18 febrero, 2016

Más herramientas para tu arsenal pentest en Android

Ya os hemos hablado en otras ocasiones sobre herramientas en Android enfocadas al pentesting que hay en la actualidad. Entre ellas existen auténticas "suites" completas como Bugtroid (enlace PlayStore) presentada en este post, o incluso os enseñamos el Pwn Phone en este otro post

Por supuesto tenemos la más famosa de todas, dSploit, cuyo desarrollo se perdió pero surgieron magníficos forks como cSploit (enlace GitHub) que añade nuevas funcionalidades, y zANTI.

También aprovecho para recordar uno de los mejores capturadores de paquetes de red: Intercepter-NG, que incluye un mini-Wireshark y permite ataques MITM, SSL stripping y captura de cookies.

Mientras actualizaba mi arsenal de herramientas para pentesting desde Android he descubierto un par más que desconocía hasta ahora. Se trata de dos aplicaciones enfocadas a realizar ataques de SQLi.

SQLMapChick: (Play Store, GitHub)
Esta App consiste básicamente en un GUI de nuestro querido y conocido SQLMap. Su funcionamiento es muy sencillo al hacer uso de botones para elegir las opciones que quieres incluir en el comando a ejecutar.



DroidSQLi
Esta App puede descargarse desde la web del autor directamente en un APK. No he conseguido averiguar si está disponible su código fuente de forma pública pero la incluyo porque la encontré gracias a un enlace que vi pasar por Twitter hace tiempo.
En el mismo enlace anterior podéis encontrar un video-tutorial (inglés) de uso de la herramienta con un ejemplo práctico.

Bonus
Nipper: Escáner web para analizar de manera general un CMS (WordPress, Drupal,...), y listar los plugins instalados con sus versiones y vulnerabilidades asociadas. 

Mac Address Ghost: Utilidad para cambiar la MAC de tu Android.

Saludos!

0 comentarios:

Publicar un comentario