Scylla es una herramienta OSINT desarrollada en Python 3.6. Scylla permite a los usuarios realizar búsquedas avanzadas en cuentas de Instagram y Twitter, sitios web/servidores web, números de teléfono y nombres.
Scylla también permite a los usuarios encontrar todos los perfiles de medios sociales (plataformas principales) asignados a un determinado nombre de usuario. Además, Scylla es compatible con Shodan, por lo que puede buscar dispositivos en todo Internet, y también tiene capacidades de geolocalización en profundidad. Por último, Scylla tiene una sección de finanzas que permite a los usuarios comprobar si un número de tarjeta de crédito/débito ha sido filtrado/pegado en una brecha y devuelve información sobre el IIN/BIN de las tarjetas. Esta es la primera versión de la herramienta, así que ponte en contacto con el desarrollador si quieres contribuir y añadir más cosas a Scylla.
Instalación
Primero descargamos esta herramienta mediante el comando git clone
, vamos al directorio de esta herramienta e instalamos algunos requisitos mediante la utilidad python
.
git clone https://www.github.com/DoubleThreatSecurity/Scylla
cd Scylla
sudo python3 -m pip install -r requirments.txt
python3 scylla.py --help
Uso
- El comando 1 devolverá la información de la cuenta de Instagram y Twitter especificada.
python3 scylla.py --instagram davesmith --twitter davesmith
Entonces, es muy fácil averiguar información sobre cualquier perfil de Instagram con sólo darle su nombre en el comando. Por ejemplo:
- El comando 2 devolverá todos los perfiles de redes sociales (plataformas principales) asociados a ese nombre de usuario.
python3 scylla.py --username johndoe
Entonces, si no tienes información sobre el perfil de la víctima, puedes utilizar el siguiente comando para buscar su perfil en varias plataformas de medios sociales y localizará fácilmente el perfil junto con su disponibilidad online.
- El comando 3 repetirá el comando 2 pero en su lugar también realizará una búsqueda en profundidad en Google para el argumento “-l”. NOTA: Cuando busques una consulta con espacios asegúrate de añadir el signo de igualdad seguido de la consulta entre comillas. Si tu consulta no tiene espacios, será así:
python3 scylla.py --username johndoe -l query
python3 scylla.py --username johndoe -l="john doe"
- El comando 4 devolverá información crucial de WHOIS sobre el servidor/sitio web.
python3 scylla.py --info google.com
- El comando 5 volcará la información de ese número de teléfono (operador, ubicación, etc.)
python3 scylla.py -r +14167777777
A través de esta facilidad sólo se puede obtener alguna información del número de móvil de la víctima como: CN, Ubicación, IF etc pero no completamente.
- El comando 6 volcará todas las direcciones IP de los servidores apache que Shodan puede obtener basándose en su clave API. La consulta puede ser cualquier cosa que Shodan pueda validar. Se da un ejemplo de clave API.
python3 scylla.py -s apache
- El comando 7 volcará todas las direcciones IP y los puertos de las cámaras web abiertas en Internet que Shodan puede obtener basándose en su clave API. También puedes usar la consulta de cámaras web, pero webcamxp devuelve mejores resultados.
python3 scylla.py -s webcamxp
- El comando 8 geolocalizará la dirección IP especificada. Devolverá la longitud y latitud, la ciudad, el estado/provincia, el país, la región del código postal y el distrito.
python3 scylla.py -g 1.1.1.1
- El comando 9 recuperará información sobre el IIN del número de tarjeta de crédito/débito introducido. También comprobará si el número de tarjeta ha sido filtrado/pegado en una brecha. Scylla devolverá la marca de la tarjeta, el esquema de la tarjeta, el tipo de tarjeta, la moneda, el país y la información sobre el banco de ese IIN.
python3 scylla.py -c 123456789123456
Menú
usage: scylla.py [-h] [-v] [-ig INSTAGRAM] [-tw TWITTER] [-u USERNAME]
[--info INFO] [-r REVERSE_PHONE_LOOKUP] [-l LOOKUP]
[-s SHODAN_QUERY] [-g GEO] [-c CARD_INFO]
optional arguments:
-h, --help show this help message and exit
-v, --version returns scyla's version
-ig INSTAGRAM, --instagram INSTAGRAM
return the information associated with specified
instagram account
-tw TWITTER, --twitter TWITTER
return the information associated with specified
twitter account
-u USERNAME, --username USERNAME
find social media profiles (main platforms) associated
with given username
--info INFO return information about the specified website(WHOIS)
w/ geolocation
-r REVERSE_PHONE_LOOKUP, --reverse_phone_lookup REVERSE_PHONE_LOOKUP
return information about the specified phone number
(reverse lookup)
-l LOOKUP, --lookup LOOKUP
performs a google search of the 35 top items for the
argument given
-s SHODAN_QUERY, --shodan_query SHODAN_QUERY
performs a an in-depth shodan search on any simple
query (i.e, 'webcamxp', 'voip', 'printer', 'apache')
-g GEO, --geo GEO geolocates a given IP address. provides: longitude,
latitude, city, country, zipcode, district, etc.
-c CARD_INFO, --card_info CARD_INFO
check if the credit/debit card number has been pasted
in a breach...dumps sites. Also returns bank
information on the IIN
Aviso sobre API
La API utilizada para la búsqueda inversa de números de teléfono (paquete gratuito) tiene un máximo de 250 peticiones. La que se utiliza ahora en el programa se agotará seguramente en un futuro próximo. Si quieres seguir generando claves API, ve a https://www.numverify.com, y selecciona el plan gratuito después de crear una cuenta.
Luego, simplemente ve a scylla.py
y reemplaza la clave de API original con tu nueva clave de API que se encuentra en el tablero de su cuenta. Inserta tu nueva clave en el array keys[]
(en la parte superior de la fuente). En el caso de la clave de API de Shodan, se trata sólo de una clave de muestra que se le da al programa. El desarrollador recomienda crear una cuenta en Shodan y añadir tu propia clave API al array shodan_api[]
en la parte superior del código fuente (scylla.py
).
Aviso Ético
El desarrollador de este programa, Josh Schiavone, ha escrito el siguiente código únicamente con fines educativos y de OSINT. La información generada no debe ser utilizada de forma que dañe, acose o amenace a otros.
El desarrollador ya no trabaja en este proyecto. A día de hoy, el programa tiene muchos fallos y no está a la altura de los estándares OSINT modernos. Muchas de las APIs utilizadas en Scylla ya no funcionan como lo hacían cuando el proyecto fue lanzado por primera vez. El desarrollador escribió Scylla por aburrimiento y como un proyecto paralelo, por lo que ya no está trabajando en él. La comunidad es más que bienvenida a usar el código fuente de Scylla como base para mejorar sus capacidades originales para mantener la herramienta viva. Por favor, no contacte con el desarrollador para solucionar problemas, ya que no responderá porque el proyecto está obsoleto.
rrgen (este enlace se abre en una nueva ventana) por josh0xA (este enlace se abre en una nueva ventana)
A Header Only C++ Library for Storing Safe, Randomly Generated Data Into Modern Containers