BlackStone:一款功能强大的渗透测试报告工具
2022-8-23 09:12:41 Author: www.freebuf.com(查看原文) 阅读量:20 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于BlackStone

BlackStone是一款功能强大的渗透测试报告工具,该项目可以帮助广大研究人员自动起草和提交渗透测试或安全研究审计报告。该工具允许我们在数据库中提交和存储渗透测试过程中发现的漏洞,并通过内部和外部审计来对漏洞进行分类。除此之外,工具还可以存储我们对漏洞的描述和建议以及漏洞的分类或严重程度信息。接下来,BlackStone便会通过这些信息帮助我们生成包含漏洞关键信息的安全汇总报告。

除了漏洞报告生成功能之外,该工具甚至还可以帮助我们收集某个网站相关的子域名、手机号、社交网络信息和员工电子信箱等信息,及具备一定的OSINT功能。

工具安装

安装Docker

/bin/bash -c "$(curl -fsSL https://get.docker.com)"

systemctl enable docker

systemctl start docker

安装docker-compose

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

安装BlackStone

git clone https://github.com/micro-joan/BlackStone

cd BlackStone

docker-compose up -d

此时,我们便可以使用下列用户名和密码访问和使用BlackStone了:

用户名: blackstone

密码: blackstone

工具使用

首先,我们需要在工具配置界面中添加Hunter.io和haveibeenpwned.com令牌:

当工具数据库中存储了漏洞信息之后,我们就可以在审计客户功能中注册一个客户以及对应的Web页面。注册完成后,我们就可以查看客户的详细信息,其中将包括下列信息:

1、企业法人姓名;

2、公司所有者的社交网络平台;

3、公司所有者的电子邮件和电话号码;

4、在网络上检测公司所有者的密码泄漏情况;

5、检查公司网站的子域名以及其他相关信息;

6、公司员工的电子邮件信息;

一旦我们将要进行安全审计的公司注册到数据库中之后,我们将会创建一个报告,并添加日期、报告名称和将要审计的公司信息。当我们注册报告时,我们将对其进行编辑,然后选择要在报告中显示的漏洞:

最后,我们将通过点击“概览报告”按钮生成报告,然后将生成的页面保存为“.mht”。随后,我们可以使用Word打开它,以便对生成的报告进行二次处理:

工具使用演示

视频地址https://youtu.be/qasPlaaYxiU

项目地址

BlackStone:【GitHub传送门

参考资料

https://microjoan.com/

https://www.buymeacoffee.com/microjoan


文章来源: https://www.freebuf.com/articles/web/342585.html
如有侵权请联系:admin#unsafe.sh