Yuki Chan Script: Análisis de penetración automatizado para sitios web.


Probado en: Kali Linux

Este post tal vez sea uno de lo de mas cuidado que he escrito hasta el momento, pero no por eso voy a dejar de escribirlo. En esta ocasión voy a mostrar un script, una herramienta muy útil que lo que hace es automatizar todo el proceso de análisis de penetración en un computador utilizando las herramientas open source presentes en Kali linux. El script fue realizado por yuki chan, todos los créditos de creación para él. Sin mas empecemos como un pequeño faq sobre lo que hace el programa para luego seguir con las instrucciones de instalación y uso.

ATENCIÓN: Al ver este tutorial, te atienes a que no vas a hacer nada ilegal con la información aquí proporcionada, porque entonces te caería el FBI y tu anus sería del tamaño de balon de basket, así que tu no quieres infringir la ley y vas a hacer tus prácticas en tu propio laboratorio, así como se realiza en este blog. 

Un pentesting sobre un sitio web abarca mucho, demasiado para tratarlo en un solo post. Digamos que lo que hace el programa es realizar una automatización de los siguientes programas de auditoría web, logrando que el pentest se realice con tan solo introducir una url, así de simple. 

Whois domain analyzer
Nslookup
Nmap
TheHarvester
Metagoofil
DNSRecon
Sublist3r
Wafw00f
WAFNinja
XSS Scanner
WhatWeb
Spaghetti
WPscan
WPscanner
WPSeku
Droopescan (CMS Vulnerability Scanner Wordpress, Joomla, Silverstripe, Drupal, And Moodle)
SSLScan
SSLyze
A2SV
Dirsearch

A continuación pondré el tutorial completo.

INSTALACIÓN

Requerimientos

La instalación del programa debe realizarse en sistemas linux, esta diseñado para ello. También hay una serie de preinstalaciones y permisos que dar antes de poder utilizar el programa. Vamos a empezar con la descarga desde github del script en el siguiente enlace: ENLACE.

Para linux Ubuntu kali parrot introducir en una terminal con root en ese orden, uno por uno:

apt-get install nmap

pip install wafw00f

sudo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev

pip install --upgrade setuptools

pip install sslyze

Con esto, completaremos los requerimientos necesarios para la instalación. Ahora, vamos al archivo descargado, lo abrimos, descomprimimos el zip, abrimos la carpeta descomprimida o tipeas en la terminal:

cd Yuki-Chan-The-Auto-Pentest

Luego, desde esa carpeta damos los permisos necesarios de ejecución

chmod 777 wafninja joomscan install-perl-module.sh yuki.sh

chmod 777 Module/WhatWeb/whatweb

Luego de esto y desde la carpeta, instalamos los requerimientos tipeando en la terminal:

pip install -r requirements.txt

Luego, instalamos el modulo de perl tipeando en la terminal:

./install-perl-module.sh

y finalmente ejecutamos el programa tipeando en la terminal

./yuki.sh

Allí, ya deberíamos poder usar el programa. 

USO

Muy simple, al ejecutarlo, el programa nos pedirá una url. El se encargará de realizar el resto automáticamente, porque de eso se trata. Sin mas, dejo un video donde se muestra el alcance del programa con la web nambla(punto)org la cual es una pagina de hombres buscando sexo con niños y eso es repugnante. 

Comments