Trabajo como evaluador de penetración para una empresa, y una cosa que se nos pide con regularidad es proporcionar un registro forense de todas las actividades que realizamos durante el curso de una evaluación. Me pregunto si hay un marco que admita el registro de todas las actividades de shell, así como todas las herramientas relevantes para la evaluación (por ejemplo, traceroute, metasploit, hping3, etc.)
¿Existe tal shell?
Burp Suite le permite guardar / restaurar el estado de su prueba de lápiz actual. Para mí, esto normalmente significa un registro de todas las solicitudes HTTP realizadas. Además, puede guardar todas las solicitudes HTTP que envió para un examen / explotación adicional.
Parece que desea rastrear más que solo el nivel HTTP de su ataque, pero no estoy seguro de que exista una sola herramienta que lo logre. Puede que necesite usar varias herramientas y luego agregarlas. datos. Si este es el caso, creo que Burp Suite sería una excelente opción para registrar / rastrear ataques de nivel HTTP.
Puedes escribir un script (en bash o python) para reproducir tus comandos y actuar como un proxy local para la ejecución de tus comandos. De esta manera, podría dividir los resultados del registro en cada comando.
Este script no debe ser demasiado largo para escribir para la ganancia que obtendrá. Esa sería mi solución :)
Bueno, TBH Me inclino a preguntarme qué busca exactamente el cliente si se le pregunta por ese nivel de detalle, parecería excesivo saber todo lo que hizo un examinador de bolígrafos durante una revisión (y seguramente un cliente tan paranoico tendría un IDS excelente en su lugar y podría derivarlo de eso;))
Dicho esto, si sientes la necesidad, como dice @ abe-miessler para las pruebas de aplicaciones web, simplemente ejecuta todas tus pruebas a través de burp y luego proporciona un registro de burp. Para agregar a esa recomendación, sugeriría usar un plugin de burp como logger ++ que registra los detalles de las pruebas realizadas por el escáner / intruso, etc.
Si realmente quieres hacer esto en una prueba de red, entonces para la captura de paquetes supongo que podrías ejecutar tcpdump con un filtro de captura solo de la red de destino y combinarlo con el historial de bash para proporcionar una lista de comandos.
Si quieres obtener un poco de estilo y estilo DevOps, puedes ejecutar todos tus comandos desde un contenedor Docker, luego proporciona la salida del comando docker logs como evidencia de los comandos que has ejecutado.
Lea otras preguntas en las etiquetas penetration-test forensics