Desde hace algún tiempo he venido evaluando y trabajando con esta herramienta que a la fecha se ha convertido en una de las principales tools de auditoria en mi arsenal para auditar aplicaciones web y también para realizar otras tareas mas sencillas como OSINT.
Fuera de ser pequeña, portable y bastante intuitiva, me sedujo con el poderoso arsenal de herramientas y plugins con los que viene ya incorporada.
Algo interesante de HconSTF es que la mayor parte de la herramienta es semi automatizada, aun así tendrás que usar tu cerebro para trabajar correctamente con toda la gama de opciones que trae.
Puede usarse en todos los tipos de fases del Pentesting o Ethical Hacking y tiene una gran cantidad de herramientas dirigidas a realizar tareas como:
- Pentesting Web
- Desarrollo de Exploits Web
- Análisis de Malware Web
- Open Source Intelligence ( Cyber Spying & Doxing )
Si tuviera que describir brevemente la gran capacidad de esta tool, podría decir que:
Es bastante intuitiva, comprensible y llena de herramientas de explotación como el debugging interactivo para el desarrollo de exploits web.
Posee una gran cantidad de herramientas de auditoria y pentesting tanto online como offline llamadas «WebUI» que incluye escaners, encoders, herramientas para spoffing y más.
Posee una gran cantidad de módulos de payloads web para auditoria y explotación de aplicaciones web como:
- Xss
- Sqli
- LDAP
- Ejecución de comandos
Trae más de 165 plugins para tareas de reconocimiento y OSINT como:
- Reconocimiento por IP, DNS, dominio, etc.
- Google Dorks
- GHDB
- Shodan
- busqueda de personas
- Bases de datos de exploits
- etc, etc.
Una de las funciones mas interesantes para el desarrollo de exploits que tiene esta herramienta es que trae una gama interesante de opciones para ofuscación como Encoders / Decoders, soporta una gran variedad de formatos, características y algoritmos para convertir tus payloads indetectables.
HconSTF también cuenta con opciones integradas de proxing para anonimizar tus acciones por la Red. trae una configuración predeterminada para trabajar con:
- Tor
- AdvOR
- I2P
- Https, Socks 4/5
.
.
Dentro la función de reportes trae características muy interesantes que facilitan la elaboración de reportes como:
- Screenshots
- Notas
- Guardar y exportar sesiones
- Url de acceso personalizado
- Solicitud de Logging automatizado
Por último y como un excelente aporte dentro lo que pude ver, es la sección de ayuda la cual trae enlaces directos a una gran cantidad de recursos para familiarizarse con varias de las herramientas, técnicas y métodos utilizados por HconSTF.
Más características:
- Disponible para todos los sistemas basados en windows como Linux
- Fácil de usar y de interfaz intuitiva
- Incluye scripts personalizados para hacer varias tareas de Pentesting
- Incluye un cleaner para ejecutar HconSTF silenciosamente
- Liviano en Recursos de Hardware y Pequeño en tamaño
- Portable, sin necesidad de instalar, se puede trabajar desde cualquier dispositivo de almacenamiento USB
- Tiene soporte multi-idioma (Parcial)
- Funciona lado a lado con tu navegador web, sin ningún problemas de conflicto
- Funciona tanto en arquitecturas x86 y x64 en Windows XP, Vista, 7 y en Linux con Wine
- compatible con Netbook – la interfaz de usuario está diseñada para el uso en el marco de los tamaños de pantalla pequeña.
- Fuente libre y de código abierto y así siempre lo será.
Las Categorías de Herramientas que trae, son:
- Reconocimiento / Mapeo
- Editores / Depuradores
- Explotación / Auditoria
- Anonimato
- Contraseñas
- Criptografia
- Base de Datos
- Scripting / Automatización
- Utilidades de red
- Reportes
Puedes descargar la versión que más te guste para Windows, Linux x86 o Linux x64 de acá: [tw_button link=»http://www.hcon.in/downloads.html» size=»small» rounded=»false» style=»flat» hover=»default» color=»#88e82e» target=»_blank»]Descargar[/tw_button]
