WebCopilot: Automatizando la Enumeración de Subdominios y Escaneo de Vulnerabilidades

por Pablo Álvarez Corredera
Noticias sobre ciberseguridad, hackeos, hacking y malware

WebCopilot es una potente herramienta de automatización diseñada para la eficiente enumeración de subdominios y el escaneo de vulnerabilidades.

Aprovechando una combinación de herramientas de código abierto, este script ofrece un enfoque integral para identificar y abordar posibles problemas de seguridad dentro de un dominio objetivo.

En este artículo, exploraremos las características, el uso y la instalación de WebCopilot, proporcionando una guía detallada para profesionales de la seguridad y entusiastas.

Características

Enumeración de Subdominios

WebCopilot utiliza varias herramientas como assetfinder, sublist3r, subfinder, amass, findomain, y más para enumerar exhaustivamente los subdominios asociados al dominio objetivo.

Enumeración Activa de Subdominios

Utilizando gobuster y amass de listas de palabras SecLists/DNS, el script identifica activamente subdominios en vivo, filtrando los inactivos con dnsx.

Rastreo y Filtrado de Puntos finales

La herramienta utiliza gauplus y waybackurls para rastrear todos los puntos finales de los subdominios dados. Luego, emplea patrones gf para filtrar posibles parámetros de seguridad, como XSS, LFI, SSRF, SQLi, redirección abierta y RCE.

Escaneo de Vulnerabilidades

WebCopilot ejecuta diversas herramientas de código abierto como kxss, dalfox, openredirex, nuclei, sqlmap, etc., para buscar vulnerabilidades en los parámetros identificados. Los resultados se organizan ordenadamente y se guardan en un directorio especificado.

Uso

Usage:
webcopilot -d <target>
webcopilot -d <target> -s
webcopilot [-d target] [-o output destination] [-t threads] [-b blind server URL] [-x exclude domains]

La herramienta es fácil de usar, con una variedad de opciones disponibles:

  • -d: Especifica el dominio objetivo (obligatorio).
  • -o: Establece el directorio de salida (predeterminado: domain.com).
  • -t: Define el número de hilos para un escaneo más rápido (predeterminado: 100).
  • -b: Incluye una URL de servidor ciego para BXSS (predeterminado: Falso).
  • -x: Excluye dominios especificados que están fuera del alcance (predeterminado: Falso).
  • -s: Ejecuta solo la enumeración de subdominios (predeterminado: Falso).
  • -h: Muestra el mensaje de ayuda.
RELACIONADOS:  RansomwareSim: Un Simulador de Ransomware nunca Antes Visto

Ejemplo:

webcopilot -d domain.com -o domain -t 333 -x exclude.txt -b testServer.xss
Use https://xsshunter.com/ or https://interact.projectdiscovery.io/ to get your server

Instalación de WebCopilot

Para instalar WebCopilot, asegúrese de tener git instalado y ejecute el siguiente comando como root:

git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh

Herramientas Utilizadas

WebCopilot depende de una variedad de herramientas para su funcionalidad, incluyendo SubFinderSublist3rFindomaingfOpenRedireXdnsxsqlmapgobusterassetfinderhttpxkxssqsreplaceNucleidalfoxanewjqaquatoneurldedupeAmassgaupluswaybackurlscrlfuzz

Conclusión

En conclusión, WebCopilot se presenta como una herramienta de automatización robusta, simplificando el proceso de enumeración de subdominios y escaneo de vulnerabilidades.

Los profesionales de la seguridad pueden aprovechar sus características para identificar y abordar eficientemente posibles amenazas. Recuerde que WebCopilot debe usarse de manera responsable, y los usuarios son responsables de sus acciones.

Relacionado

Bugsy: Herramienta de Interfaz de Línea de Comando que Proporciona Remedios Automáticos para Vulnerabilidades

Bugsy es una herramienta de interfaz de línea de comandos (CLI) que ofrece remedios automáticos para vulnerabilidades de seguridad en tu código. Se trata de la edición comunitaria de Mobb, la primera herramienta de remediación automática de vulnerabilidades de seguridad sin proveedor específico. Bugsy está diseñado para ayudar a los desarrolladores a identificar y solucionar rápidamente las vulnerabilidades de seguridad en su código. ¿Qué es Mobb? ¡SEGUIR LEYENDO!

CATSploit: Una Herramienta de Pruebas de Penetración Automatizada Utilizando la Evaluación de Técnicas de Ataque Cibernético (CATS)

CATSploit es una herramienta automatizada de pruebas de penetración que utiliza el método de Evaluación de Técnicas de Ataque Cibernético (CATS). A diferencia de los pentesters tradicionales, CATSploit utiliza información de configuración del sistema, como el sistema operativo, puertos abiertos y versiones de software recopiladas por el escáner, para calcular valores de puntuación de captura (eVc) y detectabilidad (eVd) de cada técnica de ataque para el ¡SEGUIR LEYENDO!

RELACIONADOS:  Logsensor: Una Poderosa Herramienta de Sensor para Descubrir Paneles de Inicio de Sesión y Escaneo SQLi en Formularios POST
17 Mejores Cursos Gratis de Comercio Electrónico

Cursos con los que aprender a montar una tienda o comercio electrónico sobre una página web, totalmente gratis y online.

28 Cursos Gratis de Udemy (cupón finalizado)

Cursos variados, entre los que vas a poder aprender Javascript, NET, Python, Java, R, AWS, SQL, Linux y más. Juegos Gratis de Abril: Steel Rats ? JUEGO GRATIS STEAM > World's Dawn ? JUEGO INDIE GALA > Age of Steel Recharge ? JUEGO INDIE GALA > Dwarflings ? JUEGO INDIE GALA > Survivalist ? JUEGO INDIE GALA Cursos en Español Curso Gratuito Iniciacion a la programacion ¡SEGUIR LEYENDO!

Mejores Cursos Gratis de Seguridad en Red

Recopilatorio de cursos enfocados en aprender seguridad dentro del mundo de la red, internet y entre las conexiones de las redes.

Demonized Shell: Una Herramienta Avanzada para Persistencia en Linux

D3m0n1z3dShell es una herramienta avanzada diseñada para lograr persistencia en sistemas Linux. NOTA IMPORTANTE: Es importante tener en cuenta que no me hago responsable de los daños causados por esta herramienta. Se debe utilizar de manera inteligente y únicamente con fines educativos. Desarrollada por MatheuZSecurity, esta shell demonizada ofrece una variedad de características para asegurar la persistencia en diversos entornos, desde sistemas Linux hasta Android e ¡SEGUIR LEYENDO!

EasyEASM: Herramienta de Gestión de Superficie de Ataque de Cero Dólares

Herramienta de gestión de superficie de ataque de cero dólares presentada en Black Hat Arsenal 2023 y Recon Village @ DEF CON 2023. Easy EASM es exactamente eso... la herramienta más fácil de configurar para proporcionar visibilidad a su organización sobre sus activos externos. La industria está dominada por proveedores de $30,000 que venden "Gestión de Superficie de Ataque", pero los cazadores de recompensas y los ¡SEGUIR LEYENDO!

Salir de la versión móvil