BASKET. Notepad advanced for hacking purpose...
Una de las tareas mas complejas de un test de intrusión o auditoría de seguridad es sin duda la parte de organización de trabajo y reporting, vamos... como en programación o sistemas xD.
En este blog hablamos de muchas cosas, algunas técnicas, y otras relacionadas con las habilidades del auditor para encontrar información que le pueda servir de ayuda. Si te limitas a realizar test de vulnerabilidades con unas herramientas, llegarás a poco, la gente tiene Firewalls !!!.
Por ejemplo, hemos hablado de herramientas para generar wordlist, en base a procesos de spidering de webs. Pero por ejemplo, qué pasa si navegando por la red, encontramos datos del sysadmin, como por ejemplo, que le gusta ESDLA y los perros, o que está metido en una red social de amigos de las nutrias. La diferencia la pueden marcar estos detalles. Pero... como mezclar toda la información técnica que tenemos y la información "social". Apuntes, hallazgos de nuevos servidores/ip´s. Qué pasa si a última hora de tu jornada descubres algo, pero te tienes que marchar a casa...
Puedes usar un Notepad a modo de diario, para ir apuntando tus "movidas". Para eso os comento hoy la app BASKET. Similiar a KeepNote y Magictree o One Note.
Las teclas del piano son sencillas:
instalamos librerias: apt-get install cmake libmng-dev kdepimlibs5-dev libmng-dev libqimageblitz-dev
descargamos aplicacion: wget http://basket.kde.org/downloads/?file=basket-1.81 -O basket-1.81.tar.bz2
Esto no sé para que es: tar xjvf basket-1.81.tar.bz2 cd basket-1.81
Instalamos: ./installer
Como veis, tenemos una estructura arborescente y unos nodos, llamados basket xD.
Podemos insertar distintos elementos como son Textos, imágenes, links, referencias a otros "basket", launchers, ficheros de todo tipo, etc.
Tenemos todo tipo de "tuneado" de apariencia, algo en lo que no me paro mucho.
En este blog hablamos de muchas cosas, algunas técnicas, y otras relacionadas con las habilidades del auditor para encontrar información que le pueda servir de ayuda. Si te limitas a realizar test de vulnerabilidades con unas herramientas, llegarás a poco, la gente tiene Firewalls !!!.
Por ejemplo, hemos hablado de herramientas para generar wordlist, en base a procesos de spidering de webs. Pero por ejemplo, qué pasa si navegando por la red, encontramos datos del sysadmin, como por ejemplo, que le gusta ESDLA y los perros, o que está metido en una red social de amigos de las nutrias. La diferencia la pueden marcar estos detalles. Pero... como mezclar toda la información técnica que tenemos y la información "social". Apuntes, hallazgos de nuevos servidores/ip´s. Qué pasa si a última hora de tu jornada descubres algo, pero te tienes que marchar a casa...
Puedes usar un Notepad a modo de diario, para ir apuntando tus "movidas". Para eso os comento hoy la app BASKET. Similiar a KeepNote y Magictree o One Note.
Las teclas del piano son sencillas:
instalamos librerias: apt-get install cmake libmng-dev kdepimlibs5-dev libmng-dev libqimageblitz-dev
descargamos aplicacion: wget http://basket.kde.org/downloads/?file=basket-1.81 -O basket-1.81.tar.bz2
Esto no sé para que es: tar xjvf basket-1.81.tar.bz2 cd basket-1.81
Instalamos: ./installer
Como veis, tenemos una estructura arborescente y unos nodos, llamados basket xD.
Podemos insertar distintos elementos como son Textos, imágenes, links, referencias a otros "basket", launchers, ficheros de todo tipo, etc.
Una vez tenemos nuestro basket lleno de información, podemos exportarlo a HTML, o a otro fichero Basket.
Por ejemplo, nos podemos crear un BASKET original, con nuestra metodología de pentest, con nuestras fases, comandos, programas etc y usarlo de plantilla para organizar nuestra información.
Tenemos una versión on-line, muy interesante en: http://basket.kde.org/webasket/
Espero que os guste esta aplicación, y que como siempre, os pongo la semilla para que ahora investigueis vosotros.
Un abrazo a todos !!