(BugBuntu) Quando falamos em distribuições Linux com foco em hacking ou Pentest, logo pensamos no Kali ou ParrotSec. São ótimas distros, aliás.

E se eu te dissesse que existe uma distro com todas as ferramentas necessárias para as suas atividades relacionadas à caça de bugs (BugBounty) de segurança da informação?

Estou falando do BugBuntu. Uma distribuição Linux customizada baseada no Ubuntu 18.04, em fase beta de testes, mas que você já pode utilizar e se “deliciar” com as ferramentas disponibilizadas no sistema.

O BugBuntu foi idealizado pelo especialista em segurança e Professor Universitário, Humberto Júnior, seguindo as dicas do projeto KingOfBugBounty, do Ataíde Junior, conhecido BugHunter da área.

Bug Bounty são programas de recompensas de bugs oferecidos por muitos sites, empresas e desenvolvedores de software pelo qual os hackers podem receber reconhecimento e compensação por relatar bugs, especialmente aqueles relativos a explorações e vulnerabilidades, são os chamados Exploit Zero-Day.

Trecho de post publicado pelo site SempreUpdate

Entrevistamos o idealizador do projeto

Conversamos com o Humberto pelo LinkedIn, onde ele respondeu algumas perguntas enviadas pela rede social. Espero que gostem!

O Analista: Como surgiu a ideia do projeto BugBuntu?

Humberto: Primeiramente gostaria muito de agradecer pelo convite para falar sobre esse projeto. É um prazer conversar com vocês.

Surgiu em uma noite de pesquisas sobre ferramentas. Estava procurando algumas ferramentas para trabalhar em Recon e então acabei pensando sobre a dificuldade que se tem de montar um grupo de tools que você pode usar facilmente para certos procedimentos. Daí, pensei, ué, por que não tentar construir uma distro mínima só com o que eu preciso, que seja algo simples e customizada com o que eu preciso?

Eu já conhecia o projeto do KingOfBugBountyTips e usava bastante. Aprendi muito sobre oneliners com esse projeto do @Ofjaaah (Ataíde), que por sinal é um repositório fantástico e que foi a inspiração total para criação desse projeto. Como o repositório usa diversas ferramentas e é necessário instalá-las uma por uma muitas vezes, esse processo inicial é massante assim como a atualização. Usando o repositório eu criei a base do projeto.

O Analista: Quais as dificuldades encontradas (caso existam)?

Humberto: A maior dificuldade foi customizar uma distro sem antes ter feito nada parecido. Tive que pesquisar bastante sobre a estrutura do S.O. e do XFCE para conseguir chegar à versão inicial.

O Analista: Existe algum motivo para a escolha do Ubuntu 18.04?

Humberto: Como a customização começou do Zero, sem um Window Manager padrão, tive que escolher uma ISO mínima (Netinst) com apenas o core do Sistema Operacional. Só consegui realizar com a versão 18.04.

O Analista: A ideia é seguir o mesmo fluxo de atualizações do Ubuntu?

Humberto: A idéia é tentar ir além. Quem sabe chegar ao ponto de ser uma distribuição baseada mas totalmente independente do Ubuntu.

O Analista: Como a comunidade pode contribuir com o BugBuntu?

Humberto: No momento estamos fechando um time para desenvolver o projeto. No github onde o projeto está hospedado a comunidade pode utilizar as issues para entrar em contato. Hoje temos 2 pessoas responsáveis pelo github do projeto.

O Analista: Novas ferramentas serão inseridas?

Humberto: Com o lançamento dessa primeira versão tive o prazer de receber uma proposta do amigo Cleiton Pinheiro, grande desenvolvedor PyQT e que possui já diversos projetos interessantes na área de Offensive Security, para que sejam inseridas algumas ferramentas próprias que estão sendo desenvolvidas por ele e que estão em fase final.

O Analista: Quais os planos para o futuro?

Humberto: Desenvolver algo que ajude quem está começando no BugBounty, ajude quem já está na área e que precise de algo rápido e já testado (O intuito de se ter uma distro pronta é esse) para que o pesquisador consiga ter seu resultado de Recon/Exploração sem precisar passar um tempo configurando seu ambiente de desenvolvimento/trabalho.

O time está se formando (Hoje somos 3: Humberto Jr, Ataide Jr e o Cleiton Pinheiro) e hoje já estamos com reuniões marcadas para planejarmos o roadmap do projeto. Somos 2 Juniores e 1 Master kkkk

O plano final é ter uma distro Brasileira, com ferramentas feitas por Brasileiros, e que possa ser utilizada por qualquer um no planeta. 🙂

Como baixar a distro?

Ficou animado né? Também fiquei! O BugBuntu atualmente está na versão 0.1.2 sob o formato OVA (imagem para o VirtualBox). Você poderá para baixá-lo diretamente dos servidores da SourceForge ou via arquivo .torrent, neste caso, será necessário ter um client de Torrent.

Não é jabá tá, mas se usar o browser Brave (com foco em privacidade), que possui um client de Torrent embutido, poderá usá-lo para baixar o BugBuntu. Só um toque tá?

BugBuntu: conheça a distro Linux com foco em BugBounty

Navegador Brave

Arquivo .torrent do BugBuntu

Como instalar o BugBuntu?

É muito fácil. Primeiramente tenha instalado o Virtualbox em sua máquina. No meu caso, estou utilizando o Ubuntu 21.04 na máquina principal, mas nada impede que use o Virtualbox no Windows e instale o BugBuntu nele, tranks?

Após ter feito o download do arquivo .OVA, acesse o VirtualBox. Na tela principal da ferramenta, clique no botão Importar:

BugBuntu: conheça a distro Linux com foco em BugBounty

Em seguida clique no botão destacado abaixo, para procurar pelo arquivo .OVA baixado:

BugBuntu: conheça a distro Linux com foco em BugBounty

Clique duas vezes sob o arquivo BugBuntu_v0_1_2.ova:

BugBuntu: conheça a distro Linux com foco em BugBounty

Na tela seguinte veremos as configurações existentes na imagem do BugBuntu. Clique no botão Importar:

O processo de importação da imagem começará:

Após a imagem ser importada, o atalho para o BugBuntu aparecerá como na imagem a seguir. Clique duas vezes sob ele:

O BugBuntu sendo inicializado:

Tela de login do BugBuntu. Utilize a senha bugbuntu para se logar.

Fácil né?

As ferramentas

Como falamos no início, as ferramentas escolhidas se baseiam nas dicas do projeto KingOfBugBounty. Confira abaixo a lista de algumas ferramentas que podem ser encontradas no BugBuntu:

  • Amass
  • Anew
  • Anti-burl
  • Assetfinder
  • CF-check
  • Chaos
  • Dalfox
  • DNSgen
  • Filter-resolved
  • Findomain
  • Fuff
  • Gargs
  • Gau
  • Gf
  • Github-Search
  • Gospider
  • Gowitness
  • Hakrawler
  • HakrevDNS
  • Haktldextract
  • Html-tool
  • Httpx
  • InurlBR Scanner (Nova versão por @MrCl0wnLab)
  • Jaeles
  • jexboss
  • Jsubfinder
  • Kxss
  • LinkFinder
  • Metabigor
  • MassDNS
  • Naabu
  • nuclei
  • Qsreplace
  • Rush
  • SecretFinder
  • ShuffleDNS
  • SQLMap
  • Subfinder
  • SubJS
  • Unew
  • WaybackURLs
  • Notify
  • Goop
  • Tojson
  • getJS
  • x8

As ferramentas estão localizadas em alguns diretórios, mas podem ser executadas à partir de qualquer local no terminal (graças ao santo PATH! :-)). Dá uma olhada nos diretórios onde poderá encontrar essas e outras ferramentas:

/opt/tools
/usr/local/bin/
/opt/work/

Este post não procurou explorar todas as possibilidades e configurações que podem ser feitas com o BugBuntu, mas para divulgar um projeto que tem tudo para crescer e cair nas graças do pessoal de segurança da informação (ou quem não é da área, mas quer um S.O. com essas ferramentas).

Sabe quando queremos um ambiente com as ferramentas necessárias para executarmos determinadas tarefas? Com o BugBuntu você encontra o apoio necessário para tocar seus projetos de caça de bugs (e de Pentest também né?).

Hack the Planet!

Fonte:

https://github.com/halencarjunior/BugBuntu

https://github.com/KingOfBugbounty/KingOfBugBountyTips

Mais notícias:

https://www.oanalista.com.br/pentest-engenharia-social-macropack/

What's your reaction?

Excited
3
Happy
0
In Love
0
Not Sure
0
Silly
0
O Analista
Adoro letras verdes sob um fundo preto...

You may also like

More in:How To