Results 1 to 4 of 4

Thread: basic webaudit script

Hybrid View

  1. #1
    Moderator
    Join Date
    Jan 2010
    Posts
    167

    Default basic webaudit script

    Bei verschiedensten Schwachstellenanalysen, Pentests, Sicherheitsaudits, ... steht man häufig vor dem Problem 20++ Webserver auf Schwachstellen analysieren zu müssen. Manche davon haben Content, manche haben nur die Default IE oder Apache Webseite. Analysiert gehören sie dennoch alle! Man weiss ja nie ob nicht auf dem einen oder anderen ein Admininterface verfügbar ist




    Wenn man nun weit über 20 solcher Server vor sich hat stellt sich die Frage wie man diese einer ersten grundlegenden Analyse unterziehen kann?!? Auf Basis dieser grundlegenden Analyse ist es im Anschluss möglich die anschließende, detaillierte Untersuchung erheblich zielgerichteter durchzuführen.

    Nachdem letztes Jahr bereits eine erste Version meines Scriptes zur ersten Grobuntersuchung von Webservern entstand habe ich dieses Script einem kleinen Update unterzogen. Es wurde auf die aktuelle Backtrack 4 und die aktuelle Metasploit Version angepasst. Weitere kleinere Anpassungen aus den letzten Sicherheitsanalysen flossen natürlich auch ein.

    Usage:
    Code:
    ./msf-http-enum-v0.2.sh -i IP-File -s IP-File-HTTPS -f IP-Port-File -p PATH -o outputdirectory -n -msf MSF-Options
    
    ./msf-http-enum-v0.2.sh -iph IP-address (HTTP) -p PATH -o outputdirectory -n -msf MSF-Options
    
    ./msf-http-enum-v0.2.sh -ips IP-address (HTTPS) -p PATH -o outputdirectory -n -msf MSF-Options
    Example:
    Code:
    ./msf-http-enum-v0.2.sh -iph xx.xxx.xxx.xxx -n -msf "UserAgent=bla VHOST=www.----.de NoDetailMessages=false"
    Weitere Infos und download wie üblich auf meiner Site ...



    basic Webaudit script v0.2 | www.s3cur1ty.de

    hf
    m-1-k-3

  2. #2
    Moderator fancy's Avatar
    Join Date
    Jan 2010
    Posts
    204

    Default

    Gute Arbeit m-1-k-3.....wie üblich.
    Vielen Dank fürs Sharen :-)

    Cheerz

  3. #3
    Junior Member SpuTniC's Avatar
    Join Date
    Jan 2010
    Posts
    33

    Default

    ich will mich hier auch bedanken für deine schöne arbeit dennoch hätte ich da einen vorschlag

    und zwar wenn du davon ausgehst das man sich um 20+ server kümern muss bzw noch mehr arbeited man ja meistens auch nicht alleine (denk ich mir mal)

    wäre es da nicht überlegenswert ein updatescript für das dradis webpanel zu integrieren das man die gefundenen sicherheitslücken mit den mitarbeitern teilen kann die sich dann vielleicht um das dazugehörige netzwerk segment kümern können da sich ja manche netzwerk segmente auch in anderen ländern befinden können zu dennen man remote vielleicht gar keinen zugriff hat

    wäre nur eine idee für ein zukünftiges update

    da sich kenner sicher auch den update part selber hinzufügen können

    wäre ja nur für die erleichterte bedienung

    viel spass noch

  4. #4
    Moderator
    Join Date
    Jan 2010
    Posts
    167

    Default

    Quote Originally Posted by SpuTniC View Post
    und zwar wenn du davon ausgehst das man sich um 20+ server kümern muss bzw noch mehr arbeited man ja meistens auch nicht alleine (denk ich mir mal)
    In einem typischen Pentest würde ich 20 Systeme noch nicht als kritische Masse ansehen auf die man ein Team ansetzt ...

    Quote Originally Posted by SpuTniC View Post
    wäre es da nicht überlegenswert ein updatescript für das dradis webpanel zu integrieren
    Du darfst gerne Hand anlegen Share es dann bitte mit uns

    hf
    m-1-k-3

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •