Instalación de TUMITOOL en Kali Linux

tumitool

Hace un tiempo que no posteo cosas de Hacking, quizás por que no encontraba algo realmente nuevo,  bueno esta vez me anime a escribir sobre TUMITOOL , para los que no saben es una herramienta para Pentest (o lo que se les apetesca 😀 )  creada por OpenSec , lo realmente interesante, es que es la primera tool de seguridad creada por Peruanos,  en un mercado local, donde nadie se arriesga a hacer algo diferente, algunos locos 😀 como Walter Cuestas  @wcu35745 , Mauricio Urizar @MauricioUrizar y Camilo Galdos  @SeguridadBlanca , tuvieron esta idea realmente estupenda.

Basado en la experiencia en campo realizando un proceso de Pentest o Ethical Hacking , TUMI es un conjunto de scripts para poder realizar muchas partes del pentest desde una sola plataforma y de forma mas sencilla , rápida y ordenada.

TUMI está escrito en python y actualmente cuenta con 10 Módulos de FingerPrint, 10 Módulos de Vulnerability Assesment, 6 Módulos de Attack , un poco de detalle de lo que es Tumi.

“La herramienta tiene diferentes módulos para poder cumplir diferentes funciones de búsqueda y explotación de vulnerabilidades. Cuenta con diferentes módulos de Fingerprint mediante los cuales se puede hacer busquedas de información de IPs y Dominios, también cuenta con un sistema de reportes mediante el cual se ponen en ejecución varios de los módulos de fingerprint. Por el lado de Vulnerability Assesment, se cuenta con búsquedas y validación de diferentes tipos de vulnerabilidades web, así como vulnerabilidades a nivel de servidores. En cuanto a Attack, se pueden ver módulos de algunas vulnerabilidades web, validación de vulnerabilidades a nivel browser y un módulo que se añadió casi al final pero es bastante útil, ejecución de comandos via MSSql inseguro…”

Extraído de : http://www.seguridadblanca.in/2013/08/tumi-pentest-tool-peruana.html

Como se indica el programa es totalmente OPEN SOURCE así que cualquiera que se anime a desarrollar módulos puede hacerlo,  de hecho que este servidor va iniciar con un modulo de VoIP a partir de ahora, tio Camilo me vas a tener que aguantar con las preguntas ..jejeje.

Entonces, si realmente quieres aprender Hacking y Pentest , desarrollar herramientas de este tipo, pone a prueba tu conocimiento y destreza, así que esta, es una estupenda oportunidad para poder iniciar y dejar de usar herramientas para empezar a usar las tuyas en TUMI, A continuación veremos como realizar la instalacion de sobre Kali Linux.

Instalación de TUMI TOOL en Kali Linux

Realmente la instalación no es complicada , quizás lo mas complicado es compilar un paquete desde código fuente y luego editar un archivo de configurar de apache, como lo verán a continuación :

1.- Dependencias
#apt-get install python-dns python-dnspython python-ipcalc
#wget http://xael.org/norman/python/python-nmap/python-nmap-0.3.2.tar.gz
#tar xvfz python-nmap-0.3.2.tar.gz
#cd python-nmap-0.3.2/
#python setup.py install

2.- Configuración de CGI-BIN de Apache2

Entrar al archivo de configuracion de apache
#vi /etc/apache2/sites-available/default

Tal como lo dice el manual en la linea 16 encontrara algo como esto:

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory “/usr/lib/cgi-bin/”>
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

Cambiarlo por :

ScriptAlias /cgi-bin/ /var/www/cgi-bin/
<Directory “/var/www/cgi-bin”>
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
AddHandler cgi-script .py
AddHandler default-handler .html .htm
</Directory>

Para no hacerse líos,  yo recomiendo comentarla, quedaría de esta forma:

tumitool

Luego reiniciar el servicio de apache2
#service apache2 restart

3.- Descarga e instalación

#cd /root/
#wget https://github.com/Open-Sec/TumiTool/archive/master.zip
#unzip master.zip
#cd TumiTool-master/var/www/
#mv tumi cgi-bin /var/www/
#cd /var/www/
#chmod -R a+wrx cgi-bin/ tumi/

4.- Ingresar al programa
TUMI es totalmente web, así que solo bastaria Ingresar al navegador directamente de desde Kali  (loopback) y si todo salio bien tendríamos lo siguiente :

http://1270.0.0.1/tumi

tumitool

De primera vista TUMI , esta dividido en

– Fingerprint
– Vuln Assesment
– Attack
– TumiPrint

Claramente representa o resume las principales etapas de un proceso de Ethical Hacking, dentro de cada una de ellas podemos encontrar algunas herramientas o técnicas implementadas a la fecha.


5.- Probando algunas cosas básicas

Como indique TUMI tiene mucho tipos de ataques y técnicas , vamos a ver algunos de ellos

5.1.- Escaneo de puertos Web

Ruta  :  Vuln Assesment / Nmap Web Ports

tumitool

Vamos a ver lo que nos arroja contra un servidor Elastix , para variar 😀

tumitool

Luego de unos momentos , tenemos el resultado, lo interesante es que tenemos la opcion a descargar el archivo GNMAP y XML para poder usarlo con Nessus por ejemplo.

5.2.- Análisis de carpetas en Servidores Web

Ruta  :  Vuln Assesment / Run Nikto

tumitool

Vamos a tirar con el mismo servidor a ver que nos responde:

tumitool

Nos muestra que encontró la versión de Apache y  la carpeta como  /icons , entre otras cosas, si tuviera mas de hecho que lo encontraría.

Como ven es una herramienta totalmente funcional y aplicable, asi que se las recomiendo, y si eres Peruano mucho mas !!

Bueno eso es el comienzo, la segunda parte que espero que sea pronto, va ser como iniciar el desarrollo de un modulo para TUMI.

Saludos
Juan Oliva

Anuncios
Esta entrada fue publicada en Manuales y tutoriales por jroliva. Guarda el enlace permanente.

Acerca de jroliva

Juan Oliva, es un consultor de seguridad informática y telefonía IP con 10 años de experiencia en el campo . Muy involucrado en proyectos de pruebas de penetración , análisis y explotación vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática. Así mismo, desarrolla proyectos de implementación y mantenimiento de VoIP, basadas en Asterisk y Elastix, proyectos de callcenter, soluciones en la nube y hosted PBX, Aseguramiento de plataformas Linux, Windows. Ha estado trabajando para una variedad de empresas en donde ha desarrollado proyectos para el estado peruano, así como para entidades privadas, nacionales y del extranjero, cuenta con certificaciones vigentes en Ethical hacking, Linux y telefonía IP. Es instructor de cursos de Ethical Hacking y certificaciónes como Linux Professional Institute y Elastix, donde ha tenido oportunidad de realizar capacitaciones en el Perú, así como en el extranjero. Es investigador de vulnerabilidades, y creador de contenidos, que son publicados en su blog personal jroliva.wordpress.com el cual mantiene desde hace mas de 6 años.

9 pensamientos en “Instalación de TUMITOOL en Kali Linux

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s