Tutoriales

Redacción de informes de vulnerabilidades o errores utilizando Dradis y MagicTree en Kali Linux 2023

Después de descubrir una vulnerabilidad, un evaluador de penetración o un cazarrecompensas de errores siempre debe enviar un informe a empleador. Esta es una de las partes más importantes de todo trabajo de pruebas de penetración. Un buen informe debe incluir cada detalle de la vulnerabilidad. Escribir un buen informe es imprescindible y es un arte para los cazadores de recompensas.Entonces, en este tutorial detallado, aprenderemos cómogenerar o escribir informes Acerca de nuestras vulnerabilidades KaliLinux
sistema.

Nuestro objetivo es claro, debemos ser lo más detallados posible, lo que ayudará a los desarrolladores a conocer todos los detalles sobre la vulnerabilidad y solucionarla con el parche adecuado lo más rápido posible.

Hay muchas formas de crear un informe de prueba de penetración. En este artículo detallado, aprenderemos sobre algunas herramientas que podemos utilizar para crear informes perfectos con todos los detalles.

Aquí vemos algunos de los puntos clave que siempre deben incluirse en tus informes:

Sistema de puntuación de vulnerabilidad común (cvss) es un método estándar para calificar las vulnerabilidades de TI y determinar la urgencia de la respuesta.Podemos leer más sobre CVSS aquí.

En este artículo detallado, discutiremos cómo escribir un buen informe sobre la máquina Kali Linux. Aquí utilizamos algunas buenas herramientas gratuitas para redactar informes.

Generar informes usando Dradis

Dradis es una aplicación de colaboración e informes basada en navegador de código abierto para combinar resultados de diferentes aplicaciones y preparar informes. Dradis es muy fácil de usar, pero lamentablemente no viene con Kali Linux (nueva versión).

Instalar Dradis

Instalar Dradis es muy sencillo, podemos seguir Dradis Github Página. Pero hay un proceso simple. Podemos ejecutar el siguiente comando:

sudo apt-get install dradis

Este comando instalará Dradis pero llevará algún tiempo dependiendo de la velocidad de su red.

La captura de pantalla muestra el resultado del comando anterior:

Instalar dradis en Kali Linux

Después de instalar Dradis, simplemente podemos usar el comando dradis para ejecutarlo:

Dradis es una herramienta basada en web, por lo que se ejecuta en un navegador.Después de ejecutarse, Dradis abrirá el navegador en unos segundos o tal vez necesitemos abrirlo manualmente.

Captura de pantalla a continuación:

Configurando Dradis

Aquí podemos configurar nuestra contraseña compartida para acceder al marco Dradis e iniciar sesión con la contraseña.

Después de configurar la contraseña, debemos elegir un nombre de usuario e ingresar la contraseña, y seremos redirigidos al panel de Dradis como se muestra en la imagen a continuación.

Dradis en Kali Linux

La versión gratuita del marco Dradis admite complementos para herramientas como nmap, Acunetix y Nikto.

En el marco de Dradis podemos crear métodos. Estos métodos pueden verse como una lista de verificación que se puede utilizar al realizar pruebas de penetración para una organización.

Para construir un método, vamos a la pestaña Métodos y hacemos clic Agregar nuevo.

Luego especificamos un nombre y hacemos clic Añadir al proyecto.

Agregar nuevo proyecto en Dradis

Ahora podemos ver la lista de ejemplos creados para nosotros. Podemos editarlo haciendo clic en el botón «Editar» a la derecha.

Ahora veamos cómo organizar mejor nuestros informes de escaneo. Nos situamos en la opción Nodo del menú de la izquierda y pulsamos en el signo +. Luego se abrirá una ventana emergente donde podremos agregar el rango de red y hacer clic en Agregar.

Agregar nodo de nivel superior

También podemos agregar nuevos nodos secundarios seleccionando el nodo en el panel izquierdo y seleccionando la opción «Agregar nodo secundario». Este subnodo es útil cuando realizamos actividades de pruebas de penetración en la red de una organización en función de las direcciones IP del host.

Luego podemos agregar notas y capturas de pantalla como prueba de concepto del error que encontramos.

prueba de concepto

Incluso podemos importar los resultados de varias herramientas a Dradis. Esto se puede hacer seleccionando «Cargar resultados desde la herramienta» en el menú superior de Dradis.

Utilice varias herramientas en Dradis

Aquí podemos cargar nuestro archivo de salida. El marco Dradis tiene algunos complementos integrados que pueden analizar informes de diferentes herramientas.

Una vez que se completa la importación, podemos ver los resultados en el panel izquierdo en Salida del complemento. Los resultados de Dradis se pueden exportar en una variedad de formatos, como CSV, HTML, JSON.

Podemos ver el resultado del escaneo que acabamos de importar.

Producir resultados de Dradis

Asimismo, se pueden importar y combinar diferentes escaneos y exportarlos como informes utilizando la herramienta Dradis.

Así es como producimos informes de actividad de pruebas de penetración de alta calidad para organizaciones que utilizan: marco dradis en nuestro KaliLinux sistema.

MagicTree – herramienta mágica de informes

Existe otra herramienta para redactar informes llamada MagicTree. MagicTree es una herramienta de gestión de datos y generación de informes de productividad, muy similar a Dradis. Está diseñado para permitir una integración de datos simple y directa, consultas, ejecución de comandos externos y creación de informes obvios.

Se llama «Árbol» porque todos los datos se almacenan en una estructura de árbol, y «Magic» porque su diseño completa mágicamente la parte más grande y aburrida de las pruebas de penetración: la gestión de datos y los informes.

Instalar árbol mágico

MagicTree estaba preinstalado en versiones anteriores de Kali Linux, pero no en la última versión de Kali Linux. Entonces necesitamos descargarlo. Para descargarlo utilizamos el siguiente comando:

wget 
Descargar Árbol Mágico

Luego se descargará el archivo jar. Este es un archivo ejecutable y no necesitamos instalarlo. Simplemente podemos usar el siguiente comando para ejecutarlo:

java -jar MagicTree-build1814.jar

Luego de aceptar los términos y condiciones, podremos ver la aplicación MagicTree.

Panel de control del árbol mágico

A continuación, creamos un nodo haciendo clic nodo barra de menú y navegue hastacreado automáticamente”.

Crear nodo

En el cuadro que se abre, ingrese la dirección IP del host que desea agregar. Después de agregar un nuevo nodo, aparecerá en el panel izquierdo.

Anfitrión del nodo

Para realizar un escaneo en el host, ingresamos vista de tabla; En la parte inferior podemos ver un cuadro titulado Orden.

Podemos realizar escaneos de Nmap en nuestros hosts recién agregados.

MagicTree nos permite consultar datos y enviarlos al shell.hacemos clic P*
y seleccionará automáticamente el host para nosotros.

Ahora, solo necesitamos ingresar el siguiente comando:

nmap -v -Pn -A -oX $results.xml $host

El resultado del comando anterior se muestra en la siguiente captura de pantalla.

Comando nmap en MagicTree

El anfitrión se ha determinado aquí, no es necesario mencionarlo aquí.Luego hacemos clic correr.

escaneo de nmap en MagicTree

En la captura de pantalla anterior, vemos una ventana que muestra el escaneo que se realiza junto con el resultado.Una vez completado el escaneo, haga clic en importare importarlo a MagicTree.

Asimismo, podemos ejecutar cualquier otra herramienta e importar sus informes a MagicTree.

Finalmente podemos generar informes haciendo clic Informes > Generar informe.

generar informe

En la siguiente ventana podemos ver la lista de plantillas que se utilizarán para guardar el informe generado, como se muestra en la captura de pantalla siguiente.

Luego hacemos clic
generar informe y veremos que se está generando el informe.

generar informe

Así es como redactamos informes sobre las actividades de pruebas de penetración. Este es el paso más importante en la piratería ética y la búsqueda de recompensas por errores.No solo Dradis y MagicTree, hay muchas más opciones para elegir, como
serpico.

Así es como escribimos o producimos un informe de trabajo de pruebas de penetración usando:
Dradis, arbol magico y serpico En o KaliLinux máquina. Para saber más sobre los tutoriales de Kali Linux, siga nuestro sitio web.

Para actualizaciones rápidas y pequeñas noticias, síguenos Gorjeo

y Moderado.

LEER  Cómo asignar una dirección IP a un sistema Linux remoto a través de SSH

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba