Lavoro come tester di penetrazione per un'azienda, e una cosa che ci viene regolarmente chiesto è di fornire un registro forense di tutte le attività che svolgiamo durante il corso di una valutazione. Mi chiedo se esiste un framework che supporta la registrazione di tutte le attività della shell e tutti gli strumenti rilevanti per la valutazione (ad esempio traceroute, metasploit, hping3, ecc.)
Esiste una tale shell?
Burp Suite ti consente di salvare / ripristinare lo stato del tuo attuale pen-test. Per me questo in genere significa un registro di tutte le richieste HTTP effettuate. Oltre a questo puoi salvare tutte le richieste HTTP che hai inviato per un ulteriore esame / sfruttamento.
Sembra che tu voglia monitorare più del semplice livello HTTP del tuo attacco, ma non sono sicuro che ci sia un singolo strumento là fuori che lo realizzerà - potresti aver bisogno di usare diversi strumenti e poi aggregare il dati. Se questo è il caso, penso che Burp Suite sarebbe una scelta eccellente per la registrazione / monitoraggio degli attacchi a livello HTTP.
Potresti scrivere uno script (in bash o python) per riprodurre i tuoi comandi e fungere da proxy locale per l'esecuzione dei comandi. In questo modo, puoi dividere i risultati del log in ogni comando.
Questo script non dovrebbe essere troppo lungo per scrivere per il guadagno che otterrai. Questa sarebbe la mia soluzione:)
Bene, TBH Sarei incline a chiedere esattamente che cosa il cliente sta cercando, se gli viene chiesto quel livello di dettaglio, sembrerebbe eccessivo dover sapere tutto ciò che un tester di penna ha fatto durante una recensione (e sicuramente un cliente che è paranoico avrebbe IDS eccellente sul posto e potrebbe derivarlo da quello;))
Ciò detto se ne senti la necessità, come dice @ abe-miessler per i test delle applicazioni Web, esegui tutti i tuoi test tramite burp e quindi fornisci un log di burp. Per aggiungere a questa raccomandazione suggerirei di usare un plugin di burp come logger ++ che registra i dettagli dei test eseguiti dallo scanner / intruso ecc.
Se vuoi davvero farlo su un test di rete, allora per l'acquisizione di pacchetti credo che potresti eseguire tcpdump con un filtro di acquisizione della sola rete di destinazione e combinarlo con la cronologia di bash per fornire un elenco di comandi.
Se vuoi ottenere uno stile un po 'elaborato e DevOps, puoi eseguire tutti i tuoi comandi da un contenitore Docker, quindi fornire l'output del comando docker logs come prova di quali comandi hai eseguito.
Leggi altre domande sui tag penetration-test forensics