Kubebot
今天给大家介绍的是一款名叫Kubebot的安全测试Slackbot,该工具基于Google 云平台搭建,并且提供了Kubernetes后端。
项目架构
数据流
1.API请求由Slackbot发起,发送至API服务器,API服务器以Kubernetes(K8s)集群中的Docker容器运行,可以根据需求调整规模大小。
2.API服务器将请求以消息的形式转发至PubSub ToolTopic。
3.消息发布至Tool Subscription。
4.Subscription Worker在K8s集群上以Docker容器运行,处理来自Tool Subscription的消息,Worker的数量也可以根据需要进行调整。
5.根据终端用户传递过来的工具、目标和选项信息,工具会在同一K8s集群上初始化特定的Tool Worker,分析结果也会临时存储在容器的本地目录中。
6.工具会检测生成的结果文件是否存在,如果不存在,则会将其push到GitHub上,如果存在则会进行文件比对,并将新的文件push到GitHub上。
7.Tool Worker会将修改信息回传给Slack,并删除Tool Worker,因为它们已经完成了自己的任务。
注意:在部署K8s集群之前,请从Google Container Registry中下载所有的API服务器Docker镜像、SubscriptionWorker以及Tool Worker。
Kubebot目前集成的工具列表如下(持续更新中…):
Custom Enumall
git-all-secrets
gitrob.
gitrob-server
git-secrets
gobuster
nmap
subbrute
sublist3r
truffleHog
Kubebot整合的自动化工作流如下(持续更新中…):
wfuzz basic authentication bruteforcing
Slack中的Slash命令样本:
/runtoolnmap|-Pn -p 1-1000|google.com
/runtoolsublist3r|-t 50|test.com
/runtoolgobuster|-m dns -w fierce_hostlist.txt -t 10 -fw|google.com
/runtoolenumall|-s shodan-api-key|test.com
/runtoolsubbrute|-s subfiles/names.txt -v|kubebot.io (This takes a long time)
/runtoolgitrob|analyze --no-banner --no-server|test,abc
/runtooltrufflehog||GitHub - KingAsius/iaquest
/runtoolgitsecrets||GitHub - pmyagkov/slack-emoji-bots
/runtoolgitallsecrets|-user|secretuser1,secretuser2
/runtoolgitallsecrets|-toolName repo-supervisor -org|secretorg123
/runtoolgitallsecrets|-repoURL|GitHub - anshumanbh/docker-lair: Dockerizing the Lair Framework
/runtoolgitallsecrets|-gistURL|https://gist.github.com/anshumanbh/f48dc1d9d8b2158252f716a3719bf8e6
/runautomationwfuzzbasicauthbrute|<www.target.com>.
可选的字典文件:
bitquark_20160227_subdomains_popular_1000000.txt
deepmagic.com_top500prefixes.txt
fierce_hostlist.txt
namelist.txt
names.txt
sorted_knock_dnsrecon_fierce_recon-ng.txt
subdomains-top1mil-110000.txt
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
同时每个成长路线对应的板块都有配套的视频提供:
大厂面试题
视频配套资料&国内外网安书籍、文档
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
