Inicio > Manuales y tutoriales > Instalación de TUMITOOL en Kali Linux

Instalación de TUMITOOL en Kali Linux

tumitool

Hace un tiempo que no posteo cosas de Hacking, quizás por que no encontraba algo realmente nuevo,  bueno esta vez me anime a escribir sobre TUMITOOL , para los que no saben es una herramienta para Pentest (o lo que se les apetesca 😀 )  creada por OpenSec , lo realmente interesante, es que es la primera tool de seguridad creada por Peruanos,  en un mercado local, donde nadie se arriesga a hacer algo diferente, algunos locos 😀 como Walter Cuestas  @wcu35745 , Mauricio Urizar @MauricioUrizar y Camilo Galdos  @SeguridadBlanca , tuvieron esta idea realmente estupenda.

Basado en la experiencia en campo realizando un proceso de Pentest o Ethical Hacking , TUMI es un conjunto de scripts para poder realizar muchas partes del pentest desde una sola plataforma y de forma mas sencilla , rápida y ordenada.

TUMI está escrito en python y actualmente cuenta con 10 Módulos de FingerPrint, 10 Módulos de Vulnerability Assesment, 6 Módulos de Attack , un poco de detalle de lo que es Tumi.

“La herramienta tiene diferentes módulos para poder cumplir diferentes funciones de búsqueda y explotación de vulnerabilidades. Cuenta con diferentes módulos de Fingerprint mediante los cuales se puede hacer busquedas de información de IPs y Dominios, también cuenta con un sistema de reportes mediante el cual se ponen en ejecución varios de los módulos de fingerprint. Por el lado de Vulnerability Assesment, se cuenta con búsquedas y validación de diferentes tipos de vulnerabilidades web, así como vulnerabilidades a nivel de servidores. En cuanto a Attack, se pueden ver módulos de algunas vulnerabilidades web, validación de vulnerabilidades a nivel browser y un módulo que se añadió casi al final pero es bastante útil, ejecución de comandos via MSSql inseguro…”

Extraído de : http://www.seguridadblanca.in/2013/08/tumi-pentest-tool-peruana.html

Como se indica el programa es totalmente OPEN SOURCE así que cualquiera que se anime a desarrollar módulos puede hacerlo,  de hecho que este servidor va iniciar con un modulo de VoIP a partir de ahora, tio Camilo me vas a tener que aguantar con las preguntas ..jejeje.

Entonces, si realmente quieres aprender Hacking y Pentest , desarrollar herramientas de este tipo, pone a prueba tu conocimiento y destreza, así que esta, es una estupenda oportunidad para poder iniciar y dejar de usar herramientas para empezar a usar las tuyas en TUMI, A continuación veremos como realizar la instalacion de sobre Kali Linux.

Instalación de TUMI TOOL en Kali Linux

Realmente la instalación no es complicada , quizás lo mas complicado es compilar un paquete desde código fuente y luego editar un archivo de configurar de apache, como lo verán a continuación :

1.- Dependencias
#apt-get install python-dns python-dnspython python-ipcalc
#wget http://xael.org/norman/python/python-nmap/python-nmap-0.3.2.tar.gz
#tar xvfz python-nmap-0.3.2.tar.gz
#cd python-nmap-0.3.2/
#python setup.py install

2.- Configuración de CGI-BIN de Apache2

Entrar al archivo de configuracion de apache
#vi /etc/apache2/sites-available/default

Tal como lo dice el manual en la linea 16 encontrara algo como esto:

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory “/usr/lib/cgi-bin/”>
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

Cambiarlo por :

ScriptAlias /cgi-bin/ /var/www/cgi-bin/
<Directory “/var/www/cgi-bin”>
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
AddHandler cgi-script .py
AddHandler default-handler .html .htm
</Directory>

Para no hacerse líos,  yo recomiendo comentarla, quedaría de esta forma:

tumitool

Luego reiniciar el servicio de apache2
#service apache2 restart

3.- Descarga e instalación

#cd /root/
#wget https://github.com/Open-Sec/TumiTool/archive/master.zip
#unzip master.zip
#cd TumiTool-master/var/www/
#mv tumi cgi-bin /var/www/
#cd /var/www/
#chmod -R a+wrx cgi-bin/ tumi/

4.- Ingresar al programa
TUMI es totalmente web, así que solo bastaria Ingresar al navegador directamente de desde Kali  (loopback) y si todo salio bien tendríamos lo siguiente :

http://1270.0.0.1/tumi

tumitool

De primera vista TUMI , esta dividido en

– Fingerprint
– Vuln Assesment
– Attack
– TumiPrint

Claramente representa o resume las principales etapas de un proceso de Ethical Hacking, dentro de cada una de ellas podemos encontrar algunas herramientas o técnicas implementadas a la fecha.


5.- Probando algunas cosas básicas

Como indique TUMI tiene mucho tipos de ataques y técnicas , vamos a ver algunos de ellos

5.1.- Escaneo de puertos Web

Ruta  :  Vuln Assesment / Nmap Web Ports

tumitool

Vamos a ver lo que nos arroja contra un servidor Elastix , para variar 😀

tumitool

Luego de unos momentos , tenemos el resultado, lo interesante es que tenemos la opcion a descargar el archivo GNMAP y XML para poder usarlo con Nessus por ejemplo.

5.2.- Análisis de carpetas en Servidores Web

Ruta  :  Vuln Assesment / Run Nikto

tumitool

Vamos a tirar con el mismo servidor a ver que nos responde:

tumitool

Nos muestra que encontró la versión de Apache y  la carpeta como  /icons , entre otras cosas, si tuviera mas de hecho que lo encontraría.

Como ven es una herramienta totalmente funcional y aplicable, asi que se las recomiendo, y si eres Peruano mucho mas !!

Bueno eso es el comienzo, la segunda parte que espero que sea pronto, va ser como iniciar el desarrollo de un modulo para TUMI.

Saludos
Juan Oliva

Anuncios
Categorías:Manuales y tutoriales
  1. silversurfer
    septiembre 25, 2013 en 4:38 pm

    ¿Es necesario tener kali para instalarlo?, ¿Puedo instalarlo en la backtrack R3 con la misma comodidad?. Estupendo aporte!

    • septiembre 25, 2013 en 6:12 pm

      Hola Silversurfer

      Claro que si , Backtrack , Ubuntu , Debian … en Centos no lo he probado solo habría que ver el tema de python.

      Saludos
      Juan Oliva

  2. Alguien
    septiembre 25, 2013 en 5:28 pm

    Una recomendación:

    # iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 80 -j DROP

    Un saludo.

    • septiembre 25, 2013 en 6:33 pm

      Cool !! , nos vemos en el Limahack Alguien 😀

  3. silversurfer
    septiembre 25, 2013 en 6:56 pm

    Alguien, la aplicación contiene un backdoor?

  4. septiembre 25, 2013 en 10:14 pm

    mil gracias

  5. karen
    noviembre 6, 2013 en 6:39 pm

    Alguien podria elaborar un manual de uso de kali linux, soy nuevo en esto de Pentest pero quiero aprender!

  6. Esteban
    enero 16, 2014 en 5:14 pm

    muy buen post pero te aviso que en https://github.com/Open-Sec/TumiTool/archive/master.zip arroja error 404 not found.
    ¿Podras indicar otro sitio de descarga así pruebo esta herramienta?
    Gracias y saludos

  7. ebk
    septiembre 21, 2014 en 10:26 am

    Hola, ya no esta disponible la tool?? queria descargarla y ver como estaba hecha por dentro U_U

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: