EL user y pass es "administrador"
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#22
Dudas y pedidos generales / Re:se puede hacer algo?
Diciembre 04, 2012, 05:14:58 PMNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta
entonces donde se ve la direccion del router? es la que deje en la imagen de arriba 172.16.0.1
En la consola teclea:
#23
Dudas y pedidos generales / Re:se puede hacer algo?
Diciembre 04, 2012, 02:05:35 PM
Usa Subterfuge para que obtengas toda la informacion de las pc's conectadas a ese red wifi, aparte podes penetrar las pc's usando el msf que se integra por default en dicha herramienta.
#24
Dudas y pedidos generales / Re:ayuda con wordpress subiendo shell
Diciembre 04, 2012, 11:43:57 AM
Instala un nuevo Plugin y te solucionas la vida.
#25
Dudas y pedidos generales / Re:algo para reversedns?
Diciembre 02, 2012, 02:56:18 PM
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Incluye detección de CMS (Joomla, WordPress, SMF y vBulletin).
Incluye detección de CMS (Joomla, WordPress, SMF y vBulletin).
#26
Pentesting / Information Gathering mediante el uso de MALTEGO
Octubre 06, 2012, 12:42:11 AMINTRODUCCIÓN:
La primera fase de evaluación de la seguridad es centrarse en la recopilación de información tanto como sea posible acerca de una aplicación web. De acuerdo con OWASP, la recopilación de información es un paso necesario en lo que respecta las pruebas de penetración.
Hay básicamente dos tipos de recolección de información: activa y pasiva. Recopilación de información pasiva es que los atacantes no se comunicarán con el objetivo directamente y estarán tratando de reunir información que está disponible en la Internet, mientras que en la recolección activa de información, el atacante estará en contacto directo con el objetivo y estará tratando de reunir información.
La recopilación de información se realiza generalmente en la infraestructura y en las personas. En infraestructura de reconocimiento, los atacantes generalmente tratan de encontrar la información acerca del host, es decir, el registro de intercambio de correo, nombres de registro y servidores, recursos compartidos, etc. Para la recopilación de información sobre las personas, los atacantes tratan de reunir información como direcciones de correo electrónico, sus perfiles públicos, archivos subidos públicamente, etc, que pueden ser utilizados para la ingeniería social o Spear phishing.
Para tal caso, usaremos la herramienta Maltego, que por cierto es una de las mejores herramientas de Informatcion Gathering la cual se encuentra disponible en la suite de BackTrack.
¿QUE ES MALTEGO?
Maltego, es una herramienta de codigo abierto que se basa en la información y aplicación forense y muestra cómo la información está conectado el uno al otro. Otra ventaja de esta herramienta es que la relación entre los distintos tipos de información pueden dar una mejor idea de cómo están relacionados entre sí y también puede ayudar en la identificación de relación desconocida.
¿QUE INFORMACIÓN SE PUEDE ENCONTRAR UTILIZANDO MALTEGO?
Con Maltego, podemos encontrar la relaciones que las personas mayormente usan en la actualidad, incluyendo su perfil social, amigos mutuos, las empresas que se relacionan con la información recopilada, y sitios web.
Si queremos recoger información relacionada con cualquier infraestructura, podemos reunir relación entre los dominios y nombres de DNS.
ARQUITECTURA DE MALTEGO:
UBICACIÓN:
- Aplicaciones - Backtrack - Information Gathering - Network Analysis - DNS Analysis - Maltego
La primera vez que ingrese se le pedirá que registre su producto. Si ya tienes una cuenta, introduce tu correo electrónico y contraseña.
Seguidamente, se abrirá la interfaz de la herramienta, mostrando sus opciones, como se aprecia en la imagen siguiente:
INFRASTUCTURE OPCIONES:
- AS
- DNS Name
- Domain
- IPv4 Address
- MX Record
- NS Record
- Netblock
- URL
- Website
PERSONAL OPCIONES:
- Alias
- Document
- Email Address
- Image
- Person
- Phone Number
- Phrase
Vamos a ver algunas de las opciones, para ello usare la opcion Domain de la pestaña Infrastucture:
Al ejecutar esta opción podemos elegir muchas opciones para obtener información sobre un dominio especificado, como son DNS, dominios e IP.
Reconocimiento Personal:
Maltego ayuda a encontrar información sobre una persona, como su dirección de correo electrónico, perfiles sociales, amigos comunes, diversos archivos compartidos en varias direcciones URL, etc. Aquí seleccionar la opcion "Person" y escriba el nombre de la persona que va a estar tratando de reunir información.
Ejemplo: colocare "barack obama"
Como se aprecia, he obtenido información en la cual incluye, numero de teléfonos Facebook, E-mails y direcciones de pagina web correspondiente al nombre que he colocado.
Este método generalmente busca una afiliación de Facebook que coincida estrechamente a nombre de una persona basándose en el nombre y apellido. Con Maltego también podemos encontrar amigos en común de dos personas específicas con el fin de reunir más información.
Del mismo modo, podemos encontrar si el usuario ha enviado archivos en pastebin o cualquier URL pública. Con toda esta información puede ser útil para realizar una ingeniería social basada en ataque.
Mas Información: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Twitter: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Facebook: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Youtube: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Saludos.
#27
Hacking ShowOff / XSS Found in Alexa Rank
Octubre 06, 2012, 12:34:41 AM
Target: No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Vector: Doble Codificacion + String.fromCharCode
Captura:
Reported!
Vector: Doble Codificacion + String.fromCharCode
Captura:
Reported!
#28
Dudas y pedidos generales / Re:Mejores formas de utilizar dorks
Octubre 05, 2012, 02:06:01 PM
No uses Google para usar Dork's.
Te recomiendo que uses BING, ahi encontraras muchas webs vulnerables con unas simples Dork's, por ejemplo:
Para lo demas tenes que usar la imaginacion.
Te recomiendo que uses BING, ahi encontraras muchas webs vulnerables con unas simples Dork's, por ejemplo:
Para lo demas tenes que usar la imaginacion.
#29
Dudas y pedidos generales / Re:¿Donde conseguir exploit i686 ?
Octubre 05, 2012, 01:20:30 AM
Google Dork:
Encontraras muchos, incluido los 2012 que funcionan de perlas
Encontraras muchos, incluido los 2012 que funcionan de perlas
#30
Hacking ShowOff / Re:XSS Found in Google Play
Octubre 05, 2012, 01:11:08 AMNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta
cuanto te pagaron por ese bug ?
Unos cuantos verdes y quedaron en colocarme en el Salón de la Fama de Google.
#31
Bugs y Exploits / Re:[KBEAST] Plantando un Rootkit
Octubre 05, 2012, 01:08:40 AM
Muy buena wachin
#32
Hacking ShowOff / Re:Remoteexecution.info Pwned!
Octubre 03, 2012, 01:22:25 AMNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta
el que a hierro mata, a hierro muere :3
Muy buen dicho.
Pues mira tu empresa
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
usuario: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
pass: 123456
Saludos
#33
Hacking ShowOff / Remoteexecution.info Pwned!
Octubre 03, 2012, 12:10:38 AM
Que opinan sobre esto?
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Les gusta hablar mal de las personas? se creen dios? mucho hablan y no hacen nada...
Formo parte del staff de underc0de, por lo tanto cuando hablan de underc0de estan metiendo a todo el staff (incluido yo)
Pues, ahora veamos algo mas divertido
Target: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta - No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pwned?
DOWNLOAD DATABASE: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Enjoy!
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Les gusta hablar mal de las personas? se creen dios? mucho hablan y no hacen nada...
Formo parte del staff de underc0de, por lo tanto cuando hablan de underc0de estan metiendo a todo el staff (incluido yo)
Pues, ahora veamos algo mas divertido
Target: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta - No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pwned?
DOWNLOAD DATABASE: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Enjoy!
#34
Bugs y Exploits / Re:Using Jigsaw for Extracting E-mail and Information of Website's
Septiembre 28, 2012, 01:41:17 AM
Todo se realiza con fines educativos y aprendizaje.
#35
Bugs y Exploits / Using Jigsaw for Extracting E-mail and Information of Website's
Septiembre 28, 2012, 12:33:15 AMJigsaw es una herramienta basada en Ruby que nos permite enumerar la informacion (E-mail, Direccion, Nombre y Apellidos y Cargos) de las personas que laboran en una empresa ya sea en Facebook, Google, Microsoft u otros.
Mayormente esta informacion puede servir para realizar Ing. Social o E-mail Pishing.
UBICACIÓN:
- Aplicaciones - BackTrack - Information Gathering - Network Analysis - OSINT Analysis - jigsaw
MODOS DE USO:
- En este caso obtendré información de Facebook, para ello usare el comando: ./jigsaw.rb -s Facebook
- He obtenido algunos ID mostrando el nombre de la entidad a la que corresponde, entonces colocare el comando incluyendo el numero de ID de la entidad que queremos obtener información, ejemplo: ./jigsaw.rb -i 234590
- Como vemos, el ID que he colocado ha arrojado 2 dominios, por lo tanto nos muestra un mensaje indicando que coloquemos el dominio de la cual queremos obtener información, en este caso colocare No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
- La información que se obtuvo fue de 479 records en la cual incluye Nombres y Apellidos, Cargos, E-mail y Dirección Domiciliaria.
Ahora, si queremos guardar la información obtenida y luego visualizarla nuevamente, simplemente colocaremos los siguientes comandos:
VIDEO-TUTORIAL:
DESCARGAR JIGSAW:
- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#36
Dudas y pedidos generales / Re:¿Qué IDE o editor de textos utilizan para programar?
Septiembre 27, 2012, 10:44:38 PM
Seguro el problema es por las dependencias, prueba ejecutando este comando:
#37
Dudas y pedidos generales / Re:¿Qué IDE o editor de textos utilizan para programar?
Septiembre 26, 2012, 12:00:48 AMNo tienes permitido ver los links. Registrarse o Entrar a mi cuentaNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Sin duda sublime manda.
Acabo de instalar Sublime desde yaourt, primero pensé porque no lo tendrian en pacman, ahora que termino de instalarse desde yaourt me doy cuenta de que se requiere una licencia :/ alguna alma caritativa para probarlo?
#38
Pentesting / Enumeración de Email e Informacion con JIGSAW
Septiembre 25, 2012, 01:45:24 PMJigsaw es una herramienta basada en Ruby que nos permite enumerar la informacion (E-mail, Direccion, Nombre y Apellidos y Cargos) de las personas que laboran en una empresa ya sea en Facebook, Google, Microsoft u otros.
Mayormente esta informacion puede servir para realizar Ing. Social o E-mail Pishing.
UBICACIÓN:
- Aplicaciones - BackTrack - Information Gathering - Network Analysis - OSINT Analysis - jigsaw
MODOS DE USO:
- En este caso obtendré información de Facebook, para ello usare el comando: ./jigsaw.rb -s Facebook
- He obtenido algunos ID mostrando el nombre de la entidad a la que corresponde, entonces colocare el comando incluyendo el numero de ID de la entidad que queremos obtener información, ejemplo: ./jigsaw.rb -i 234590
- Como vemos, el ID que he colocado ha arrojado 2 dominios, por lo tanto nos muestra un mensaje indicando que coloquemos el dominio de la cual queremos obtener información, en este caso colocare No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
- La información que se obtuvo fue de 479 records en la cual incluye Nombres y Apellidos, Cargos, E-mail y Dirección Domiciliaria.
Ahora, si queremos guardar la información obtenida y luego visualizarla nuevamente, simplemente colocaremos los siguientes comandos:
DESCARGAR JIGSAW:
- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Saludos.
#39
Dudas y pedidos generales / Re:¿Qué IDE o editor de textos utilizan para programar?
Septiembre 22, 2012, 09:45:00 AM
Sublime Text es muy bueno.