GoLismero - веб-нож

  • Автор темы Hitman
  • Дата начала
  • Участники 2
Hitman

Hitman

Newbie
09.06.2020
7
3
6
GoLismero - веб-нож
GoLismero - программный фреймворк с открытым исходным кодом для тестирования безопасности. Несмотря на то, что в настоящее время он ориентирован на веб-безопасность, его можно расширить и для других видов сканирования.

Он может запускать собственные тесты безопасности и управлять множеством хорошо известных инструментов безопасности (OpenVas, Wfuzz, SQLMap, DNS recon, робот-анализатор ...), получать их результаты, обратную связь с остальными инструментами и объединять все результаты. И самое лучшее в этом то, что все это можно делать автоматически.

Особенности:
  • Реальная независимость от платформы. Протестировано в Windows, Linux, * BSD и OS X.
  • Нет зависимостей от собственных библиотек. Вся структура написана на чистом Python.
  • Хорошая производительность по сравнению с другими фреймворками, написанными на Python и других языках сценариев.
  • Очень проста в использовании.
  • Разработка плагина предельно проста.
  • Фреймворк также собирает и объединяет результаты хорошо известных инструментов: sqlmap , xsser , openvas , dnsrecon , theharvester ...
  • Интеграция со стандартами: CWE, CVE и OWASP.
  • Создан для кластерного развертывания.
Примечание. GoLismero не требует установки - нужны только его зависимости.

Вот пошаговые инструкции по установке GoLismero в разных операционных системах:

Debian / Ubuntu
Для этого требуются привилегии root, поэтому вам будет предложено ввести пароль при запуске первой команды.
Код: 
sudo bash
apt-get install python2.7 python2.7-dev python-pip python-docutils git perl nmap sslscan
cd /opt
git clone https://github.com/golismero/golismero.git
cd golismero
pip install -r requirements.txt
pip install -r requirements_unix.txt
ln -s /opt/golismero/golismero.py /usr/bin/golismero
exit
Если у вас есть ключ API для Shodan, сервера OpenVAS или сервера SpiderFoot, который вы хотите интегрировать с GoLismero, выполните следующие команды:
Код: 
mkdir ~/.golismero
touch ~/.golismero/user.conf
chmod 600 ~/.golismero/user.conf
nano ~/.golismero/user.conf

В редакторе при необходимости добавьте в файл следующие разделы:
Код: 
[shodan:Configuration]
apikey = <INSERT YOUR SHODAN API KEY HERE>

[openvas]
host = <INSERT THE OPENVAS HOST HERE>
user = <INSERT THE OPENVAS USERNAME HERE>
*password = <INSERT THE OPENVAS PASSWORD HERE>

[spiderfoot]
url = <INSERT THE SPIDERFOOT URL HERE>


Mac OS X
Сначала установите порты Mac .

Выполните следующие команды (требуются права root):
Код: 
sudo -s
easy_install-2.7 -U distribute
easy_install install pip
port install nmap sslscan
cd /opt
git clone https://github.com/golismero/golismero.git
cd golismero
pip install -r requirements.txt
pip install -r requirements_unix.txt
ln -s /opt/golismero/golismero.py /usr/bin/golismero
exit

Чтобы интегрировать Shodan, сервер OpenVAS или сервер SpiderFoot с GoLismero, следуйте инструкциям, приведенным в установке Debian / Ubuntu (только если у вас есть ключи API).

Выпуск 10 FreeBSD
Выполните следующие команды (требуются права root):
Код: 
su -
cd /root
pkg update
pkg install git
pkg install python27
ln -s /usr/local/bin/python2.7 /usr/local/bin/python
pkg install databases/py-sqlite3
pkg install nmap
pkg install sslscan
pkg install devel/py-pip
mkdir /opt 2> /dev/null
cd /opt
git clone https://github.com/golismero/golismero.git
cd golismero
pip install -r requirements.txt
pip install -r requirements_unix.txt
ln -s /opt/golismero/golismero.py /usr/bin/golismero
exit
Если у вас есть ключ API для Shodan, или сервера OpenVAS, или сервера SpiderFoot, который вы хотите интегрировать с GoLismero, следуйте инструкциям, приведенным в установке Debian / Ubuntu.

Windows
В Windows вам придется устанавливать каждый инструмент отдельно. Вы можете скачать их отсюда:
После установки инструментов откройте консоль и выполните следующие команды:
Код: 
cd %HOME%
git clone https://github.com/golismero/golismero.git
cd golismero
pip install -r requirements.txt

Наконец, вам может потребоваться добавить инструменты в переменную среды PATH, чтобы GoLismero мог их найти. Вы также можете добавить сам GoLismero в PATH.

Если у вас есть ключ API для Shodan, или сервера OpenVAS, или сервера SpiderFoot, который вы хотите интегрировать с GoLismero, создайте новый файл с именем «user.conf» в том месте, где вы установили GoLismero, и добавьте в файл следующие разделы, если необходимо:
Код: 
[shodan:Configuration]
apikey = <INSERT YOUR SHODAN API KEY HERE>

[openvas]
host = <INSERT THE OPENVAS HOST HERE>
user = <INSERT THE OPENVAS USERNAME HERE>
*password = <INSERT THE OPENVAS PASSWORD HERE>

[spiderfoot]
url = <INSERT THE SPIDERFOOT URL HERE>
Как использовать GoLismero
Вот несколько основных команд:

Эта команда запустит GoLismero со всеми параметрами по умолчанию и покажет отчет в стандартном выводе:
golismero scan <target>

Если вы опустите команду по умолчанию "сканировать", GoLismero достаточно умен, чтобы понять, что вы пытаетесь сделать, так что это тоже сработает:

golismero <target>


Вы также можете задать имя для вашего аудита с помощью --audit-name:

golismero scan <target> --audit-name <name>


И вы можете создавать отчеты в разных форматах файлов. Формат определяется по расширению файла, и вы можете записать столько файлов, сколько захотите:

golismero scan <target> -o <output file name>



Скриншот оболочки GoLismero
Кроме того, вы можете импортировать результаты из других инструментов с параметром -i. Вы можете использовать -i несколько раз, чтобы импортировать несколько файлов.

golismero import nikto_output.csv nmap_output.xml -db database.db

Это позволяет сканировать цель за один шаг и позже сформировать отчет. Например, чтобы сканировать без создания отчета:

golismero scan <target> -db database.db -no

А затем сгенерируйте отчет из базы данных позже (или с другого компьютера!):
golismero report report.html -db database.db

Вы также можете указать несколько выходных файлов:
golismero report report.html report.txt report.rst -db example.db


Снимок экрана командной строки GoLismero
Чтобы отобразить список доступных плагинов:

golismero plugins

Скриншот плагинов GoLismero
Вы также можете запросить дополнительную информацию о конкретных плагинах:

golismero info <plugin>

Скриншот сведений о плагине GoLismero

Используйте параметр -e, чтобы включить только некоторые определенные плагины, и -d, чтобы отключить плагины (вы можете использовать -e и -d много раз):
golismero scan <target> -e <plugin>


Вы также можете выбрать несколько плагинов, используя подстановочные знаки. Например, вы можете выбрать все плагины bruteforce следующим образом:
golismero scan <target> -e brute*

Скриншот GoLismero Bruteforce
Отчеты:
GoLismero в настоящее время создает отчеты на консоли в виде простых текстовых файлов, в текстовом формате с измененной структурой и в формате HTML. Во всех случаях отчеты хранятся в одном файле для упрощения транспортировки - это означает, что отчет HTML является одним . HTML- файл со всем, что есть в комплекте, и вы можете просто прикрепить его к электронному письму, чтобы отправить его кому-то другому.

Если файлы вывода не указаны, GoLismero по умолчанию сообщает об этом на консоли. Но вы можете выбрать и то, и другое одновременно! Например, давайте напишем отчет в формате HTML, а также посмотрим на вывод в консоли, используя специальное имя файла «-»:
golismero scan <target> -o - -o report.html

Вот как выглядит сводка HTML-отчета в Chrome:

Скриншот отчета GoLismero в формате HTML


 
  • Like
Реакции: JORDAN
Для ответа нужно войти/зарегистрироваться

Об LS-LA

  • Мы, группа единомышленников, основная цель которых повышать уровень знаний и умений.
    Не забывая о материальном благополучии каждого)

About LS-LA

  • We, a group of like-minded people, whose main goal is to increase the level of knowledge and skills.
    Not forgetting about everyone’s material well-being)

Быстрая навигация

Главная Форум

Пользовательское меню

login
Верх Низ