BlackStone Herramienta de Informes de Pentesting

BlackStone: Herramienta de Informes de Pentesting

El proyecto BlackStone o ” BlackStone Project” es una herramienta creada con el fin de automatizar el trabajo de redacción y presentación de un informe de auditorías de hacking ético o pentesting.

En esta herramienta podemos registrar en la base de datos las vulnerabilidades que encontremos en la auditoría, clasificándolas por internas, externas o WiFi, además, podemos colocar la descripción y recomendación de las mismas, así como el nivel de severidad y el esfuerzo para su corrección. Esta información nos ayudará a generar en el informe una tabla de criticidad como resumen global de las vulnerabilidades encontradas.

También podemos dar de alta una empresa y, con sólo añadir su página web, la herramienta será capaz de encontrar subdominios, números de teléfono, redes sociales, correos electrónicos de los empleados…

Instalación de Docker

Instalar Docker

/bin/bash -c "$(curl -fsSL https://get.docker.com)"
systemctl enable docker 
systemctl start docker 

Instalar docker-compose

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

Instalar BlackStone

git clone https://github.com/micro-joan/BlackStone
cd BlackStone
docker-compose up -d

Acceso

Usuario: blackstone. Contraseña: blackstone

Instalación Manual

  • Primero debemos descargar un servidor Apache para alojar la herramienta, como ejemplo, usa Mamp (recomiendo seguir estos pasos): https://www.mamp.info/en/downloads/
  • Descargaremos el contenido de este repositorio y tendremos 2 carpetas (BlackStone y BBDD)
  • Una vez iniciado el servidor iremos a c://MAMP/htdocs y pegaremos todo el contenido de la carpeta descargada “BlackStone
  • Para que la aplicación funcione tendremos que importar la base de datos, iremos a nuestro navegador y escribiremos “localhost/phpMyAdmin/“, tienes el archivo de conexión a la base de datos en la carpeta BlackStone/conexion.php
  • Crearemos una base de datos llamada blackstone e importaremos los datos de la carpeta BBDD descargada
  • Accede a BlackStone con el nombre de usuario y la contraseña “blackstone

Uso de BlackStone

Primero tienes que ir a la configuración del perfil y añadir los tokens de Hunter.io y haveibeenpwned.com:

Después de tener las vulnerabilidades en la base de datos, iremos al cliente auditado y registraremos un cliente junto con su página web, una vez registrado podemos ir a los detalles del cliente y podemos ver la siguiente información:

Nota

EL USO DE ESTA APLICACIÓN ES PARA USO PROFESIONAL, EL AUTOR NO SE HACE RESPONSABLE DE UN MAL USO EMPLEADO

  • Nombre del propietario de la empresa
  • Redes sociales del propietario de la empresa
  • Correo electrónico y número de teléfono del propietario de la empresa
  • Comprobación de la contraseña expuesta en la web profunda del propietario de la empresa
  • Subdominios de la web así como información de interés encontrada en Google
  • Correos electrónicos de los trabajadores de la empresa

Una vez que tengamos registrada en la base de datos la empresa que vamos a auditar, crearemos un informe, añadiendo la fecha, el nombre del informe y la empresa a la que se va a auditar. Cuando demos de alta el informe, le daremos a editar y luego seleccionaremos las vulnerabilidades que queremos que aparezcan en el informe:

Por último, generaremos el informe pulsando el botón “overview report“, y posteriormente guardaremos la página que se genera como “.mht“, luego la abriremos con Word para poder trabajar sobre el informe generado:

Video de Instalación y Uso

My Cart Close (×)

Tu carrito está vacío
Ver tienda