GFSistemas Ecuador - Realizando Pruebas de Seguridad con el Framework Faraday
19
Junio
(0 votos)

Blog

Realizando Pruebas de Seguridad con el Framework Faraday

Faraday es una framework que funciona como una caja que contempla todas las acciones que se hacen con las herramientas habituales de pentesting para ir recogiendo los resultados en cada uno de los formatos de salida que tienen las utilidades y unificar la información que se ha obtenido en un repositorio común.


Faraday posee una shell que permite ejecutar cualquiera de las herramientas de Kali Linux. (Este Framework viene por defecto en Kali Linux 2).

Si no posees Faraday, lo puedes descargar del repositorio oficial.

https://github.com/infobyte/faraday

Una vez descargado ejecutar install.sh y listo, podrán ejecutarlo sin problemas, al iniciar Faraday, aparecerá una interfaz como la siguiente:

 

Framework Faraday Pentesting – Interfaz de Faraday

 

En primer lugar realizaremos un escaneo de puertos hacia un objetivo en particular.

 
 

Framework Faraday Pentesting – Escaneando Puertos

Realizamos un escaneo de la forma nmap –sV –T4 –A 192.168.206.130. Sin embargo cómo es posible apreciar en la imagen anterior al comando ingresado, se le añade automáticamente la opción oX, para crear un archivo xml con la salida del escaneo. Podemos ejecutar cualquier comando de Kali dentro de esta terminal y de esta manera realizar Test de Penetración a través de esta interfaz, a continuación crearemos un espacio de trabajo el cual nos servirá para poder almacenar los resultados y posteriormente obtener un reporte.

Pero primeramente lo que haremos será habilitar la conexión con la base de datos CouchDB, esto nos servirá para la gestión de los datos (reportes). Para hacer esto vamos al menú edit -> Server Connection. Y posteriormente habilitamos el puerto a la escucha de la siguiente manera.

http://127.0.0.1:5984

Framework Faraday Pentesting – Conectándose con la Base de Datos CouchDB

Luego  le damos en OK, y automáticamente se establecerá la conexión con dicho Motor de Base de Datos. Luego creamos el espacio de trabajo en la opción workspace -> Create.

Framework Faraday Pentesting – Creando un Espacio de Trabajo (1)

Framework Faraday Pentesting – Creando un Espacio de Trabajo (2)

Creamos un espacio de trabajo (a modo de ejemplo se agregó el nombre de btacademy), Posteriormente realizamos algún tipo de ataque a un host específico, utilizaremos la herramienta nikto para esta prueba.

Luego realizamos un Escaneo de Puertos a un host y obtenemos lo siguiente:

Framework Faraday Pentesting – Escaneando puertos (2)

Finalmente vamos a tool -> visualize (esto lo hacemos para visualizar el escaneo a través de un reporte de manera formal). Se nos abrirá el browser con lo siguiente

Framework Faraday Pentesting – Dashboard Scan

Podemos Ver que el host no posee mucha información sobre vulnerabilidades, si existiesen vulnerabilidades asociadas, se podrían detectar exploits para dichas versiones, lo interesante de esta herramienta, es que la podríamos vincular con la base de datos de Nessus por ejemplo para poder detectar más vulnerabilidades a nivel de servicio.

Modificado por última vez en Junio 19, 2017
Jorge Aguilar

En los últimos años he ayudado a profesionales y empresas a lograr un incremento sostenible en ventas y posicionar de una mejor forma su marca, en este blog compartiré muchos temas de actualidad e interés.

Sitio Web: gfsistemas.net

Asesoría Inmediata
(02)604 6802  
(02)604 6803

Contacto directo, Respuesta Inmediata 099 8933 278

Diseñamos Páginas Web Profesionales

Consultoría

Un servicio exclusivo para profesionales que quieren crear su marca personal, potenciar su presencia online o que quieren vender productos y servicios a través de Internet.

CUÉNTANOS CÓMO PODEMOS AYUDARTE

Nuestras Marcas
ecuador 360 gfm  paraiso host

Ventas: ventas@gfsistemas.net

SOPORTE TÉCNICO