La herramienta
escrita en Python BlackBox, permite al pentester disponer de una suite
interesante en su día a día en la oficina. BlackBox, la cual se encuentra en su
versión 2.0 para desarrolladores, proporcionan distintas funcionalidades para
el pentesting. Desde funcionalidades para fuerza bruta, recopilación de
información, exploits, dorking o cracking. Mucho potencial en la caja negra.
Para instalar
BlackBox sobre nuestra máquina podemos descargarlo desde Github. Después,
simplemente, hay que ejecutar el script install.
Como se puede ver en la imagen tenemos elementos orientados al pentesting web,
en su mayor parte. Disponemos de una serie de funcionalidades orientadas a la
fuerza bruta en entornos web como, por ejemplo:
·
Wordpress Bruteforce
·
FTP Bruteforce
·
SSH Bruteforce
Admin
Page Finder
La categoría de exploits orientados a entornos
web tenemos diferentes exploits:
·
Joomla RCE
·
Magento RCE
·
PrestaShop Exploit
Aunque no tengamos
gran cantidad de exploits, pueden ser útiles en algunos escenarios. Además,
para complementar entornos como exploit-db, tenemos la categoría de dorking
dónde podemos encontrar:
·
Google Dorker
·
Bing Dorker
·
Scan list
Por último, tenemos
la posibilidad de utilizar una herramienta para crackear hashes en MD5,
SHA1, etcétera, generalmente algoritmos utilizados en entornos web.
PoC: Carga y configuración del módulo de fuerza bruta SSH
En esta prueba de
concepto vamos a configurar el módulo de fuerza bruta de SSH con BlackBox. Si
ejecutamos la opción blackbox ssh_brute
-h podemos ver las diferentes opciones del módulo. Esto sirve para todos
los módulos que tenemos disponible en BlackBox.
Para configurar el
módulo hay que indicar la dirección IP dónde se lanzará la fuerza bruta a SSH,
el usuario de SSH que se quiere atacar y la ruta del fichero de contraseñas.
Existen muchas herramientas que permiten realizar este tipo de acciones, pero
BlackBox permite tener estas funcionalidades centralizadas por módulos. Esto es
interesante, ya que es fácilmente escalable en número de módulos, es decir, en
otras funcionalidades.
Si ejecutamos la
opción blackbox google_dorker -h
podemos ver las opciones para la búsqueda en Google. El ejemplo que el propio
BlackBox propone es blackbox
google_dorker –dork=”php?id” –level 10. Es interesante ir probando esto,
también probando sobre Bing.
El módulo hash_killer permite generar hashes en el algoritmo que se quiere y
realizar la comparación los hashes que se encuentran en dicho algoritmo. Por
ejemplo, tenemos la opción -w dónde
situamos las palabras de diccionario que queremos hashear y comparar con los
hashes que se encuentran en el fichero asociado al parámetro –md5, por ejemplo.
Una caja de
herramientas sencilla, que debemos llevar encima. Lo interesante es que el
proyecto se encuentra bastante activo, por lo que se van añadiendo diferentes
módulos con cada release, por lo que os proponemos que estéis atentos a las
diferentes opciones y posibilidades que BlackBox ofrece con cada release.
Como dije
anteriormente, una herramienta para llevar en la mochila. Opciones interesantes
y útiles para un pentesting web. El crecimiento de la herramienta,
posiblemente, irá por la implementación de nuevos exploits en la herramienta,
lo cual la enriquece y hace que sea una tool
aún más a tener en cuenta para el pentesting.