Pwned tu Drupal

drupwn


Visto que hace unas semanas apareció el tan famoso Drupalgeddon, donde los chicos de Drupal sacaron a la luz una vulnerabilidad crítica por la cuál era posible la inyección de código remoto.
Esta vez vamos a presentar una aplicación para algo diferente pero con las similitudes que un pentester puede buscar.



Nosotros publicamos muchos post después de que como en este caso haya pasado lo del Drupalgeddon ya que no queremos aprovechar el tirón que tienen las vulnerabilidades críticas, por eso es que nuestro blog está creado más que nada para la curiosidad y el estudio, ya que el aprovechamiento y el uso indebido de una vulnerabilidad crítica no va con nuestra política y con nuestra ética.

Qué es Drupwn

Drupwn es una aplicación desarrollada en python la cual nos analiza un sitio web creado con el gestor de contenido Drupal
Drupal es uno de los CMS más usado por los desarrolladores web para crear tanto sitios como portales dinámicos, por lo tanto tener una herramienta para comprobar que el sitio web que posteriormente hemos creado no tiene ninguna vulnerabilidad en cuanto a seguridad informática se refiere pues es una ventaja bastante grande.

Para instalar la aplicación en nuestro ordenador tan sólo tenemos que clonar desde el repositorio del desarrollador hospedado en GitHub. Para que la aplicación funcione correctamente es necesario tener instalado Python 3.
Una vez hemos clonado, nos dirigimos a la carpeta de la herramienta e instalamos los requerimientos.
pip3 install -r requirements.txt
Una vez hayamos instalado los requerimientos es hora de probar la aplicación, y como hacemos siempre lo haremos solicitándole a la misma ayuda.
python3 drupwn.py --help
Si nos ha salido una pantalla como esta es que todo ha ido bien y tendremos la aplicación lista para ser usada.


drupal pwned

Como podéis ver esta aplicación es bastante completa dejándonos buscar usuarios, módulos, temas... Siendo también compatible e integrable con Docker para un aprovechamiento de la misma más completo.

Recordar que estamos abiertos a todo tipo de correcciones.

Para más info puedes consultarnos en nuestro email info@rekat.es o a través de nuestra página web https://rekat.es

También estamos disponibles tanto por Facebook como por Twitter

Saludos! 👾

Comentarios

Publicar un comentario

Entradas populares de este blog

Fotografía forense con Fotoforensics

Imagen
Es indudable que con tantos dispositivos con cámara como hoy en día tenemos sumado a la facilidad de uso que a veces muestran los programas de retoque fotográfico hace que haya veces en las que una imagen nos ponga en duda de si es verdadera o falsa. Ahí es donde nosotros entramos con esta fantástica herramienta llamada Fotoforensics .
Leer más

Acediendo a nuestra web con ProFTPD

Imagen
Una de las cosas que tenemos que tener en cuenta cuando hacemos una página web es sobre todo el host que contratamos para subir ahí todos los archivos de la misma. Hay que tener en cuenta que las empresas que tienen nuestras webs hospedadas tengan una buena política de actualizaciones de sus servicios ya que podemos estar ante una seria amenaza para la continuidad del servicio que estamos ofreciendo.
Leer más

Instalación de Faraday IDE

Imagen
¿Qué es Faraday IDE? Faraday IDE es ese iconito con fondo rojo y una F en su centro que se encuentra en la mayoría de las distribuciones de seguridad informática como Kali o Parrot, aunque también puede ser instalada de forma externa, que es de lo que vamos a hablar en este primer post sobre esta herramienta de pentesting . Esta aplicación está desarrollada por el grupo FaradaySec y cuenta con varias versiones de pago y una comunitaria libre, aunque lógicamente más restringida en algunas funciones.
Leer más