Cómo recopilar información expuesta de manera automática con la herramienta Karma
Karma es una herramienta que puede ser utilizada por investigadores de seguridad, pentesters y cazadores de recompensas para recopilar información. Entre esta información destacan IPs omitidas de WAF/CDN, infraestructura interna y externa, filtraciones expuestas públicamente y mucho más sobre un objetivo.
Para utilizarla es necesaria la clave API de Shodan Premium. Los resultados de Karma se pueden ver y guardar en archivos y/o directorios.
Con respecto a la API de Shodan Premium, debes consultar el sitio web de Shodan para obtener más información.
Características de Karma
- Resultados potentes y flexibles a través de Dorks de Shodan
- Búsqueda de Suma de verificación / huella digital SSL SHA1
- Solo permite acceder a direcciones IP dentro del alcance
- Permite verificar que cada IP con el emisor del certificado SSL/TLS coincida con la expresión regular
- Proporciona direcciones IP fuera de alcance
- Descubre todos los puertos, incluidos los conocidos, poco comunes y dinámicos
- Recopila todas las vulnerabilidades de los objetivos relacionados con los CVEs
- Recopila información para cada IP, sistema operativo, servicios y organización, etc.
- Muestra iconos de favicon
- Genera Hash de Favicon usando el módulo de Python 3 mmh3
- Recopila perfiles IPv4 e IPv6
Pero eso no esto, la herramienta recopila filtraciones de NDMP, SMB, Inicios de sesión y Registro. Además filtraciones de OAuth, SSO, VPN, Citrix, Jfrog, OpenFire, WordPress, Laravel, Moodle, Spring Boot, Django, Jira, Ruby, Secret Key y muchos más…
