Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.


Mensajes - #🍊

Páginas: [1] 2 3
1
Underc0de / Re:Participá y ganá la remera de Underc0de!
« en: Noviembre 15, 2018, 05:40:00 pm »
TheWavs (:

2
Como bien dice Flamer tienen varios fallos en su pagina.

Aqui un XSS que modifica el valor en cualquiera de los metodos de pago, y como si fuera poco,sobre el curso de seguridad web jaja



Metodo GET en una transferencia de pago¿? Jajajajajaja, #quefallo.

3
Dudas y pedidos generales / Re:Netstat -S ayuda !
« en: Julio 26, 2018, 09:14:14 am »
netstat -nb (Como administrador)

Sube captura aquí: https://imgur.com/upload y edita tu post, agregando el enlace.

4
Off Topic / Re:¿Fallo de seguridad del foro?
« en: Julio 26, 2018, 09:07:54 am »
Jaja, no es ningún fallo, es una funcionalidad en tu perfil que te permite agregar un Nombre a tu id de usuario o nickname.

Me hiciste recordar a otra publicación de @Rookit_Pentester, donde creyeron y deducieron de forma incorrecta que también estaban frente a una vulnerabilidad sobre divulgar información:

https://underc0de.org/foro/hacking/el-caso-de-la-red-zello-o-como-intervenir-comunicaciones-en-red-social/

Cuando en realidad eso era problema del administrador del grupo y se le olvidaba que si seteaba de forma privada o publica cada grupo... además que Google indexó las rutas de acceso publicas en... /shared

5
Dudas y pedidos generales / Re:Dudas a la hora de enviar un reporte
« en: Julio 18, 2018, 01:35:10 am »
Gracias por sus respuestas.
Pues si he pensando en arriesgarme, pero desde otro correo jajaja. Voy a fijarme en las políticas de privacidad como dice TheWAV.s; después de todo, mi aspiración es algún dia buscar vulnerabilidades para las empresas (bug bounty), así que tengo que empezar con algo.

Claro!, cualquier duda pregunta, para eso estamos aquí... yo también soy un novato. (:

6
Dudas y pedidos generales / Re:Dudas a la hora de enviar un reporte
« en: Julio 17, 2018, 02:49:13 pm »
Hola a todos,

Hace poco descubrí dos vulnerabilidades en un sitio web de comercio electrónico, quisiera enviar un reporte que ya tengo hecho. Sin embargo, me inquieta un poco la posibilidad de que el comercio tome algún tipo de represalia contra mi, después de todo, nunca les pedí permiso para hacer este tipo de actividades. Alguno de ustedes ha tenido algún problema por informar vulnerabilidades? o realmente no hay nada porque temer.
Saludos..

Me ha sucedido también... yo he encontrado diversas vulnerabilidades hasta en universidades privadas, pero mi consejo es: fijate el tipo de ley de protección de datos que rigen en ese pais de origen y esas cosas, lee su politica de privacidad, luego analizate... si esas vulnerabilidades han sido explotadas anteriormente o que tus pruebas de penetracion hayan comprometiendo datos de sus usuarios en la que no debías tener acceso, o simplemente son de alto impacto.

En mi caso nunca las reporte porque llegué muy lejos y tampoco tuve interes...

Por las dudas utiliza un correo electrónico anónimo y conectado alguna VPN o proxy.

Saludos

Jaja, no hace falta.

7
Off Topic / Re:Como trabajar de hacker etico?
« en: Julio 10, 2018, 03:24:29 pm »
También te dejo esto que me pareció interesante: https://underc0de.org/foro/debates/t35124/


#SaludosySuerte

8
Hola Dedalo, tu publicación y el código que empleaste está bastante minificado para servir como ejemplo básico, aunque yo entienda... otros aún se van a seguir cuestionando.

No explicas los pasos básicos y citas... un writeup en chino, donde peor aún no se puede interpretar nada.

Código: Python
  1.  
  2. from flask import Flask, request, render_template_string
  3.  
  4. app = Flask(__name__)
  5.  
  6. @app.route('/XSS')
  7. def hello_xss():
  8.         template = '''<h2>Hola %s!</h2>''' % request.args.get('nombre')
  9.         return render_template_string(template, person=request.args.get('nombre'))
  10.  
  11. if __name__ == "__main__":
  12.         app.run(debug=True)
  13.  
  14.  


Si bien la subclase: request.args.get('nombre') no es correctamente escapado (with escape y la variable person que no sigue las buenas prácticas de programación...) y a su vez permite manipular cualquier entrada de un usuario malintencionado, no es la unica subclase "vulnerable" o mal declarada dentro de ese código, también está render_template_string, que permite renderizar el primer parametro templatecomo una cadena, existen endpoints que renderizan 2 veces o formateen una URL como una cadena.

Código: Python
  1.  
  2. from flask import Flask, request, render_template_string
  3.  
  4. app = Flask(__name__)
  5.  
  6. @app.route('/LFI')
  7. def hello_lfi():
  8.         template = '''<h2>Hola %s!</h2>''' % request.args.get('name')
  9.         return render_template_string(template, person=request.args.get('name'), get_user_file=get_user_file)
  10.  
  11. def get_user_file(f_name):
  12.         with open(f_name) as f:
  13.                 return f.readlines()
  14.  
  15.  
  16. if __name__ == "__main__":
  17.         app.run(debug=True)
  18.  
  19.  

Esto difiere bastante y no solo depende de open(), también puede darse el mal uso de request.args.get para servir o guardar archivos conduciendo a un directory traversal o LFI.

En algún momento pretendía hacer una publicacion de Server-Side Template Injection, pero...

#Saludos.

9
Off Topic / Re:Como trabajar de hacker etico?
« en: Julio 10, 2018, 01:28:14 pm »
Hola! la duda es la siguiente: Supongamos que estudio lo suficiente como para poder ser hacker etico, pero no dispongo de ningún titulo que lo valide.
Simplemente tengo el conocimiento, que trabajos puedo desempeñar como hacker?

Gracias de antemano!
 

Eres muy ambicioso para pensar así... hay tanta actividad y esfuerzo psicologico y emocional de por medio para lograr esas cosas... no solo es: "estudiar lo suficiente".



https://underc0de.org/foro/off-topic-122/como-conseguir-trabajo-de-ethical-hacker-sin-titulo-universitario/

https://underc0de.org/foro/debates/t32263/

Te dejo dos post que tratan de tu duda. Hay más si buscas por el foro.

Saludos

Gabriela

Te recomiendo buscar sobre "Bug Hunting".
Zalu2!.

Como ya te mencionaron atrás... visita los enlaces y articulos que te dejarón que estas cosas ya se discutieron antes.

Vuelvo y cito de nuevo este topic: https://underc0de.org/foro/off-topic-122/como-conseguir-trabajo-de-ethical-hacker-sin-titulo-universitario/

Lee atentamente, ahí te contesto muchas de tus dudas de una manera bastante cruda, porque la realidad se mueve así.

10
Dudas y pedidos generales / Re:Alternative ddns?
« en: Julio 10, 2018, 01:19:15 pm »
Duck DNS!, es muuuuy recomendado.

Excepto si lo vas a utilizar de manera ilegal... ya que el tráfico malicioso es detectado y denunciado con bastante frecuencia.

11
Quiero publicar un tutorial sobre como penetrar un SO Windows con un script de python que eh diseñado, pero mi duda es en donde lo puedo publicar, en python no deberia ya si lo publico en esa sección es como solo dar el código fuente + no el tutorial, a cambio yo quiero dar el tutorial de su uso, descargar e instalación.

Espero sus respuestas

- DtxdF

Todos los tutoriales, talleres y etcétera de in-seguridad informática van aquí: https://underc0de.org/foro/hacking/

12
Buenas, soy nuevo, me interesa descargar el spy net pero no se a que hace referencia este mensaje que me aparece: (Por favor, identifiquese con la contraseña 'underc0de_db' (sin comillas): )  ¿que contraseña es?

Contraseña:

underc0de_db

13
Dudas y pedidos generales / Re:stealer web y crypter
« en: Junio 13, 2018, 06:48:51 pm »
Ahí te dejé un enlace en Private Message, todos los crypters y stealers que puedas buscar y encontrar, etc.

14
Off Topic / Re:Feliz cumpleaños 79137913
« en: Junio 03, 2018, 06:52:15 am »
He aprendido varias cosas de este usuario cuando descubrí Underc0de, HB! (:

15
No, y nunca ví o aprendí algo útil en ese foro a sinceridad.

Por esas razones fue clausurado por el FBI (estaría demás decir el "porque"...) #lol

16
Dudas y pedidos generales / Re:Errm, funcionalidades del foro?
« en: Mayo 28, 2018, 09:33:22 pm »
Here:


17
Es un poco interesante tu publicación ya que el impacto no es grave y no afecta comercialmente a la compañia desarrolladora de la aplicación según pude entender de la lectura (...). Quizás eso se exceptue en tu segunda parte.

Ahora déjame recomendarte mis consejos como conocedores de in-seguridad informática que somos:

Primero:

Citar

Quiero aclarar una cosa antes de terminar el post:

NO BUSQUEN LA APLICACIÓN
(Ya se repararon la mayoría de los exploits, por eso mismo recién ahora publico una parte)
Y lo aclaro porque yo mismo me aseguré de avisarle a los administradores sobre todos los errores que tenían. Y a medida que los vayan reparando y yo vaya teniendo el tiempo de publicarlos, voy a seguir sacando posts de lo que encontré.


El término EXPLOIT, es demasiado ambiguo ponerlo aquí, porque Exploit tecnicamente significa a mi entender que se trata de un code snippet (o fragmento de programa), que se utiliza o se escribe para aprovechar un agujero, vulnerabilidad informática.

Aquí lo correcto a poner en tu conclusión es Misconfigurationya que estas hablando de un servidor web.

Y no es segun yo, lo dice OWASP: https://www.owasp.org/index.php/Top_10-2017_A6-Security_Misconfiguration

Segundo:

Citar

Si alguno de ustedes la conoce, le pido que no intente replicar lo que se ve en el post. Los administradores tienen la IP, codigo MAC del dispositivo con el cual usaste la APP, cuentas vinculadas a tu dispositivoy obviamente tu cuenta de Google Play. Así que eviten romper los términos y condiciones.


¿Qué quiere decir esto?, que se está violando la privacidad o compartiendo los datos sin consentimiento de cada usuario que otorga sus permisos a la supuesta app descargada de Google Play (Esto se interpreta como una filtración de información sensible) ¿?. O acaso el desarrollador de la app es un usuario de Underc0de ¿?. Quién decida hacer maldades o no en la APK es problema suyo total el impacto es bastante bajo y solo se trata de ganar monedas demás.

Yo no sé como interpretar tus conclusiones...

#Saludos

18
Off Topic / Re:Blackhat, you are no longer in control.
« en: Mayo 23, 2018, 07:36:38 pm »





A ver...


Me la he descargado como siete veces, "y no la he visto".

Alguno puede decir lo que le pareció, en el cine o en casa.


7 veces, Jesus santisimo!, vuelvo y te digo ¿tu pregunta es en serio?...

Esta pelicula encima de ser lenta, es un disparate porque no guarda ninguna relación con la realidad #lol

19
Diseño Gráfico / Re:Pide tu firma Underc0de!
« en: Mayo 23, 2018, 06:50:31 pm »
Necesito un cambio de imagen ya que mi firma expiró desde el 2014. ¿quien me hace el favor de nuevo? #gracias

20
Descubrió y concatenó una serie de vulnerabilidades e hizo un bonito RCE en mi <3.

Páginas: [1] 2 3