Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - NuMB3RW4N

#1
Hacking / Hackeando Facebook con Set & Ettercap
Septiembre 20, 2016, 03:15:22 AM
SET


¿Que es SET?
SET es una completísima suite dedicada a la ingeniería social , que nos permite automatizar tareas que van desde el de envío de SMS (mensajes de texto) falsos, con los que podemos suplantar el numero telefónico que envía el mensaje, a clonar cualquier pagina web y poner en marcha un servidor para hacer phishing en cuestión de segundos. SET integra muchas de las funciones de Metasploit, es más, muchas de las funciones de SET las saca de Metasploit, por tanto no se concibe SET sin previamente tener instalado Metasploit. Quizás lo que mas nos ha llamado la atención de SET es su eficacia y agilidad a la hora de implementar su gran variedad de ataques... SET esta disponible en el BackTrack Linux y Kali Linux o puedes instalarlo desde su repositorio en git.



"git clone No tienes permitido ver los links. Registrarse o Entrar a mi cuenta"



Ettercap


Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-inthe-middle(Spoofing).
Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing. La instalacion dependen de tu SO





Requisitos:
Unos cigarros
Una Coca Cola
Estar conectado a la red de la vicitma (Wardriving)


Terminal
Una vez que estamos ya conectados a la red de nuestro target o víctima ejecutamos set (comando para OSX) , posicionados en la carpeta de instalación de SET





Comando :
Código: text
Makuaz@mbp-de-juan /opt/set ][ 05:41:14 ] > sudo ./setoolkit

Y obtendremos una pantalla como esta :
Escogemos la opción 1




Ahora escogemos la opción 2 :
Y se nos lanza esta pantalla :




Ahora se muestra en pantalla la siguiente información con opciones :
Ahora escogemos la opción 3 :




Ahora escogemos la opción 2 :




Como dije anteriormente Seteamos la información solicitada:
Código: text
set:webattack> IP address for the POST back in Harvester/Tabnabbing:

Recomiendo tu ip local
Enter the url to clone: Aqui la URL : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:

Finalmente obtendras una pantalla similar a esta :




Ahora revisas tu localhost y deberías de ver algo así:
Sin el error claro





Ahora vamos con Ettercap
Suponiendo que ya lo tienes instalado vamos a configurarlo :
La ruta de instalación depende de tu SO , en mi mac es la siguiente: /usr/local/etc/ettercap





Ahora modificaremos el archivo etter.dns con NANO y agregamos estas lineas :
www.facebook.com A 192.168.1.124 — Esta ip es de mi mac donde esta corriendo SET





Salvamos el archivo y ahora corremos el siguiente comando:
Código: text
sudo ettercap -Tq -i en1 -P dns_spoof -M arp // //

Donde en1 es mi tarjeta de red , la tuya puede ser wlan0 , eth0 ... etc




Ahora veremos una pantalla similar a esta




Ahora encenderé una maquina virtual con windows XP SP3 , la cual imaginemos que es una pc mas en la red (debe estar en modo Bridge).
Vemos como en la consola de ettercap aparace la maquina virtual





La cual Verificamos en la misma maquina con windows mediante el comando mundialmente famoso "ipconfig"




Ya en la maquina virtual abrimos Chrome ,Firefox ,o el navegador que tu uses y escribimos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta .




Ahora vemos como ettercap toma la petición y hace referencia a mi prestada MackbookPro




Ahora revisamos el SET y vemos resultados!





Espero que te sirva y le des uso , recuerda comparte los contenidos para que mas
gente aprenda y pueda protegerse.


#2
Debates, Reviews y Opiniones / Ideas para proyectos
Septiembre 04, 2016, 01:09:57 PM
Hola como están todos  ;D espero que bien

bueno hermanos este debate mas que todo es personal  ya que me gustaría sus ideas les planteare el tema

Estoy en el 5to semestre de informática y tengo que presentar mi proyecto final, proyecto de grado,  como ustedes lo quieran llamar
bueno, no quiero hacer algo simple como una programación básica como la de mis compañeros  que vendría siendo esto:

  • sistema de inventario y venta
  • sitema de control de pago para trabajadores
  • sistema de facturación



No quiero nada relacionado a este tipo de programación por que es algo muy sencillo y quiero que me ofrezcan ideas nuevas
interesante algo que tenga que ver con la seguridad informática; sus ideas se anotaran y se llevara a una breve investigación y
publicare que idea tomare  y  después que presente el proyecto lo publicare en underc0de para  que muchas persona puedan aprender
algo nuevo bueno muchachos sin mas que decir



Ideas que se están tomando en cuenta hasta ahora
  • Integración de Latch en frameworks de Internet con Segundo Factor de Autenticación
Latch es una tecnología que se puede utilizar como Segundo Factor de Autenticación en frameworks de Internet. Nosotros desde Eleven Paths lo hemos integrado en un montón de ellos, como PrestaShop, WordPress, PHPMyAdmin, PHPBB, Open X-Change, OpenLDAP o RoundCube, pero aún quedan un montón de ellos que no hemos podido integrar. Todos esos plugins son Open Source, así que puedes ver el código fuente de cada uno de ellos y entender cómo se integra un 2FA en cada uno de ellos. Además, para que sea mucho más fácil de entender cómo se hace, hemos escrito un artículo en el que se detallan todos los cambios que se hacen por debajo a WordPress cuando se integra Latch.
  • Evaluación de fugas de datos en sitios web por medio de documentos públicos
Este es un proyecto de investigación sencillo, que nosotros ya hemos hecho con empresas del IBEX 35 y en las webs de los líderes en DLP. La idea es evaluar qué cantidad de fugas de datos se producen en sitios en los que no debieran producirse. Para ello, elegir un sector de estudio como banca, administraciones públicas de tu país, empresas de una determinada industria, etcétera, podrían arrojar datos significativos. Los riesgos de los metadatos son muchos, y yo tengo ya más de treinta ejemplos de por qué los metadatos hay que cuidarlos.
  • Detector de casas vacías
Una de las cosas que más me sorprende es que se pueda hacer es ver a través de muros utilizando tecnología WiFi. Hemos visto que incluso se puede monitorizar los latidos y la respiración de un bebé. ¿Se podría hacer un sistema que detectara si una casa está vacía utilizando un escáner WiFi? Yo creo que sí, y sería importante poder alertar del riesgo.
  • Configurador remoto de apertura y cierre de puertos en un firewall con Latch
Usar Latch permite muchos esquemas distintos, como Verificación en 4 ojos, Control Parental, Supervisión o como hicieron en HackPlayers, Activación con 2 llaves. ¿Qué tal hacer un daemon que monitorice cada 5 minutos si los puertos de un firewall deben estar abiertos o cerrados y configurar tu iptables? Así, el usuario desde su app puede abrir o cerrar en todo momento qué puertos quiere tener activos y cuáles no.

Estas ideas provienen del Blog de Chema Alonso " El Lado Del Mal"

Espero que me contribuyan con mas ideas o apoyen me en alguno de los proyectos

Saludos
Numb3r
#3
Echemos un vistazo alas herramientas usadas en la serie mr robot


Mr robot ha sido un gran serie para los amantes  de la cyber seguridad esta serie trato de reflejar
lo mas realista posible su situaciones incluso algunas herramienta verdaderas sirvieron para este film
para mi personalmente me encanto investigue sobre sus herramientas de uso y las pude encontrar
dejare un breve hipnosis de la  serie y explicare sus herramientas

Sinopsis
La serie sigue a Elliot (Rami Malek), un joven hacker que sufre de fobia social, depresión clínica y delirios, trabaja como ingeniero de seguridad informática y usa sus habilidades para proteger a las personas por las que se preocupa. Elliot es reclutado por Mr. Robot (Christian Slater), el misterioso líder de un grupo de hackers que quiere destruir a poderosos empresarios de multinacionales que están manejando el mundo.

Bueno empezamos Muchachos
Herramientas:

kali linux: Si por supuesto nuestro hermoso y adorado kali se utilizo en este film ya que dicho sistema operativo
especialmente diseñado para profesionales de seguridad/pentesting/analistas, es de código abierto y de uso gratuito, junto con sus herramientas (hacking).

Social Engineering Toolkit (SET):SET es una completísima suite dedicada a la ingeniería social , que nos permite automatizar tareas que van desde el de envío de SMS (mensajes de texto) falsos, con los que podemos suplantar el numero telefónico que envía el mensaje, a clonar cualquier pagina web y poner en marcha un servidor para hacer phishing en cuestión de segundos.
links : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Netscape Navigator: Probablemente ningún hacker utiliza ese navegador web. Sin embargo, sirve como un recuerdo de cómo Elliot comenzó en el hacking y expresa el compromiso de la serie de ofrecer verdadero conocimiento e información!
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bluetooth Scanner
: El Bluetooth Scanner (o btscanner) se utiliza para extraer la información de un teléfono a través de su Bluetooth, incluso sin la necesidad de estar vinculados para la completar la extracción.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


John the Ripper, un clásico entre los clásicos para realizar la rutinaria tarea de crackear contraseñas protegidas por todo tipo de cifrados utilizando diccionarios, listas de palabras y otras técnicas.


Wifite: Es un script en Python para automatizar el wifi hacking usando varias herramientas como Aircrack-ng suite y Reaver para los routers compatibles con WPS. Esta script automatiza todas las tareas que harías manualmente usando aircrack y reaver. Es necesaria una distribución Linux con los controladores inalámbricos parchados para inyección y acceso root para que funcione.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Wget: Wget es un programa informático que se ha utilizado para comprometer servidores web e interceptar datos sensibles. Basado en la vulnerabilidad shellshock, se lleva a cabo el compromiso.

Rapberry  Hackear:
Ahora en Mr.Robot,  Elliot usa una Rapberry Pi para sobrecalentar y quemar las copias de seguridad de Evil Corps (quien no halla visto la serie esto le sonara a chino, sale en el capitulo 4) si no sabéis lo que es un Raspberry Pi es una mini ordenador del tamaño de una tarjeta de crédito



Dispositivos USB: para comprometer una red aislada: Las unidades flash USB se tiran en un estacionamiento, para que el transeúnte sin sospechar los recoja e iniciar el compromiso. Al ser insertado en la computadora, el hack comienza!



Espero que disfruten mi post 
Conocimiento es poder
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#4


Hoy les quiero presentar una herramienta de auditoria en redes, que nos va a permitir obtener la contraseña de cualquier red wi-fi, sin necesidad de utilizar fuerza bruta. De por sí el titulo emociona a cualquiera, seguramente uno debe pensar : "Esta técnica debe ser increiblemente compleja" Pero el hecho es que no, la realidad es que cualquier persona puede la puede llevar a cabo. Así que sin más palabras vamos a la acción.

¿Qué es fluxion?

Fluxion es un remake de linset, con menos bugs y más funciones. A grandes rasgos es una herramienta disponible en linux, para llevar a cabo ataques contra redes inalambricas. Tales como :


  • Scanear redes
  • Capturar handshake (Sin un handshake valido será imposible verificar la contraseña de una red)
  • Usar interface WEB.
    Y muchas otras funciones que no voy a nombrar porque esta entrada seria interminable

Lo interesante de esta herramienta es que la contraseña se puede conseguir en solo unos cuantos minutos, pero no todo es color de rosa, ya que para esto, la red de la cuál queremos la contraseña, necesita tener por lo menos un dispositivo conectado y navegando. No importa sí es una computadora de escritorio, netbook, notebook, tablet, o smartphone. (Ideal para hacer maldades en las redes de las universidades u otras instituciones, cosa que no recomiendo igualmente)

Así que basta de explicaciones, porque lo queremos es hacer magia y obviamente internet gratis.

Lo primero que vamos a necesitar es instalar la herramienta, en mí caso yo la voy a clonar directamente desde github :

'git clone No tienes permitido ver los links. Registrarse o Entrar a mi cuenta'


Nota : De preferencia deberían crear una carpeta donde quieran para acceder sencillamente a fluxion u otra herramienta clonada, yo tengo un carpeta donde guardo todas las que clono, es cuestión de comodidad no es obligatorio.

Una vez clonada la herramienta, entramos al directorio de fluxion y en la terminal ejecutamos el siguiente comando, para instalar la herramienta y los componentes faltantes :

'./Installer.sh'

Todo se hará automaticamente, una vez instalada la herramienta, volvemos al directorio de fluxion y ejecutamos el siguiente comando para abrir por primera vez la herramienta :

'./fluxion'

Nota : Todos los comandos son sin comillas.

Y veremos algo como esto :

Seleccionamos la opción en español escribiendo : '5'


Después seleccionamos nuestra tarjeta de red, en mí caso es : 'wlan0' Así que escribo : '1'



Ahora vamos a escanear todos los canales (Redes disponibles), escribiendo : '1'



Y se nos va a abrir otra ventana parecida a esta, que nos va a informar las redes que están disponibles a nuestro alrededor :


Esperamos unos 30 segundos a que termine de escanear y luego cerramos esa ventana, a continuación, nos va a aparecer algo como esto :


Bien, como podemos observar todas estas son las redes que yo tengo a mí alrededor, pero recordemos que antes de proceder al ataque, necesitamos que por lo menos un dispositivo este conectado. ¿Pero como podemos saberlo?
Sencillo, sí al lado del número de una red está este simbolo : *
Es porque hay un dispositivo o más conectados a dicha red. Así que en mí caso, voy a atacar la red llamada : 'NoMercy'

Entonces la selecciono escribiendo : '12' Que seria su número de ID.

Una vez elegida la red, podemos proceder a crear el punto de acceso falso al cuál se va a conectar nuestra victima, creyendo que es su red original, escribimos : '1' :


Ahora, no podemos crear el punto de acceso, sin el handshake, así que lo vamos a intentar obtener, presionamos enter :


Y nuevamente presionamos : '1' para poder chequear el handshake con aircrack-ng :


Nuevamente presionamos : '1' Para elegir la opción : 'Deauth all' Lo que esto va a hacer, es desconectar de la red, a todos los dispositivos, causando que se tengan que volver a conectar :


Lo siguiente es que nos van a aparecer dos ventanas mostrandonos información, la de arriba llamada : 'Capturing data on channel' Es la que nos va a mostrar sí el handshake se capturó. Y la de abajo llamada : 'Deauthenticating all clients on NoMercy' Nos va a mostrar, que está enviando paquetes para desconectar a los dispositivos de dicha red.


Podemos ver que el handshake ya fue capturado :  WPA HANDSHAKE : 38:60:77:16:72:1A

Así que nos dirigimos nuevamente a la terminal de fluxion y escribimos : '1' Para seleccionar la opción : 'Chequear handshake'
Esto nos va a detectar el handshake de la red que capturamos anteriormente :


Ya estamos por terminar, así que luego de eso, ahora sí vamos a poder crear nuestro punto de acceso falso para que la victima se conecte a él y nosotros obtener la contraseña, seleccionamos : '1' 'Web Interface'


Seleccionamos el idioma, presionamos: '8' 'Spain' :



se nos van a abrir 4 ventanas nuevas (No hay que cerrarlas) Que nos van a indicar los clientes que se conectan a nuestro punto de acceso falso :


Cuando una victima se conecta al punto de acceso falso, podemos ver que empezamos a recibir información de los sitios a los que se esta conectado, que tipo de dispositivo es y los paquetes que se estan enviando :


Ahora solo es cuestión de esperar, mientras tanto, del lado de la victima, podemos ver que se va a desconectar de la red y al querer conectarse, va a ver una red abierta sin contraseña, que es nuestro punto de acceso, a la cuál sin preguntar se va a conectar automaticamente, pero ... Le va a salir un cartel diciendo que para usar la red, primero tiene que introducir la contraseña :


Podemos observar que se conectó pero necesitamos acceder a la red volviendo a poner la contraseña, luego al presionar el cartel este, nos guia hacía lo que seria un login :



Donde luego de teclear la contraseña y presionar en : 'Enviar' Nos va a salir un error, cuando en realidad nos va a desconectar del punto de acceso falso y nos va a conectar a nuestra red real :


Conexión directa a nuestra red real :



A todo esto, la victima siquiera se entera de que detrás de este supuesto mensaje de error, se oculta un atacante robandole la contraseña, así que sigue feliz de la vida, mientras tanto por nuestro lado, vamos a obtener la contraseña que la victima tecleo en el login :



¡Boom! Tenemos la contraseña que es : 234608129

¿Se puede apreciar lo sencillo qué es robar una contraseña wi-fi sí la victima no tiene noción de que está bajo un ataque? Por estas cosas es que universidades, instituciones, empresas y hasta una red hogareña, está expuesta a este tipo de cosas y puede caer fácilmente sí no se empapa aunque sea un poco en la seguridad informática. Espero que les haya gustado, saludos.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#5
hola buenas estimados compañeros de Underc0de hoy me gustaría Debatir Sobre La Deep web
Internet profunda como muchos dirían me imagino que el 80% de los miembros saben de que hablo
bueno  empezamos

deep web según se divide en niveles lo cual lo considero una total estafa y mentira



Yo eh llegado acceder ah foros los cuales su información es muy bien manejada ya que no es de libre acceso
para poder entrar debes publicar un post que cumpla cierto requisitos y tu post sera revisado  detalladamente
si tu post es bueno te dejan por 1 semana  y tienes que estar publicando contenido para poder el control.
todavía no se como mantiene el control tan excesivamente rudo. su contenido es muy fuerte depende de la sección
ala que quieras participar yo dure 1 semana en ese foro ya que me impacto su información y decidí no volver entrar
en fin no lo clasifico por nivel  lo clasifico por pagina y su seguridad

se que la capa cebolla no es muy segura y todo eso  por eso no accedo mucho ah este tipo de redes ya que no son de mi agrado

En Este foro
Se manejaba Torturas Online  ( parecía un stream lo que pedías lo hacían es algo grotesco)

Venta De Niños Por Pais ( Nose si  es cierto )
Entre Estos Secciones se encontro una de tortura a niños
encontre el famoso caso de deysi destruccion ( el caso fue real )

y otro muchos casos lo cual no fue de mi agrado
Tambien son publicados Asesinatos  De Carteles  Completos (no se si eso es muy inteligente de su parte )
lo demas tipicos foro gore y esas cosillas

No puedo Dejar Link Ya que estos foros cambian normalmente por cada 3 semanas creo no me acuerdo detalladamente
esto es muy traumante la mayoría de los youtube es falsa  No lo considero  De Niveles Solo De contacto De navegación Para odtener esta información  tuve mas de 5 meses navegando  espero  sus experiencias propias yo hice una exposición en la universidad  y vi que es un tema muy llamativo  vere si puedo subir uno de los vídeos de tortura al mega

que pasen un buen dia  y compartan sus experiencias
#6
hola buenas, compañeros de underc0de tengo una duda para ver si me aclaran
es respecto al control de una maquina vean yo tengo acceso ah esa pc el cual es limitado
creo que podre ir  una vez y de ay no podre acceder mas ah ella físicamente


Me gustaría dejar un sofware oh un troyano para mantener una conexion directa
y monitorear  lo que hace  una vez me dijeron mediante un exploits


Pero no quiero algo mas sencillo monitorear las búsquedas y cuentas y contraseñas
en la que  la pc victima navegue así que pensé en un keylogger pero me di cuenta
que la mayoría son una grata estafa oh manera de engañar alas personas
que ella misma se instalen un virus  así que recomienden me una solución
#7
Hola Como están muchachos  bueno soy un joven venezolano con 18 años de edad apenas "un niño como muchos dirían 8) 8)"
estoy aquí underc0de como en dragon jar y en muchos mas foros educativos. hacking creo me enamore y eso que fue hace 10
años mas oh menos  en fin desde ay comenzó mi historia eh estudiado mucho que totalmente me hace muy avanzado al nivel
de aquí de mi universidad  y estoy buscando conocimientos que pueda adquirir  para crecer como informático admiro mucho
los que estudia esta carrera de seguridad  ya que esto no es un camino fácil para cualquiera. estoy actual cursando 4to
semestre de informatica  créanme que aquí en Venezuela el nivel de eduacion es decadente estoy en 4to semestre no me
han enseñado topo logias de red,   ni el modelo osi ni tcp/ip  todo esto y mucho mas lo eh aprendido gracias ah este foro
  claro el tiempo que llevo investigando sobre esto

bueno muchachos estoy aquí para compartir mi conocimientos sobre algunos temas y que ustedes me compartan el suyo mutuamente  ::) ::)


un echo que me dio risa hace poco para que ustedes vean el nivel decadente de las instituciones venezolanas.
que un joven de 5to semestre graduándose nos dieron un curso yo muy animoso pensando que era progamacion web avanzada
y nos enseñaron ah hacer un blog una cosa que yo alos 12 oh 13  lo hacia para mis jueguitos  hahahaha cosas de la vida  bueno me despido que pasen un excelente dia  ;D ;D ;D ;D ;D

#8
Diseño UX/UI / Pidan Firmas Gratis
Agosto 21, 2016, 07:26:45 AM
Hola buenas queridos compañeros de Underc0de  soy nuevo y para hacer amistoso y bueno haré firmas
firmas logo  a las personas que respondan este tema  soy diseñador grafico de hace unos años
pero no me gusta estar encima mucho de esto


solo es para ser amistoso

ElConocimiento es Poder
Espero sus pedidos
#9
Hacking / Clonar una página web para Phishing
Agosto 21, 2016, 06:58:33 AM
Me he dado cuenta que muchos usuarios quieren aprender a   
crear un  phishing de una pagina web, bueno aquí les dejare un url de un vídeo
para que aprendan totalmente a como obtener las copias totalmente de la pagina
espero que les sirva.


El conocimiento es poder





Link de herramientas utilizadas

1)No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
2)No tienes permitido ver los links. Registrarse o Entrar a mi cuenta