Archivo

Archive for the ‘Hacking’ Category

Explotación de Software Parte 25 – Desarrollo de Exploits basados en la Stack – Explotación basada en SEH

julio 24, 2014 Deja un comentario

Conceptos básicos sobre exploits basados en SEH.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 25 – Atacando Repetidores de Salida de TOR

julio 22, 2014 Deja un comentario

Script que utiliza STEM, Python-Nmap y Shodan para atacar los repetidores que se encuentran registrados en los descriptores publicados por las autoridades de directorio.
Se trata de una versión inicial, que modificaré y extenderé en los proximos días.
Publicaré un post para explicar en que consistiran las caracteristicas que quiero implementar y como utilizarlo.

attackTor: https://github.com/Adastra-thw/pyHacks/blob/master/attackTOR.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 24 – Salto y Ejecución de Shellcodes

julio 17, 2014 Deja un comentario

Se explican algunos métodos disponibles para realizar saltos a una dirección de mémoria donde reside un shellcode. También se explica el uso basico de memdump y msfpescan.

vulnServerExploit.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/vulnServerExploit.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 24 – Consulta de descriptores de TOR con Stem

julio 15, 2014 Deja un comentario

Conceptos basicos sobre los descriptores de TOR utilizando la API de STEM.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 23 – Desarrollo de Exploits basados en la Stack

julio 10, 2014 4 comentarios

Ejemplo simple sobre explotación de programas vulnerables sobre-escribiendo directamente el register EIP.

exploitMinishare.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/exploitMinishare.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 23 – Controlando instancias de TOR con Stem

julio 8, 2014 Deja un comentario

Utilizando la API de Stem para acceder a repetidores locales de TOR.

Repositorio GIT para la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 22 – Conceptos basicos sobre explotación de software

julio 3, 2014 1 comentario

Conceptos basicos sobre explotación de software vulnerable y principales tipos tipos de vulnerabilidades.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 22 – Características avanzadas de Plumbum

julio 1, 2014 Deja un comentario

Uso de la libreria Plumbum para la ejecución automatizada de comandos y parseo de argumentos por linea de comandos.

Test.py: https://github.com/Adastra-thw/pyHacks/blob/master/Test.py

Repositorio GIT para la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 21 – Instalación de Sulley Framework

junio 26, 2014 Deja un comentario

Instalación de Sulley Framework sobre un sistema Windows 7.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 21 – Automatización con Plumbum

junio 24, 2014 Deja un comentario

Uso de la libreria Plumbum para la ejecución automatizada de comandos y parseo de argumentos por linea de comandos.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 20 – Fuzzing con Sulley Framework

junio 19, 2014 Deja un comentario

Fuzzing utilizando la API y herramientas disponibles en Sulley Framework.

AbilityRequest.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/AbilityRequest.py
abilitySession.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/abilitySession.py

VulnServerRequest.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/VulnServerRequest.py
VulnServerSession.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/VulnServerSession.py

httpSavant.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/httpSavant.py
httpfuzz.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/httpfuzz.py

MiniShareRequest.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/MiniShareRequest.py
MiniShareSession.py: https://github.com/Adastra-thw/ExploitSerie/blob/master/MiniShareSession.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 20 – Controlando servidores SSH con Paramiko

junio 17, 2014 Deja un comentario

Utilizando Paramiko para gestionar conexiones y ejecutar comandos contra máquinas remotas por medio de un servidor SSH.
SSHTestParamiko.py: https://github.com/Adastra-thw/pyHacks/blob/master/SSHTestParamiko.py
SSHTestParamikoPortForward.py: https://github.com/Adastra-thw/pyHacks/blob/master/SSHTestParamikoPortForward.py
SSHTestParamikoSFTP.py: https://github.com/Adastra-thw/pyHacks/blob/master/SSHTestParamikoSFTP.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 19 – Fuzzing con Spike

junio 12, 2014 1 comentario

Introducción a Fuzzing con SPIKE.

AbilityFTPServer.spk: https://github.com/Adastra-thw/ExploitSerie/blob/master/AbilityFTPServer.spk
MiniShareServer.spk: https://github.com/Adastra-thw/ExploitSerie/blob/master/MiniShareServer.spk
VulnServer.spk: https://github.com/Adastra-thw/ExploitSerie/blob/master/VulnServer.spk

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 19 – Automatizacion con Pexpect

junio 10, 2014 Deja un comentario

Utilizando PExpect para automatización de tareas.


Make a Donation Button

Explotación de Software Parte 18- Introducción y Conceptos Básicos sobre Fuzzing

junio 5, 2014 Deja un comentario

Conceptos básicos sobre las principales técnicas de fuzzing para el descubrimiento de vulnerabilidades.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 18 – Módulo FTPLib para acceder a servidores FTP

junio 3, 2014 Deja un comentario

Uso del módulo FTPLib para acceder a servidores FTP. En este vídeo se ha creado un script en el que se utiliza Shodan para extraer un listado de servidores FTP que permiten autenticación anónima y posteriormente se utiliza FTPLib para los contenidos del directorio raíz.

FtpQueue.py: https://github.com/Adastra-thw/pyHacks/blob/master/FtpQueue.py


Make a Donation Button

Explotación de Software Parte 17 – Programación en MASM

mayo 29, 2014 Deja un comentario

Explicación de programas que enseñan el uso de las principales características incluidas en MASM.

UserInput.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/UserInput.asm
Numbers.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/Numbers.asm
ConcatProc.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/ConcatProc.asm
ASMJumps.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/ASMJumps.asm
BrachingMASM32.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/BrachingMASM32.asm
LoopingMASM32.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/LoopingMASM32.asm

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 17 – FuzzDB y PyWebFuzz

mayo 27, 2014 Deja un comentario

Utilizando FuzzDB y PyWebFuzz para ejecutar procesos de fuzzing desde python.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 16 – Introducción a MASM

mayo 22, 2014 2 comentarios

Introducción a MASM sobre plataformas windows.

MessageBoxMASM.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/MessageBoxMASM.asm
StdOutMASM.asm: https://github.com/Adastra-thw/ExploitSerie/blob/master/StdOutMASM.asm

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

21 Blogs sobre seguridad informática que deberías conocer, en castellano.

mayo 21, 2014 7 comentarios

Es cierto que la mayoría de blogs y sitios web con información actualizada sobre seguridad informática y hacking se encuentran en ingles, sin embargo, en castellano también hay muchos sitios con documentación interesante que viene muy bien conocer. En esta entrada hablaré sobre algunos de los blogs que suelo leer y que considero recursos “imprescindibles” a los que merece la pena dedicarles un poco de tiempo cada semana. Muchos de los sitios web que se listan a continuación, me han ayudado a mejorar mis conocimientos, resolver dudas, a pensar de un modo distinto a la hora de resolver problemas… en definitiva, me han ayudado a mejorar profesionalmente. Son sitios que favorecen a toda la comunidad y sus autores no solamente se han ganado todo mi respeto, también mi más sincero agradecimiento por dedicar parte de su tiempo en ayudar a que esas cosas que en seguridad informática son tan complejas, sean un poco más fáciles de entender. Los blogs no solamente son espacios para la difusión de conocimientos, también sirven para compartir opiniones o ideas, algo que contribuye al crecimiento de la comunidad hacker de habla hispana y complementar puntos de vista; por este motivo son tan importantes, especialmente en los tiempos de corren. Aquí solamente voy a incluir un listado muy corto de los que considero los mejores blogs que hay disponibles en habla hispana sobre seguridad informática.

El Lado del Mal: Blog personal de Chema Alonso. Habla sobre técnicas de hacking y muchos artículos interesantes relacionados con la seguridad informática (y otras cosas “fikis” que tanto nos gustan XD). Últimamente han habido varios artículos sobre Latch, una herramienta muy interesante para añadir una capa de seguridad extra a servicios en Internet. ¿No lo conoces? Venga ya, no me lo creo… XD  www.elladodelmal.com

Security By Default: Se trata de un blog llevado por un grupo de profesionales de la seguridad informática en el que se incluyen varias secciones sobre herramientas, eventos, libros recomendados, entre otras cosas. Es un blog en el que se publican entradas con mucha frecuencia y que cuenta con el reconocimiento de la comunidad por su alto contenido técnico. http://www.securitybydefault.com/

DaboBlog: Blog personal de David Hernández (aka. Dabo), este es “el sitio” por excelencia para todos los que usamos GNU/Linux y específicamente Debian. David es un profesional excelente que incluye en su blog personal  muy buenos contenidos sobre administración de servidores y hacking en sistemas basados en GNU/Linux. Además de su blog, tiene otros sitios web que merece la pena revisar con frecuencia: http://www.daboblog.comhttp://www.apachectl.com/  -  http://www.debianhackers.net/

DragonJar: Una de las comunidades más grandes en habla hispana fundada por Andrés Restrepo, en la que encontrarás múltiples recursos en forma de vídeo tutoriales, entrevistas, manuales, un foro de usuarios con bastante movimiento, etc. http://www.dragonjar.org/

Flu Project: Un blog mantenido por Juan Antonio Calles y Pablo Gonzáles, en el que todos los días podrás encontrar un nuevo artículo con noticias, manuales técnicos y eventos relacionados con la seguridad informática. También incluyen un listado de herramientas de seguridad y retos hacking que resultan muy útiles para practicar. http://www.flu-project.com/

Pentester.es: Es un blog especialmente interesante por incluir contenido completamente técnico en el que se explican al detalle pruebas de concepto y explotación de vulnerabilidades. Aunque no se actualiza con tanta frecuencia como los anteriores, lo considero como uno de los mejores blogs en español sobre hacking y exploiting. http://www.pentester.es/

Seguridad y Redes: Llevo varios años siguiendo este blog, leyendo cada una de sus entradas y ¿qué puedo decir? Nunca me ha defraudado. Creo que es el sitio con más información sobre redes de datos en castellano del que he tenido el gusto de aprender. http://seguridadyredes.wordpress.com/

TuxApuntes: Sitio web muy conocido entre los usuarios de Linux, ya que contiene una gran cantidad de tutoriales que van desde conceptos básicos hasta buenas prácticas a la hora de administrar de servidores. http://tuxapuntes.com/

Original Hacker: Sitio web administrado y mantenido Eugenia Bahit. en él podrás encontrar todas las ediciones de la revista “Original Hacker”, para mi es uno de los recursos más interesantes sobre seguridad informática en castellano, artículos técnicos muy bien explicados y como buena hacker, habla bastante sobre programación en lenguajes como Python. Altamente recomendado. http://www.originalhacker.org/

Inseguros: El blog de “kinomakino” en el que encontraras recursos muy interesantes sobre Pentesting, especialmente sobre sistemas basados en Windows y tecnologías Microsoft, aunque como todo buen blog de hacking, no se limita únicamente a eso. Tiene una colección bastante completa de libros recomendados, los cuales, desde mi punto de vista, son los mejores que hay actualmente sobre seguridad informática. Además, también tiene un listado de recursos y blogs recomendados bastante completa. http://kinomakino.blogspot.com.es/

Hacktimes v2: Este blog ha sido el ganador del concurso Bitácoras 2013 en la categoría de mejor blog de seguridad informática. Ya te podrás imaginar que te encontrarás en él ;-) http://www.hacktimes.com/

1GBdeinformacion: Roberto Garcia (aka. @akil3s) nos presenta un sitio web en el que habla de todo un poco, sobre hacking en aplicaciones web, manuales sobre redes, análisis forense, “trucos” varios, conferencias y eventos sobre seguridad informática en España (de las que parece que no se pierde ni una, fuera de coña… aparece en todas XD). Os animo a visitarlo! http://www.1gbdeinformacion.com/

HackPlayers: Otro gran blog que se suma a esta lista. Incluye información sobre retos, cursos, herramientas, etc. http://www.hackplayers.com/

Seguridad a lo Jabali: Si tuviera que elegir en tres palabras para definir este blog serian: divertido, educativo y  practico. A mi modo de ver, son las principales características de este sitio. http://www.seguridadjabali.com/

Un tal 4an0nymous en el pc: Blog personal de Germán Sánchez.Este blog siempre me ha resultado muy entretenido de leer por la forma en la que el autor explica las cosas, es un profesional que además de ser muy bueno por lo que se puede ver en su blog, tiene un sentido del humor que me resulta muy ameno. Habla un poco de todo, explotación de software, ataques en entornos web, maleware, etc. http://www.enelpc.com/

Kontrol0: Sitio web de Ismael Gonzáles, autor del libro “Backbox 3 – Iniciación al Pentesting” y la herramienta “K0SASP” para hacking en sistemas MacOS. Personalmente, una de las cosas que más gustan de este blog, es que casi todas las entradas son cortas, precisas y prácticas, de esas de las que te enteras rápidamente sobre lo que el autor quiere explicar y poner en práctica. http://www.kontrol0.com/

sniferl4bs: Blog de Jose Moruno Cadima,otro sitio genial sobre seguridad informática y técnicas de hacking. Hay publicaciones constantes que seguramente serán de tu interés. http://www.sniferl4bs.com/

Elhacker.net: Se trata de una comunidad que cuenta con una amplia trayectoria y con miles de usuarios registrados. En el foro y en el blog encontrarás contenidos actualizados todos los días sobre seguridad informática y sistemas en general. Hay gente con mucho nivel con la que puedes contactar directamente o por medio de comentarios, algo que te vendrá muy bien para resolver dudas o saber cómo se hacen ciertas cosas.  http://foro.elhacker.net  -  http://blog.elhacker.net  -  http://warzone.elhacker.net

Hay otros blogs que no llevan tanto tiempo o por lo que sea son menos conocidos, pero que aun así tienen aportes muy valiosos que deberían tener más difusión. Aquí aporto mi pequeño granito de arena. :-)

 

State X: Blog personal de Albert Sanchez, que si bien lleva un par de años rondando en la red y publica prácticamente a diario, creo que aun no ha tenido suficiente difusión (o a lo mejor sí XD). En cualquier caso, es otro blog en el que podrás aprender sobre técnicas básicas de ataque, así como también, algunos artículos sobre Python en los que el autor habla de sus “andaduras” con este lenguaje. http://infostatex.blogspot.com.es/

Securit CRS: Un blog de noticias muy interesante en el que te habla de las principales tendencias en lo relacionado a actividades maliciosas, cibercrimen y otros temas de actualidad. La forma en la que el autor relata cada artículo es simplemente genial, os recomiendo su lectura :-) http://securitcrs.wordpress.com/

Dadme un punto de Red y moveré el mundo!!: Se trata de un blog que data del año 2007 y aunque últimamente ha tenido pocas publicaciones, hay algunos artículos interesantes sobre seguridad informática y administración de servidores. http://monimandarina.blogspot.com.es/

Penny of Security: La primera entrada que leí de este blog, me pareció tan entretenida que desde entonces sigo pendiente de nuevas publicaciones. Lleva poco tiempo en circulación (poco menos de un año) pero tiene muy buena pinta de cara al futuro de sus contenidos. Os recomiendo seguir su evolución, en unos años puede ser un espacio informativo muy bueno. http://pennyofsecurity.blogspot.com.es

Me he dejado muchos, lo sé y son más de los que me gustaría, pero como he dicho al principio, se trata de una lista corta donde he incluido los blogs que más me gustan. ¿Quieres dar a conocer otro blog que no está incluido aquí? Deja un comentario.

UPDATE: Se me había pasado un sitio que no solamente tiene una gran trayectoria, sino que también incluye recursos que todo profesional de la seguridad informática debería conocer, estamos hablando de “elhacker.net”. Con lo cual, se trata de un listado de los 22 sitios que desde mi punto de vista, son los mejores en habla hispana.

Saludos y Happy Hack!

Categorías:Hacking Etiquetas: , ,
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 901 seguidores

%d personas les gusta esto: