Dado que es imposible poder estar siempre al día de todas las vulnerabilidades y todos los exploits que se descubren para los principales sistemas y servidores, existen grandes bases de datos que se encargan de registrar todos estos fallos de seguridad de manera que cualquiera pueda consultarlos. Generalmente estas bases de datos suelen ser libres, cualquiera puede acceder a ellas, aunque realizar búsquedas y consultas no suele ser precisamente lo más cómodo. Por ello, existen herramientas diseñadas para ayudarnos a realizar consultas en estas bases de datos con mayor comodidad, como es el caso de Pompem.

Pompem es una de las herramientas más completas que podemos encontrar hoy en día para la búsqueda de vulnerabilidades y exploits para todo tipo de plataformas y servidores. Esta herramienta, programada en Python, se encarga automáticamente de buscar todo tipo de vulnerabilidades y exploits en las bases de datos más importantes, como, por ejemplo:

• PacketStorm
• CXSecurity
• ZeroDay
• Vulners
• National Vulnerability Database
• WPScan Vulnerability Database

Además, cuenta con un sistema de búsqueda avanzado enfocado a ayudar en el trabajo a los hackers éticos e investigadores de seguridad.

Esta herramienta es de código abierto, y podemos acceder a ella de forma totalmente gratuita desde el siguiente enlace.

Cómo funciona Pompem

Como hemos explicado, Pompem está escrito en Python, por lo que para poder utilizarlo vamos a tener que instalar Python 3.5 en nuestro sistema operativo. Gracias a este lenguaje es posible utilizar Pompem en Windows, Linux, macOS o cualquier otro sistema operativo que ejecute Python.

Para instalar Pompem en nuestro equipo, simplemente ejecutaremos desde una consola el siguiente comando:

• pip3.5 install -r requirements.txt

El propio asistente se encargará de analizar el sistema y de descargar e instalar todo lo necesario para que esta herramienta pueda funcionar. Esta aplicación es compatible con virtualenv, de Python, por lo que podremos mantener todo el programa y todas las dependencias aisladas del resto de ecosistema Python.

Una vez tengamos ya todo instalado y listo, ya podemos empezar a utilizar esta herramienta. Lo primero que haremos será ver la ayuda del programa para hacernos una idea de su funcionamiento:

• python3.5 pompem.py -h

A grandes rasgos, lo más importante es usar el parámetro -s, para buscar una o varias palabras clave, y los parámetros –txt y –html para elegir el formato en el que queremos exportar la información.

Por ejemplo, si queremos buscar vulnerabilidades en WordPress, y guardar los resultados en un HTML, el comando concreto sería:

• python3.5 pompem.py -s WordPress –html

Lo mismo podemos hacer, por ejemplo, para buscar vulnerabilidades en determinados protocolos:

• python3.5 pompem.py -s ssh,ftp,mysql –txt

E incluso para buscar vulnerabilidades relacionadas con dispositivos de una marca concreta, como:

• python3.5 pompem.py -s Ubiquiti

Como podemos ver, Pompem es una de las herramientas más completas que podemos encontrar para buscar vulnerabilidades y exploits para cualquier sistema operativo, cualquier servidor, servicio o para cualquier dispositivo de cualquier fabricante. La información, gracias a que realiza consultas en las bases de datos más importantes, está siempre actualizada con las últimas brechas de seguridad.

¿Qué te parece Pompem? ¿Conoces otras herramientas similares para hacking ético?