Преминете към съдържанието

МЕУ организира кампания за пентестове в държавната администрация

Целта на кампанията е да подобри киберсигурността в държавната администрация, като участието в нея е доброволно и не се обвързва с възнаграждение.
Прочети повече за програмата

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

Инструменти за Пенетрейшън тест репорти


katana

Препоръчан пост


  • Група:  [Член]
  • Последователи:  1
  • Брой мнения:  7
  • Репутация:   7
  • Спечелени дни:  3
  • Регистриран на:  20.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Здравейте, наскоро започнах да се уча как да пиша пентест репорти. В момента използвам SysReptor . Инстръментът е с отворен код, лесен за инсталция, генерира репорта в PDF. Имате възможността да си запазвате темплейти на репорти, открития, може да си персонализирате репорта използвайки HTML, CSS и като цяло е лесен за употреба. До сега съм написал само един репорт и забелезях няколко неща, които не ми харесват.

В безплатната версия нямаме възможност да добавяме коментари. Не е кой знае какво, тъй като можеш да си правиш някакви записки в някакъв едитор, "довърши това, добави онова и тн.", но все пак би било удбно да ги имаш тези коментари.

Нещото, което повече ме отблъсква е начина, по който(поне аз) добавям някакъв резултат в code block. Тъй като искам да подчертавам важни неща като: командата, която съм ползвал, специфична част от резултата, използвам HTML span таг-a с малко CSS. Също така да речем, че успешно съм кракнал някаква парола, не искаме репорта да садържа clear text password, затова замествам паролата с <REDACTED>, но символите за "по-голямо" и "по-малко" трябва да бъдат енкоуднати. Ето един пример за Kerberoasting attack от чалендж, който съм минавал.
 

<pre><code>
$ <span style="color:blue">GetUserSPNs.py INLANEFREIGHT.LOCAL/svc_qualys -dc-ip 172.16.5.5 -request-user solarwindsmonitor</span>
Impacket v0.9.24.dev1+20211013.152215.3fe2d73a - Copyright 2021 SecureAuth Corporation

Password:
ServicePrincipalName                           Name               MemberOf                                                   PasswordLastSet             LastLogon  Delegation 
---------------------------------------------  -----------------  ---------------------------------------------------------  --------------------------  ---------  ----------
<span style="color:red">sts/inlanefreight.local                        solarwindsmonitor  CN=Domain Admins,CN=Users,DC=INLANEFREIGHT,DC=LOCAL        2022-06-01 23:11:38.041017  &lt;never&gt;               


$krb5tgs$23$*solarwindsmonitor$INLANEFREIGHT.LOCAL$INLANEFREIGHT.LOCAL/solarwindsmonitor*$f3fcafd2f77e94c052e2e635a29c0aaf$4c107c734ca4&lt;SNIP&gt;
</span>
</code></pre>

тук също съм "снипнал" хаша.

Намирам този процес за малко дразнещ, но съща така е и бавен. Резултата от горният код изглежда така:
1.png.3cda0de5361d06c4754d3bcd26e4d0cc.png

По този начин читателя по-бързо и по лесно може да се ориентира какво сме направили и реално какво е важното.

Друго нещо, което не ми харсва от скрийшота, че и ако резултатът е дълъг както в случая, просто не е толкова добре четим, колоните се сбиват и е по-трудно проследимо. Окей ли е в един репорт разултата да изглежда по този начин сбито?


Можете ли вие да препоръчате друг безплатен софтуер за писане на репорти и защо се избрали него с какво ви улеснява работата?

Link to comment
Сподели другаде


  • Група:  [Администратор]
  • Последователи:  15
  • Брой мнения:  137
  • Репутация:   87
  • Спечелени дни:  37
  • Регистриран на:  11.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Здравей, нямам особено много време да вляза в по-дълбоко обяснение, но провери следните инструменти:
1. https://github.com/DefectDojo/django-DefectDojo
2. Faraday
3. Dradis
5. PwnDoc

има и други, които са интересни. Смятам, че е много важно човек да се научи как да пише репорт - това е много, много, много важно умение в бизнес частта на пентестинга и консултантството. И смятам, че трябва да създадеш собствен темплейт и постепенно да се отделиш от ПЪЛНАТА автоматизация и да използваш частично, докато не напредне значително. Успех!

Link to comment
Сподели другаде

Join the conversation

Можете да публикувате сега и да се регистрирате по-късно. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Поставено като форматиран текст.   Вместо това поставете като обикновен текст

  Разрешени са само 75 емотикони.

×   Вашата връзка е вградена автоматично.   Вместо това се показва като връзка

×   Вашето предишно съдържание е възстановено.   Изчистване на редактора

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

  • Регистрирайте се

    Регистрирайте се за да използвате пълната функционалност на форума 🙂

HACKING.BG Партньори

Asset3.png.df693f7661f6e8a7a3ec208659eda80b.pngtransparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy