Archivo

Archivo de Autor

Explotación de Software Parte 29 – Identificando Bad Characters en Shellcodes

agosto 21, 2014 Deja un comentario

Uso de mona.py para la generación de un array con todos los posibles caracteres que se pueden incluir en un shellcode.
Posteriormente, se identifican y remueven todos aquellos caracteres que alteren el array.

exploitMinishare2.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/exploitMinishare2.py
Server-Strcpy.exe: https://github.com/Adastra-thw/ExploitSerie/blob/master/Server-Strcpy.exe
strcpyExploit.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/strcpyExploit.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 29 – Scripting en Inmmunity Debugger – PyCommands

agosto 19, 2014 Deja un comentario

Scripting con Immunity Debugger utilizando su API en Python.
En este vídeo solamente en explican los conceptos principales para la creación de PyCommands.

example.py: https://github.com/Adastra-thw/pyHacks/blob/master/example.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 28 – Conceptos Básicos sobre ShellCoding

agosto 14, 2014 Deja un comentario

Conceptos básicos sobre shellcoding y las principales consideraciones a tener en cuenta a la hora de crear shellcodes.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 28 – Introducción a PyDBG

agosto 12, 2014 Deja un comentario

Se explica el uso PyDBG para automatizar procesos de depuración y monitorizar llamadas a funciones.
Aunque en el vídeo se enseña para una plataforma Windows, los mismos conceptos pueden aplicar a sistemas Linux y system calls.

SimplePyDBG.py: https://github.com/Adastra-thw/pyHacks/blob/master/SimplePyDBG.py
MonPyDBG.py: https://github.com/Adastra-thw/pyHacks/blob/master/MonPyDBG.py
Mon2PyDBG.py: https://github.com/Adastra-thw/pyHacks/blob/master/Mon2PyDBG.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 27 – Uso de Mona en Inmunity Debugger para agilizar el desarrollo de exploits

agosto 7, 2014 Deja un comentario

Uso de las opciones básicas de Mona.py desde Immunity Debugger.
Para obtener más información sobre Mona y descargar el script:

http://redmine.corelan.be/projects/mona


Make a Donation Button

Hacking con Python Parte 27 – Construyendo clientes y servidores con Twisted

agosto 5, 2014 Deja un comentario

Continuación del vídeo anterior sobre las características incluidas en la librería Twisted

SimpleWebServer.py: https://github.com/Adastra-thw/pyHacks/blob/master/SimpleWebServer.py
CustomWebServer.py: https://github.com/Adastra-thw/pyHacks/blob/master/CustomWebServer.py
SimpleReverseProxy.py https://github.com/Adastra-thw/pyHacks/blob/master/SimpleReverseProxy.py
SimpleTransparentProxy.py: https://github.com/Adastra-thw/pyHacks/blob/master/SimpleTransparentProxy.py
IrcTest.py: https://github.com/Adastra-thw/pyHacks/blob/master/IrcTest.py

Repositorio GIT en la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 26 – Uso de Plugins en WinDBG para agilizar el desarrollo de exploits

julio 31, 2014 Deja un comentario

Uso de los comandos básicos en WinDBG y las extensiones Byakugan y Exploitable.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 26 – Introducción a Twisted

julio 29, 2014 Deja un comentario

Conceptos basicos sobre Twisted.

SimpleTwisted.py: https://github.com/Adastra-thw/pyHacks/blob/master/SimpleTwisted.py
TwistedChat.py: https://github.com/Adastra-thw/pyHacks/blob/master/TwistedChat.py
ClienteTwisted.py: https://github.com/Adastra-thw/pyHacks/blob/master/ClienteTwisted.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 25 – Desarrollo de Exploits basados en la Stack – Explotación basada en SEH

julio 24, 2014 Deja un comentario

Conceptos básicos sobre exploits basados en SEH.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 25 – Atacando Repetidores de Salida de TOR

julio 22, 2014 Deja un comentario

Script que utiliza STEM, Python-Nmap y Shodan para atacar los repetidores que se encuentran registrados en los descriptores publicados por las autoridades de directorio.
Se trata de una versión inicial, que modificaré y extenderé en los proximos días.
Publicaré un post para explicar en que consistiran las caracteristicas que quiero implementar y como utilizarlo.

attackTor: https://github.com/Adastra-thw/pyHacks/blob/master/attackTOR.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 24 – Salto y Ejecución de Shellcodes

julio 17, 2014 Deja un comentario

Se explican algunos métodos disponibles para realizar saltos a una dirección de mémoria donde reside un shellcode. También se explica el uso basico de memdump y msfpescan.

vulnServerExploit.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/vulnServerExploit.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 24 – Consulta de descriptores de TOR con Stem

julio 15, 2014 Deja un comentario

Conceptos basicos sobre los descriptores de TOR utilizando la API de STEM.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 23 – Desarrollo de Exploits basados en la Stack

julio 10, 2014 4 comentarios

Ejemplo simple sobre explotación de programas vulnerables sobre-escribiendo directamente el register EIP.

exploitMinishare.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/exploitMinishare.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 23 – Controlando instancias de TOR con Stem

julio 8, 2014 Deja un comentario

Utilizando la API de Stem para acceder a repetidores locales de TOR.

Repositorio GIT para la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 22 – Conceptos basicos sobre explotación de software

julio 3, 2014 1 comentario

Conceptos basicos sobre explotación de software vulnerable y principales tipos tipos de vulnerabilidades.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Resultados del Primer reto de Jóvenes profesionales de ISACA – Madrid Chapter.

julio 2, 2014 Deja un comentario

Tal como mencionaba la semana pasada el viernes 27 de junio se ha celebrado la primera edición del concurso de jóvenes profesionales de ISACA (@ISACAMadrid), evento en el que hemos participado Ismael González (@kontrol0) y yo presentando Tortazo. Nuestro objetivo era dar a conocer el proyecto e intentar captar el interes de otros desarrolladores para que nos colaboren con ideas y código. Nuestra presentación fue la primera, pero desafortunadamente no fue tan bien como esperábamos, ya que el fichero ODP que llevamos, se rompió al abrirlo con el Office que tenia instalada la máquina donde íbamos a presentar la idea, pero ese era el menor de los problemas… ya que solamente contábamos con 25 minutos para la charla llevamos unos vídeos para intentar exponer el mayor número de características de la herramienta de forma rápida y explicando paso a paso el uso de Tortazo y aunque se veían genial en nuestros ordenadores, en la pantalla del proyector no se veían ni las letras, así que hemos tenido que ir sacando pantallos y e ir tratando de explicar el uso de la herramienta con las imágenes que íbamos sacando: En resumen, nuestra presentación no ha del todo bien. De todos modos, hemos intentado explicar claramente de qué va la herramienta y al parecer la gente lo entendía y además, mostraban interés, así que eso ha estado bien.
Los demás participantes han tenido un poco más de suerte, excepto el chico de los drones al que no le dejaron sacar su dron para la parte practica. Las demás charlas hablaban de modelos de negocio, ciberseguridad y herramientas para la gestión de la información. Las charlas han estado muy bien y han sido muy entretenidas, todas sin excepción.
Al final, en la entrega de premios, francamente pensábamos que dada la presentación que habíamos dado (en la que no enseñamos ni la mitad de lo que queriamos mostrar a los asistentes), los demás participantes tenían más opciones de ganar, sin embargo…

Oh sorpresa!! nos hemos llevado el primer premio!!  :-O

Ha sido una gran sorpresa para nosotros, ya que después de los problemas que habíamos tenido con la presentación y la calidad técnica de las otras propuestas, creíamos que nuestro proyecto no iba a estar tan bien valorado, pero no fue así. Hemos salido del evento con las pilas recargadas y con la sensación de que vamos por el buen camino, ha sido un incentivo que nos motiva a seguir desarrollando nuevas características en Tortazo y mejorando las que ya se encuentran desarrolladas. Ha sido todo un acierto participar en el evento y esperamos que el próximo año tenga mucha más difusión y que hayan muchas más propuestas (técnicas preferiblemente). Hay gente con mucho talento en este país y siempre es un placer conocerles y saber en qué están trabajando, que nos sorprendan con sus proyectos y sus ideas. Compartir conocimiento, es la clave para la mejora y el desarrollo de cualquier sociedad.
Del evento como tal, solamente decir que la planificación y la organización ha sido notable, aunque creo que le ha faltado más difusión y a lo mejor debido a las fechas, la asistencia no ha sido tan buena. Supongo que la gente se encontraba muy ocupada un viernes a las 16:00h en pleno verano… :-P
Por otro lado, hemos tenido la oportunidad de conocer a los organizadores de Navaja Negra, han estado en el evento y han rifado algunas entradas para el evento que se celebrará entre el 2 y 4 de Octubre en Albacete. Nos han dicho que habrá cervezas y otras bebidas alcohólicas, ha sido demasiado tentador así que evidentemente, no hemos dudado en enviar nuestra propuesta al CFP y aunque no quede seleccionada, tengo pensado asistir.
Por último, dejo algunas de imágenes, espero que se repita el próximo año.

BrJae7EIMAAyAORSinfonier

BrJVFd5CQAAxgDaTío! la presentación no abre y los vídeos no se ven ni con lupa… Toca improvisar, la …. que ….

BrJWpXbIQAAF7g5Homenaje a uno de los mejores currantes que conozco en el campo de la seguridad : Homer Simpson. No tiene el reconocimiento que se merece. ;-)

 

dY2MDc6Foto final

Saludos y Happy Hack!!

Categorías:Uncategorized

Hacking con Python Parte 22 – Características avanzadas de Plumbum

julio 1, 2014 Deja un comentario

Uso de la libreria Plumbum para la ejecución automatizada de comandos y parseo de argumentos por linea de comandos.

Test.py: https://github.com/Adastra-thw/pyHacks/blob/master/Test.py

Repositorio GIT para la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 21 – Instalación de Sulley Framework

junio 26, 2014 Deja un comentario

Instalación de Sulley Framework sobre un sistema Windows 7.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Reto de ISACA Madrid para Jóvenes Profesionales

junio 24, 2014 1 comentario

El día viernes 27 de Junio, a las 16:00 horas se celebrará la primera edición del “Reto de ISACA Madrid para Jóvenes Profesionales”. En mi caso, participaré junto con mi compañero Ismael González (aka. @kontrol0) para hablar sobre el funcionamiento de “Tortazo”. Hace algunas semanas he escrito un par de entradas hablando sobre el objetivo de dicha herramienta y ahora vamos a intentar explicarlo “a viva voz” en una charla presencial en el Salón de Actos de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI).  Será una charla corta de 25 minutos de duración, con lo cual solamente se podrán explicar las principales características de Tortazo y cómo va su desarrollo. Aunque es poco tiempo, creo que será suficiente para explicar exactamente de qué va ésta herramienta y despertar el interés de otras personas que quieran colaborar con el proyecto. Además, en la página donde se encuentra el programa del evento  veréis que hay otras charlas que tienen muy buena pinta y que seguro van a encantar a todos los asistentes. En mi caso, estoy seguro que me lo voy a pasar genial viendo las propuestas de los otros participantes y pensando sobre cómo poder “jugar” con lo que nos vayan a enseñar.
Cualquiera puede inscribirse gratuitamente, así que os invito a participar y disfrutar de cada una de las charlas que se van presentar. Además, también podéis seguir el hashtag en twitter “#RetoISACA” y la cuenta “@ISACAMadrid” para estar al tanto de todas las novedades que vayan surgiendo durante la semana.
Allí nos veremos!!

Saludos y Happy Hack!!

Categorías:Uncategorized

Hacking con Python Parte 21 – Automatización con Plumbum

junio 24, 2014 Deja un comentario

Uso de la libreria Plumbum para la ejecución automatizada de comandos y parseo de argumentos por linea de comandos.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 922 seguidores

%d personas les gusta esto: