sábado, 8 de octubre de 2016

Docker: a pentester tool

Muchas veces, cuando realizas un pentest o solo por investigación, es necesario levantar un servidor similar al que estas "atacando" para realizar pruebas.

Esto generalmente se puede hacer con maquinas virtuales, en las cuales instalamos el sistema operativo, el software base y finalmente el software a probar.
Esto podría no ser complicado para alguien que tiene experiencia con servidores (si eres pentester deberías poder hacerlo).

Otra alternativa puede ser usar servicios como DigitalOcean, Amazon, Bluemix, etc. para, con un click, levantar los servicios. Ejemplo: https://www.digitalocean.com/products/one-click-apps/
Esto es muy fácil, generalmente es gratis los primeros 30 días, y luego si consumes pocos recursos podría llegar a seguir siendo gratis (previo ingreso de tu tarjeta de crédito).

Finalmente, algo que no cuesta y sigue siendo muy fácil, DOCKER.

Como lo instalas?:
https://docs.docker.com/engine/installation/linux/ubuntulinux/


A modo de ejemplo instalaremos un TOMCAT.
==================================
Primero necesitamos crear una "imagen" del aplicativo que queremos crear, en este caso TOMCAT.

Archivos necesarios:
Dockerfile
tomcat-users.xml

"tomcat-users.xml" con el siguiente contenido (para tener un usuario válido para la consola de administración):
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
  <role rolename="manager-gui" />
  <user username="tu_usuario" password="tu_password" roles="manager-gui"/>
</tomcat-users>

"Dockerfile" con este contenido:
FROM tomcat
ADD tomcat-users.xml /usr/local/tomcat/conf/tomcat-users.xml
EXPOSE 8080

Una vez que tenemos los dos archivos, construimos la imagen de docker (que finalmente será como un archivo ISO).
Esto puede llegar a tomar un tiempo.
docker build -t tomcat .

Luego levantamos el aplicativo:
docker run --name tomcat666 -p 8080:8080 tomcat

Finalmente accedemos a la consola de administración web:
http://localhost:8080

Con esto ya tenemos un TOMCAT listo para probarlo. Ideas?:
Prueba reGeorg: https://github.com/sensepost/reGeorg

Ahora tu instala un wordpress para que pruebes el weevely: https://github.com/epinna/weevely3

<FIN>

No hay comentarios:

Publicar un comentario