piedra negra Un proyecto o «BlackStone Project» es una herramienta diseñada para automatizar la redacción y envío de informes sobre auditorías de hacking ético o pruebas de penetración.
En esta herramienta podemos registrar en la base de datos las vulnerabilidades que encontramos en nuestras auditorías, clasificarlas por auditoría interna, externa o wifi, además, podemos ingresar su descripción y recomendación, así como las correcciones de gravedad y esfuerzo. Esta información luego nos ayudará a generar una tabla de criticidad en el informe como un resumen global de las vulnerabilidades encontradas.
También podemos dar de alta una empresa, basta con añadir su página web y la herramienta podrá encontrar subdominios, números de teléfono, redes sociales, correos de empleados…
Instalar ventana acoplable
/bin/bash -c «$(curl -fsSL https://get.docker.com)»
systemctl habilitar la ventana acoplable
ventana acoplable de inicio systemctl
Instalar docker-compose
sudo curl -L «-s)-$(uname -m)» -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
instalar piedra negra
clon de git https://github.com/micro-joan/BlackStone
piedra negra de cd
ventana acoplable componer -d
- Primero tenemos que descargar un servidor Apache para alojar la herramienta, en mi caso uso Mamp (recomiendo seguir estos pasos): https://www.mamp.info/en/downloads/
- Descargaremos el contenido de este repositorio, tendremos 2 carpetas (BlackStone y BBDD)
- Después de que se inicie el servidor, iremos a c://MAMP/htdocs y pegaremos todo el contenido de la carpeta descargada «BlackStone»
- Para que la aplicación funcione tenemos que importar la base de datos, vamos al navegador e ingresamos «localhost/phpMyAdmin/», tienes el archivo de conexión de la base de datos en la carpeta BlackStone/conexion.php
- Crearemos una base de datos llamada blackstone e importaremos los datos de la carpeta BBDD descargada
- Inicie sesión en BlackStone con nombre de usuario y contraseña «blackstone»
Primero, debe ir a la configuración del perfil y agregar los tokens Hunter.io y haveibeenpwned.com:
Luego de una vulnerabilidad en la base de datos iremos al cliente auditado, daremos de alta un cliente y su página web, una vez registrado podremos ir a los detalles del cliente y podremos ver lo siguiente:
El uso de esta aplicación es solo para uso profesional y el autor no se hace responsable del uso indebido
- nombre del dueño del negocio
- Red social para dueños de empresas
- Correo electrónico y número de teléfono del propietario de la empresa
- Exponer la comprobación de contraseñas en la web profunda de los propietarios de empresas
- Subdominios del sitio web e información de interés encontrada en google
- Correo electrónico del empleado de la empresa
Una vez hayamos dado de alta en la base de datos la empresa que queremos auditar, crearemos un informe, añadiendo la fecha, el nombre del informe y la empresa que se va a auditar. Cuando nos registremos en un informe, lo editaremos y luego seleccionaremos las vulnerabilidades que nos gustaría que aparezcan en el informe:
Finalmente, generaremos el informe haciendo clic en el botón «Informe general», posteriormente guardaremos la página generada como «.mht», y luego la abriremos con Word para poder procesar el informe generado:
