24 may. 2019

PUREBLOOD: FRAMEWORK PARA PENTESTING Y BUG HUNTING

 

La idea de este post es mostrarles un poco este potente Framework llamado PureBlood, el cual puede ser un valioso aliado en nuestras tareas de Pentesting o Bug Hunting. Entre las funcionalidades que nos ofrece PureBlood tenemos herramientas para la fase de recolección de información como; Banner Grab, Whois, Tracerout, escáner de puertos, búsqueda de paneles de administración, entre otros.

También contamos con el apartado Web Application Attack desde el cual podremos realizar tareas de SQL Injection y pruebas sobre Wordpress.

Este es el listado de todas las fucnionalidades de este potente Framework:

Web Pentest / Information Gathering:
  • Banner Grab
  • Whois
  • Traceroute
  • DNS Record
  • Reverse DNS Lookup
  • Zone Transfer Lookup
  • Port Scan
  • Admin Panel Scan
  • Subdomain Scan
  • CMS Identify
  • Reverse IP Lookup
  • Subnet Lookup
  • Extract Page Links
  • Directory Fuzz
  • File Fuzz
  • Shodan Search
  • Shodan Host Lookup
Web Application Attack:
  • Wordpress
    • WPScan
    • WPScan Bruteforce
    • Wordpress Plugin Vulnerability Checker
  • Auto SQL Injection
    • Features:
    • Union Based
    • (Error Output = False) Detection
    • Tested on 100+ Websites
  • Generator:
    • Deface Page
    • Password Generator 
    • PLDT WiFi Password Calculator 
    • Text To Hash

Durante el post se mostrarán algunas de sus funciones.
Primero clonamos el repositorio de github con el siguiente comando:

Nos ubicamos en la ruta de instalación e instalamos los requisitos, entre los cuales se encuentran colorama, requests, python-whois, dnspython, bs4 y Shodan:
  • cd pureblood
  • pip install -r requirements.txt
una vez instalado, podemos invocar el framework con el siguiente comando:
  • python pureblood.py

ahora vamos a probar algunas de sus funcionalidades en el apartado Web Pentest / Information Gathering

lo primero es seleccionar un objetivo para las pruebas, en esta ocasión lo haremos con el sitio www.hackthissite.org el cual está diseñado para realizar este tipo de pruebas de forma legal.

Seleccionamos la opción 01 para ingresar al apartado Web Pentest / Informationn Gathering y luego la opción 95 para ingresar nuestro target.


Ahora les dejo algunas capturas de pantalla con el resultado de algunas de las herramientas disponibles en este apartado.







Un ejemplo de un chequeo de pluguins vunerables sobre Wordpress




por ultimo vamos a revisar el apartado Generator en donde podremos realizar tareas como generar passwords con la longitud de caracteres que queramos.


 

 Podemos obtener diferentes tipos de hashes desde una misma cadena de caracteres.

 

 Esto fue una pequeña muestra de lo mucho que pueden hacer con este potente Framework, recuerden realizar sus pruebas bajo un ambiente controlado 😉

@XzupaX

No hay comentarios:

Publicar un comentario

Tus Comentarios son Importantes para Nosotros Siéntete Libre De Opinar