自动化的Serpico:渗透测试报告的好帮手
Serpico及其环境的安装
Serpico由Sinatra、Bootstrap、Haml编写,其安装过程是很容易的。
你需要安装Ruby,先下载RVM(ruby版本的管理):
https://rvm.io/rvm/install
ruby的话2.1.5就行:
rvm install 2.1.5 rvm use 2.1.5
如果你在Ubuntu上运行(或者是Kali),你需要以下的依赖:
apt-get install libsqlite3-dev libxslt-dev libxml2-dev zlib1g-dev gcc
Serpico下载:
git clone https://github.com/MooseDojo/Serpico.git
进入Serpico目录,gem安装:
cd Serpico gem install bundler bundle install
运行first time脚本,开始安装:
ruby scripts/first_time.rb
使用Serpico:
ruby serpico.rb
打开浏览器,访问https://127.0.0.1:8443(这里端口也可以是自行指定的),然后开启使用的旅程吧。
先看视频来一发吧:
Youtube地址:
https://www.youtube.com/watch?v=sKZFrqpLb18
关于Serpico
Serpicos本质上是一个报告生成工具,但它是专为撰写信息安全报告而生的。当需要创建报告时,用户可以从模板库里添加你发现的东西(“findings”)到报告里。当添加完毕后,点击生成报告(“Generate Report”),用你的成果来撰写word文档,当然,报告模板里的这个文档,也是默认从用户界面添加的。报告模板使用了自定义标记语言,把数据从用户界面(发现的东西、客户名称)中提取出来,然后放进报告里。
轻松编辑报告模板
编辑报告模板,应该是一件很容易的事才对。然而在实践中,我们常常在报告模板里会出小bug,比如一个多的空格、一个拼写错误。但是Serpicos的出现解决了这个问题,固定的模式,意味着生成报告时不会再出现以前的错误。
模板数据库
我们不需要从头开始编写绝大多数发现的东西,许多在此前已经有了模板定式。在Serpico里,写报告的人可以直接把发现的东西从模板库里弄出来,加到报告里。当然,如果在此前没有,用户也可以自定义上传发现的结果,将其加入模板库。
附件共享
Serpico里,与小伙伴共享文件变得更加轻松。你可以使用添加附件功能,来存储文件或者分享文档。此间小伙伴并不需要第三方介质,只需要他登录用户界面和下载文件,所有的操作都是单点完成。
Microsoft Word元语言
用于Microsoft Word的元语言被设计得尽可能的简单,但仍给我们提供了足够的功能来创建一个基本的渗透测试报告。虽然有它有一个学习曲线而且诸多不便,我强烈建议大家看一看Serpico-Report.Docx和Serpico-No DREAD.Docx(都在templates目录里),对它们进行编辑,而不是从头开始繁琐的工作。
插入截图:
https://github.com/MooseDojo/Serpico/wiki/Inserting-Screenshots
我知道这款工具还有很多不足,欢迎大家跟我交流想法。
Wiki地址:
https://github.com/MooseDojo/Serpico/wiki/Serpico-Meta-Language-In-Depth
注意事项
微软有个不好的习惯,喜欢擅自改字符,当你处理元语言时要当心。
官方 