El proyecto BlackStone o ” BlackStone Project” es una herramienta creada con el fin de automatizar el trabajo de redacción y presentación de un informe de auditorías de hacking ético o pentesting.
En esta herramienta podemos registrar en la base de datos las vulnerabilidades que encontremos en la auditoría, clasificándolas por internas, externas o WiFi, además, podemos colocar la descripción y recomendación de las mismas, así como el nivel de severidad y el esfuerzo para su corrección. Esta información nos ayudará a generar en el informe una tabla de criticidad como resumen global de las vulnerabilidades encontradas.
También podemos dar de alta una empresa y, con sólo añadir su página web, la herramienta será capaz de encontrar subdominios, números de teléfono, redes sociales, correos electrónicos de los empleados…
Instalación de Docker
Instalar Docker
/bin/bash -c "$(curl -fsSL https://get.docker.com)"
systemctl enable docker
systemctl start docker
Instalar docker-compose
sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
Instalar BlackStone
git clone https://github.com/micro-joan/BlackStone
cd BlackStone
docker-compose up -d
Instalación Manual
- Primero debemos descargar un servidor Apache para alojar la herramienta, como ejemplo, usa Mamp (recomiendo seguir estos pasos): https://www.mamp.info/en/downloads/
- Descargaremos el contenido de este repositorio y tendremos 2 carpetas (BlackStone y BBDD)
- Una vez iniciado el servidor iremos a
c://MAMP/htdocs
y pegaremos todo el contenido de la carpeta descargada “BlackStone“ - Para que la aplicación funcione tendremos que importar la base de datos, iremos a nuestro navegador y escribiremos “
localhost/phpMyAdmin/
“, tienes el archivo de conexión a la base de datos en la carpetaBlackStone/conexion.php
- Crearemos una base de datos llamada blackstone e importaremos los datos de la carpeta BBDD descargada
- Accede a BlackStone con el nombre de usuario y la contraseña “
blackstone
“
Uso de BlackStone
Primero tienes que ir a la configuración del perfil y añadir los tokens de Hunter.io y haveibeenpwned.com:
Después de tener las vulnerabilidades en la base de datos, iremos al cliente auditado y registraremos un cliente junto con su página web, una vez registrado podemos ir a los detalles del cliente y podemos ver la siguiente información:
- Nombre del propietario de la empresa
- Redes sociales del propietario de la empresa
- Correo electrónico y número de teléfono del propietario de la empresa
- Comprobación de la contraseña expuesta en la web profunda del propietario de la empresa
- Subdominios de la web así como información de interés encontrada en Google
- Correos electrónicos de los trabajadores de la empresa
Una vez que tengamos registrada en la base de datos la empresa que vamos a auditar, crearemos un informe, añadiendo la fecha, el nombre del informe y la empresa a la que se va a auditar. Cuando demos de alta el informe, le daremos a editar y luego seleccionaremos las vulnerabilidades que queremos que aparezcan en el informe:
Por último, generaremos el informe pulsando el botón “overview report“, y posteriormente guardaremos la página que se genera como “.mht
“, luego la abriremos con Word para poder trabajar sobre el informe generado:
Video de Instalación y Uso
BlackStone (este enlace se abre en una nueva ventana) por micro-joan (este enlace se abre en una nueva ventana)
Pentesting Reporting Tool