¿Qué es un CMS?
Un sistema de manejo de contenido (Content Management System) administra la creación y edición de contenido digital. Acorde a especialistas en cursos de seguridad informática del Instituto Internacional de Seguridad Cibernética, el CMS da soporte a múltiples usuarios de diversas plataformas de contenido digital en un ambiente colaborativo. Algunos ejemplos destacables de esto son WordPress, Joomla, Drupal, etc.
Historial de lanzamientos
Versión 1.0.1: 19 de junio de 2018
Versión 1.0.0: 15 de junio de 2018
Funciones de CMSeek
- Detección básica de CMS de más de 20 sistemas diferentes
- Escaneos avanzados de WordPress
- Detección de la versión
- Detección de usuarios (con 3 métodos de versión)
- Búsqueda de vulnerabilidades y mucho más
- Sistema modular de fuerza bruta
- Utiliza los módulos de fuerza bruta predeterminados o crea tus propios módulos e intégralos
Requerimientos y Compatibilidad
CMSeek fue creado utilizando python3; necesitarás python3 para correr esta herramienta, que es compatible con sistemas basados en unix, como hasta ahora. Soporte para Windows será agregado posteriormente. CMSeek utiliza git para actualizarse automáticamente, así que asegúrate de contar con git instalado.
Instalación y Uso
Es bastante fácil usar CMSeek con el conocimiento adecuado en cursos de seguridad informática, sólo asegúrate de contar con python3 y git instalado y usar los siguientes comandos:
El resto se explica por sí solo.
Buscar actualizaciones
Puedes buscar actualizaciones ya sea en el menú principal o utilizando el comando python3 cmseek.py –update para buscar actualizaciones y aplicarlas automáticamente. Recuerda que necesitas contar con git, CMSeek utiliza git para actualizar automáticamente.
Métodos de Detección
CMSeek utiliza principalmente 2 elementos para la detección:
- Cabecera HTTP
- Código de la página de origen
CMS compatibles
Ahora mismo CMSeek puede detectar 22 diferentes sistemas de manejo de contenido compatibles, puede encontrar la lista completa en el archivo cmss.py,donde se presenta como directorio cmseekdb. Todos los sistemas se encuentran almacenados de la siguiente forma:
Resultado de Escaneos:
Todos los resultados de los escaneos realizados se almacenan en un archivo en formato json identificado como cms.json. Puedes encontrar los registros en el directorio Result\<Target Site>. A continuación un ejemplo del informe de registro:
Módulos de fuerza bruta
CMSeek tiene un sistema de fuerza bruta modular, lo que significa que puedes agregar tus módulos de fuerza bruta personalizados para trabajar con CMSeek. En breve se creará la documentación adecuada para la creación de módulos, pero en caso de que ya hayas descubierto cómo hacerlo (bastante fácil una vez que se analizan los módulos prefabricados o si cuentas con experiencia previa en cursos de seguridad informática) todo lo que necesitas hacer es:
- Agregar un comentario con este formato exacto: # <Name Of The CMS> Bruteforce module. Esto ayudará a CMSeek a saber el nomre del sistema de manejo de contenido utilizando regex.
- Agregar otro comentario que contenga la expresión ### cmseekbruteforcemodule. Esto ayudará a CMSeek a saber que se trata de un módulo.
- Copiar y pegar el módulo en el directorio brutecms debajo del directorio CMSeek.
- Abrir CMSeek y reconstruir el caché utilizando U como la entrada en el primer menú.
- Si todo ha salido bien hasta ahora, encontrarás algo como esto y tu módulo será enlistado en el menú de fuerza bruta la próxima vez que abras CMSeek:
Screenshots
Menú principal de CMSeek:
Menú de resultados de los escaneos:
Resultado de escaneo en WordPress:
Abrir un nuevo expediente por informe de error
Por favor asegúrate de adjuntar la siguiente información para abrir un nuevo expediente:
- Objetivo
- Copia exacta del error o screenshot del error
- Información de tu sistema operativo
Informes de errores sin estos tres datos podían no ser contestados.
Encuentra esta herramienta aquí: https://github.com/Tuhinshubhra/CMSeeK
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad