Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Mensajes - rollth

Páginas: [1] 2 3 ... 47
1
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Yo he hecho los dos de webs y son sencillitos, los demas me han dado pereza.
Para el segundo te aconsejo usar Burp y echarle un ojo a las cookies, seguro que puedes sacarlo  ;)

Muchas gracias por la pista! Llevo ya un par de horas probando y a lo único que he llegado ha sido a esto:



Aún fijándome en las cookies como bien dices no termino de ver lo que se me pide. En la pestaña proxy de burp me aparece la cookie codificada, la decodifico y ni con esas entiendo lo que espera de mi el ejercicio  ???

Tampoco busco la solución porque si no resuelvo este, el resto de ejercicios tampoco los resolveré, pero buscando en internet solo he encontrado información acerca de XSS. Entiendo el concepto que hay detrás pero no entiendo como espera el ejercicio que lo aplique.

Donde puedo aprender más sobre como resolver este tipo de ejercicios? Gracias de antemano y perdón por las molestias

Bueno en este caso una XSS no te servirá de nada, fijate que dentro de la página normal hay ciertos usuarios a los que puedes "espiar", hay un boton que dice spy. Si le pulsas ahora mismo no tendrías privilegios suficientes.
Tienes que intentar modificar la cookie para si tener estos privilegios cuando le des a espiar, y entonces es cuando te dan tu respectivo token.

Saludos.

2
Yo he hecho los dos de webs y son sencillitos, los demas me han dado pereza.
Para el segundo te aconsejo usar Burp y echarle un ojo a las cookies, seguro que puedes sacarlo  ;)

3
Seguridad web y en servidores / Denegación de Usuarios [DoU]
« en: Junio 15, 2018, 09:36:20 am »
Muy buenas Underc0ders,

hoy venía a hablaros de algo que he visto varias veces y me gustaría compilarlo todo y dejarlo aquí ya que pienso que podría serle útil a alguien. Se trata de lo que yo he llamado DoU (Denial of Users), o en Castellano, Denegación de Usuario, refiriendome de esta forma al bloqueo de un usuario ya sea o bien de forma temporal o bien de forma permanente, y aunque es algo de lo que ya se ha hablado nunca he visto un buen tutorial sobre el tema, además incluire algo que yo no había visto por la red.

ARMANDO LABORATORIO
Bueno, lo primero que vamos a hacer es armar nuestro laboratorio, aquí seré breve, basicamente lo que tenemos que hacer es montar un servidor web con php y una base de datos, también pueden usar algún tipo de hosting free que lo dan ya todo montado.

Crearemos una tabla en nuestra base de datos, que mantendrá la siguiente estructura.

Para ello podemos usar el siguiente Statment.

Código: MySQL
  1. You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login `users` ( `id` You are not allowed to view links. Register or Login(4) You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login , `usuario` You are not allowed to view links. Register or Login(100) You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login , `password` You are not allowed to view links. Register or Login(100) You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login , `email` You are not allowed to view links. Register or Login(100) You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login , `bloqueo` You are not allowed to view links. Register or Login(4) You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login , `ip` You are not allowed to view links. Register or Login(100) You are not allowed to view links. Register or Login You are not allowed to view links. Register or Login , You are not allowed to view links. Register or Login (`id`)) You are not allowed to view links. Register or Login = MyISAM;
  2.  

Os dejo también por aquí todo el código que he usado para hacer las POCs (Ya se que el código es muy mal, pero lo hice rápido para hacer las pruebas)

You are not allowed to view links. Register or Login

Una vez subamos todo el código debemos modificar el config.php con nuestros datos y ya podremos acceder a "url.es/pruebas.php"


Si quieren hacer las pruebas pueden hacerlo en el laboratorio que preparé yo mientras esté online.

You are not allowed to view links. Register or Login
DoU POR FUERZA BRUTA A USUARIO

El primer caso que nos encontramos es una medida de evasión en la que las páginas webs bloquean a un usuario tras un numero de intento de sesión fallidos. Esto se hace para evitar ataques de fuerza bruta.

Para volver a poder tener acceso a la cuenta normalmente hay, o bien que realizar algún tipo de proceso vía email, o bien esperar una cantidad de tiempo, por lo que en este caso se trataría de un bloqueo temporal, a pesar de esto, puede ser dañino si se hace en ciertos momentos clave.

Para realizar la PoC vamos a registrar a un usuario, en mi caso test01, con credenciales test01.


Lo siguiente que haremos será logearnos con el usuario test01 y unos credenciales incorrectos, capturando la petición con BurpSuite y enviándola al intruder.

(Para los que no hayan usado BurpSuite aconsejo mirarse los You are not allowed to view links. Register or Login)

Una vez capturada la petición lo configuraremos para que vaya probando contraseñas diferentes, como si un ataque de fuerza bruta se tratase, en mi caso lo he hecho a través de una lista numérica.


Una vez configurado lanzaremos el ataque, como se puede observar la lista es de mil números, para asegurarme que hace el número de intentos necesarios para que bloquee al usuario.


Una vez hecho esto podemos comprobar que al intentar acceder con el usuario y contraseña correctos nos devolverá una alerta diciendo que el usuario ha sido bloqueado.


DoU POR FUERZA BRUTA A IP

Este segundo caso funciona igual, la única diferencia es que en lugar de bloquear al usuario, bloquea la IP, por lo que si repetimos el proceso anterior nosotros seremos bloqueados, pero el usuario legítimo podrá seguir accediendo. Este tipo de bloqueo suele ser temporal.

Ahora crearemos de la misma forma un usuario que será test02 y accederemos a la segunda sección de bloqueo de usuarios por IP.

En este caso lo que haremos será en un servidor nuestro propio, crear una página que al entrar envíe muchas peticiones al login desde el cliente del navegador, de tal forma que al entrar el usuario legítimo en nuestra página maliciosa quedaría bloqueado.

Igual que en la ocasión anterior vamos a interceptar la petición para observar como es.


Una vez interceptada la petición tenemos la información suficiente para preparar nuestro código, quedando de la siguiente forma.

Código: HTML5
  1.     <!DOCTYPE html>
  2.     <You are not allowed to view links. Register or Login>
  3.     <You are not allowed to view links. Register or Login>
  4.     <You are not allowed to view links. Register or Login>Ataque ejemplo</You are not allowed to view links. Register or Login>
  5.     <You are not allowed to view links. Register or Login http-equiv="Content-Type" content="text/html; charset=utf-8"/>
  6.     <You are not allowed to view links. Register or Login src="[url]https://ajax.googleapis.com/ajax/libs/jquery/3.3.1/jquery.min.js[/url]"></You are not allowed to view links. Register or Login>
  7.     </You are not allowed to view links. Register or Login>
  8.     <You are not allowed to view links. Register or Login>
  9.     <You are not allowed to view links. Register or Login>
  10.     var paso;
  11.     for(paso = 0; paso < 100; paso++){
  12.    $.post("[url]http://testparauc.atwebpages.com/login2.php[/url]", // URL al que se envía la información
  13.    {
  14.    username: "test02", // Nombre de la Variable y Usuario
  15.    password: paso // Nombre de la Variable
  16.    },
  17.    function(){
  18.    alert();
  19.    });
  20.    }
  21.    </You are not allowed to view links. Register or Login>
  22.     <You are not allowed to view links. Register or Login src="[url]https://globbsecurity.com/wp-content/uploads/2015/06/1330457418383.jpg[/url]">
  23.     </You are not allowed to view links. Register or Login>
  24.     </You are not allowed to view links. Register or Login>
  25.  

Una vez subido nuestro código se lo enviaremos a la víctima, donde el verá lo siguiente.


Después de ver esto si intenta entrar en la página la aplicación detectará que ha hecho demasiados intentos y habrá bloqueado su IP.



DoU POR NOMBRE DE USUARIO

El siguiente caso es algo que descubrí en una auditoría, donde si creas un usuario con el mismo nombre que otro ya existente el primero queda bloqueado y no se puede acceder. Esto es así por 3 motivos.

  • Los valores no están identificados como únicos en la base de datos, por lo que en una columna puede haber dos filas con un mismo valor de una columna.
  • Al registrar un usuario o modificarlo la aplicación no comprueba si ese nombre usuario o email ha sido creado anteriormene
  • En la consulta en lugar de hacer SELECT * FROM usuarios y después seleccionar la parte que nos interesa, se hace SELECT password FROM usuarios, de tal forma que si hay varios usuarios iguales no devuelve un solo String, y al hacer la comparación dará siempre falsa

Para comprobar esto vamos a crear un usuario con usuario: test03 y contraseña: test03 y después accederemos normalmente para comprobar que funciona.

Una vez hecho esto volveremos a crear un usuario con usuario: test03 y contraseña: bloqueo, una vez hecho esto intentaremos acceder y veremos que no somos capaces de hacerlo con ninguna de las dos combinaciones.


Hasta aquí lo que venía a contarles y espero que les sea útil en algún momento.

También me pueden seguir en Twitter si les hace ilusión: You are not allowed to view links. Register or Login

Saludos.


4
Estoy con Gabriela, un trabajo que es simplemente explendido.
Una lectura aconsejada para todos y ya estoy esperando la tercera parte.
Te doy +1 en Karma

Saludos.

5
You are not allowed to view links. Register or Login
Hola gente !
Les cuento, estoy desarrollando un script en Python, el cual cumple su funcion, pero estoy haciendolo de una manera poco eficiente. Muestro primero la manera en la que lo estoy haciendo asi se entiende la pregunta despues  ::)
Código: Python
  1. user1 = "Mike"
  2. pass1 = "123456"
  3.  
  4. user2 = "John"
  5. pass2 = "456345"
  6.  
  7. variable1 = "cadena de texto"
  8. variable2 = "cadena de texto"
  9. variable3 = "cadena de texto"
  10. variable4 = "cadena de texto"
  11.  
  12. Login(user1, pass1)
  13. # validas para user1
  14. Funcion(variable1)
  15. Funcion(variable2)
  16. Logout()
  17. Login(user2,pass2)
  18. # validas para user2
  19. Funcion(variable3)
  20. Funcion(variable4)
  21. #etc etc son como 10 usuarios con 6/7 variables cada uno y esto se haria larguisimo
  22.  
Lo que hace el script es llamar a una funcion digamos "loguear" con los parametros (user,pass).
Luego utiliza unas variables que son validas SOLO para una u otra cuenta, es decir si logueo con la cuenta N°1 utiliza las variables 1 y 2 y si loguearia la cuenta N°2 utiliza las variables 4 y 5
Mi objetivo es que en lo que sigue del programa, dependiendo de que cuenta se haya logueado use solo las que les corresponde.
Se que seguramente tenga que usar una lista o array pero de las maneras que he intentado, no me cuadra.

Saludos a todos y GRACIAS de antemano !

No termino de entender cual es tu intención, pero hay una cosa que  no me dejará dormir esta noche.
¿Estás harcodeando usuarios y contraseñas en python?
¿Y lo muestras en un foro de seguridad informática?

Espero no ser el único que se está echando a llorar.

Saludos.

6
La verdad es que con la información que das es bastante dificil saber que pasa...

7
Puedes pasar el codigo php para que lo veamos?
Lo que te sale es Base64, puedes utilizar esta herramienta para entenderlo.
You are not allowed to view links. Register or Login

Saludos.

8
You are not allowed to view links. Register or Login
¿Alguien sabe dónde está ese programa de recompensas? Muchas gracias.

You are not allowed to view links. Register or Login

Saludos

9
Off Topic / Re:Feliz cumpleaños rollth
« en: Mayo 29, 2018, 12:28:12 pm »
Muchas gracias con retraso chicos, estuve de vuelta en mi ciudad pasando unos días.


10
Muchos routers usan passwords por defecto que se encuentran bases de datos.
Mira esta herramienta, You are not allowed to view links. Register or Login
Con solo una busqueda en google....

Saludos.

11
Dudas y pedidos generales / Re:Como descifrar sha1 hash??
« en: Mayo 22, 2018, 12:51:49 pm »
You are not allowed to view links. Register or Login
Es posible crackearlo usando hashcat???

Es posible, yo por mi parte nunca lo he usado.

12
Dudas y pedidos generales / Re:Como descifrar sha1 hash??
« en: Mayo 22, 2018, 12:34:58 pm »
Antes que nada me gustaría aclararte una cosa. Los hashes son una serie de algoritmos y cuentas irreversibles, por lo que no se puede descifrar, tan solo se puede crackear o encontrar colisiones.

Como segundo punto en CrackStation solo hay hashes que han sido crackeadas por otra persona antes ya que es una base de datos.

Además ten en cuenta que es posible que use un salt y que por eso es posible que no consigas nada.

Por último te dejo un tuto muy completo de como crackear un hash con JTR.

You are not allowed to view links. Register or Login

Saludos.

13
Dudas y pedidos generales / Re:Duda: Que se puede hacer con una IP
« en: Mayo 22, 2018, 10:56:11 am »
Veo mucha palabrería, si el que tiene la IP es rico en BitCoins y tiene contactos en la dw... Pero WTF?

No me ha quedado claro si tiene tu IP personal o la de tu sitio web, pero con la IP en principio lo único que podría hacer es geolocalizar o un ataque DDoS, que tenga la IP de tu sitio no le hace hacker, es más, todo lo contrario, si te amenazo por eso lo convierte en un lamer. Todo el mundo es capaz de escribir "ping sitioweb.com" en una termial.

Por otro lado si lo que tiene es tu IP pública personal, puede que sí se lo haya tenido que currar un poquito más (sigue sin ser el master hacker 3000).

Más allá de los ataques que te he dicho las posibilidades de ataque dependen totalmente de la configuración, en un casual de tu máquina o en otra de tu sitio, así que la pregunta es dificil de contestar...

Por el tema de que tenga tu IP personal, el consejo que te dieron de usar VPN es lo mejor, aunque si no tienes IP fija con resetear el router ya cambiará tu IP.

Por último el tema de "hackers profesionales", depende un poco del concepto de cada uno, es verdad que no existe una carrera como tal, pero hay gente que se dedica a esto, así que ya como lo quieras ver.

Saludos.

14
Hacking / Re:DxD [Herramienta Generadora de Diccionarios]
« en: Mayo 15, 2018, 05:28:54 am »
You are not allowed to view links. Register or Login
de ser posible agregarle una lista de canciones de su artista favorito solo  es de ir borrando los espacios. Saludos y buena herramienta  :D :D

Me parece una idea interesante, la voy a añadir.
Si alguien tiene mas ideas las acepto.

15
Hacking / Re:HackingPhone | Tus herramientas de hacking en el móvil
« en: Mayo 08, 2018, 04:03:03 am »
You are not allowed to view links. Register or Login
Buenos días, soy nuevo en el foro y estoy iniciando es esto, me a molado el post y la e descargado en mi smartphone con todos los procesos que has comentado, lo malo es que no se usarla jajaja, ¿hay algún manual de uso de la app?

Termux funciona como cualquier terminal, en Google hay un montón de información sobre los diferentes comandos de Linux.
Además de esto tienes la propia Wiki oficial de Termux, puedes ojearla también ya que contiene un monton de información.
You are not allowed to view links. Register or Login

Saludos.

16
El problema es que estás comparando dos Strings con "==", esto compara solo si las Referencias son iguales, no si el valor es el mismo. Te pongo un ejemplo.

"test" == "test" te dará verdadero
new String("test") == "test" te dará falso

Para comparar Strings en Java tendrás que usar .equals()

Saludos.

17
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Presupongo que lo dices porque estás en el caso de tener cierta experiencia laboral en el sector sin tener estudios universitarios, porque sí, estar en hall of fame de sitios con bug bounties ayuda, y si, haber reportado vulnerabilidades a sitios sin bug bounty también ayuda.

El tema del GitHub no es necesario, solo lo comentaba como forma de demostrar que tienes ciertas capacidades técnicas.

Saludos.

Hmmmm, te lo comenté (y adivinaste) así porque llevo suficiente tiempo participando y yo no he visto que pongan de esas cosas en el curriculum, mucho menos en los perfiles de linkedin lo que me comentas... no te confundas, esto es más bien un pasatiempo o un trabajo independiente más no un merito personal que vayas agregar a tu CV.

Lo unico que he visto ha sido menciones y enlaces a blogs personales (en perfiles linkedin) donde hacen publico sus propios reportes o actividades como researcher si ellos quieren. Pero que vayan a poner que son numero #1 HoF, que tiene 5000 bugs... olvidate, eso se ve ambiguo y muy anticuado en estos dias.

No se... ¿por qué tienes ese pensamiento?, el sector privado solo quiere saber tu blog y tus propias publicaciones como prueba de tus skills, no le interesa saber lo que te comenté atrás.

#Saludos.

Bueno, no estoy de acuerdo, si no quieres compartir que tienes un bug bounty allá tú xD

Saludos.

18
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Te dejo algunos puntos que te pueden ayudar:

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.
- Tener un buen repositorio de GitHub.
- Haber escrito papers.

Si echas curriculum sin tener carrera universitaria ni master ni nada que compruebe tus habilidades es probable que te hagan unas pruebas técnicas para comprobar tu capacidad.

Saludos.

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.

Muy mal, no respondiste totalmente su pregunta, en un BBP no participa cualquiera y el autor del post sigue sin saber como interpretar tu opinión obviamente digo esto porque para participar se necesita dominar más de un idioma extranjero, SABER que clases de vulns vas a buscar, tener un conocimiento moderadamente tecnico, leer el scope, etc.

La gran mayoria cree que por responder así y reportar vulnerabilidades es lanzar toda clase de ataques in the wild... (a ver que encuentro) sin siquiera saber que es un #BugBounty o incluso afectar paginas web de otras empresas que ni siquiera ofrecen eso, NO, eso no funciona así.

Esto difiere bastante de la pregunta que planteó el autor del post.

- Tener un buen repositorio de GitHub.

No necesariamente en InfoSEC, existen muchos repositorios y herramietas ya... no se reinventa la rueda, a no ser que te refieras a tener un buen recopilatorio toolkit (...)

- Haber escrito papers.

Esto si sirve como prueba de las habilidades del postulante sin un titulo (EN EL SECTOR PRIVADO), pero se tiene que hacer con un proposito; quizas participar en algun congreso de seguridad informatica o simplemente compartir hallazgos. Lo malo es invertir bastante tiempo.


You are not allowed to view links. Register or Login
En mi experiencia personal para este tipo de trabajo el titulo universitario no es un aval de nada.
Lo que vale mas allá de todo es tu conocimiento sobre la temática.
Se autodidacta, has cursos online, certifica, tienes certificaciones interesantes como CEH, CISSP, CCNAP, etc aunque para muchas empresas vale mas tu conocimiento que cualquier titulo o certificación.
Yo no tengo titulo universitario, sin embargo he trabajado para gigantes de la talla de Accenture y Symantec por nombrar algunas, y también he trabajado largos años como consultor freelance de seguridad informática.

Me ha tocado hacer entrevistas técnicas para este tipo de posiciones donde el entrevistador tiene bastante conocimiento del tema y te hace preguntas puntuales, por ej. que tipo de XSS existen? Como evitar tal o cual, me han planteado situaciones en las cuales debía dar soluciones.

Mi recomendación es, estudia, estudia, estudia y practica, mantente actual en cuanto a las novedades que hay día a día. Hoy en día no es nada difícil, el contenido esta por todos lados, desde cursos online gratuitos, papers, RFC, incluso hay cientos de videos en youtube de lo que se te ocurra.

No quieras aprender todo junto y de golpe, porque de nada te servirá, ve por partes, elige un tema estudia, practica, haz retos sobre el mismo y cuando estés realmente seguro de que los conoces, entonces continua por el próximo tema...

Espero haber aportado algo.

Saludos y suerte.

Gn0m3

Tu comentario es acertado y lo apoyo en gran medida pero se te olvido una cosa: bloguear, esto sirve muchisimo en el sector privado y sus cazatalentos.

¿Me pregunto como ingresaste a Symantec? lol, bueno.


En general contesto al autor del post, comparte y publica hallazgos personales si crees que eres capaz y tienes conocimientos, piensa de manera muy distinta a alguien que posee certificaciones o titulos, se independiente como describes en tu pregunta... y quizas te des cuenta como se mueve realmente la industria de InfoSEC.

#Saludos, atte:yo.

Presupongo que lo dices porque estás en el caso de tener cierta experiencia laboral en el sector sin tener estudios universitarios, porque sí, estar en hall of fame de sitios con bug bounties ayuda, y si, haber reportado vulnerabilidades a sitios sin bug bounty también ayuda.

El tema del GitHub no es necesario, solo lo comentaba como forma de demostrar que tienes ciertas capacidades técnicas.

Saludos.

19
Ideas y Sugerencias / Re:Sistema de comunicacion para la comunidad
« en: Mayo 02, 2018, 08:34:02 am »
De hecho si echas una ojeada podrás ver que tenemos tanto grupo de telegram como de Whatsapp.
Aún así para las dudas tenemos el foro que cada público, puede ayudar más gente y en caso de que alguien busque el mismo problema en Google llegará al foro y también le servirá de ayuda.

Saludos.

20
You are not allowed to view links. Register or Login
¿Como se llama la atención de una empresa en la que quieres trabajar como pentester si no tienes titulo universitario? (He oido que teniendo un buen portafolio, ¿pero que tipo de cosas agregan valor a un portafolio de un ethical hacker?
-Por otro lado: ¿Como se puede trabajar de pentester independiente?

Gracias de antemano.

Te dejo algunos puntos que te pueden ayudar:

- Tener bug bounties.
- Haber reportado vulnerabilidades a varios sitios.
- Tener un buen repositorio de GitHub.
- Haber escrito papers.

Si echas curriculum sin tener carrera universitaria ni master ni nada que compruebe tus habilidades es probable que te hagan unas pruebas técnicas para comprobar tu capacidad.

Saludos.

Páginas: [1] 2 3 ... 47