora veamos como esta diseñado el gráfico.

INGRESA AQUÍ. “http://127.0.0.1:5984/_utils/

Puedes verificar tu instalación: http://127.0.0.1:5984/_utils/verify_install.html

screenshot-from-2016-11-04-15-51-39

También puedes crearte una base de datos y colocar un usuario propio y nada por default.

screenshot-from-2016-11-04-15-50-54

screenshot-from-2016-11-04-15-52-43

Ahora tiene más opciones en modo gráfico para ver la información que has hecho. Para seguir tus reportes también puedes usar PLUGIN.

screenshot-from-2016-11-04-15-58-19

Más información aquí.

Tenemos más opciones para usar pero tienes que pagar por el servicio aunque está muy bueno para empezar con tus propios reportes.

Si te gusto no te olvides en compartirlo, para seguir publicando sobre esto porque es un tema muy largo. Nos vemos en el siguiente post.

Gracias.