Хочу познакомить вас с потрясающим, на мой взгляд, framework-ом - Yuki. Ну, не буду отвлекаться от темы, скажу сразу, что инструмент меня впечатлил. Есть у него и небольшой недостаток, о чём расскажу ниже.
Yuki Chan - это полностью автоматизированный инструмент для проведения пентеста. Работает он с огромным количеством модулей других замечательных инструментов. Позволяет выполнить проверку, используя практически все стандартные методы безопасности и аудита. Скорость работы очень высокая.
Функционал:
Intel-Gathering
Vulnerability Analysis
Security Auditing
OSINT
Tracking
System Enumeration
Fuzzing
CMS Auditing
SSL Security Auditing
Targetted Pentesting
Модули:
Whois domain analyzer
Nslookup
Nmap
TheHarvester
Metagoofil
DNSRecon
Sublist3r
Wafw00f
WAFNinja
XSS Scanner
WhatWeb
Spaghetti
WPscan
WPscanner
WPSeku
Droopescan (CMS Vulnerability Scanner Wordpress, Joomla, Silverstripe, Drupal, And Moodle)
SSLScan
SSLyze
A2SV
Dirsearch
Зависимости:
Nmap
Wafw00f
WPScan
SSLScan
SSLyze
Установка зависимостей на Ubuntu:
sudo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev
Установка зависимостей для Fedora:
sudo dnf install gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel patch rpm-build
Установка дополнительных пакетов для Arch Linux:
pacman -Syu ruby
pacman -Syu libyaml
Как установить Yuki Chan:
# git clone
# cd cd Yuki-Chan-The-Auto-Pentest/
# Chmod 777 Access Level
# chmod 777 wafninja joomscan install-perl-module.sh yuki.sh
# chmod 777 Module/WhatWeb/whatweb
# pip install -r requirements.txt
# ./install-perl-module.sh
Запуск # ./yuki.sh
После запуска, инструмент просит, чтобы задали ему цель в виде названия ресурса с указанием домена. И всё, далее, всю работу, он выполнит сам, поочерёдно подключая всю мощь встроенных модулей.