EL user y pass es "administrador"

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
entonces donde se ve la direccion del router? es la que deje en la imagen de arriba 172.16.0.1 

En la consola teclea:

ip route

Usa Subterfuge para que obtengas toda la informacion de las pc's conectadas a ese red wifi, aparte podes penetrar las pc's usando el msf que se integra por default en dicha herramienta.

Instala un nuevo Plugin y te solucionas la vida.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Incluye detección de CMS (Joomla, WordPress, SMF y vBulletin).

INTRODUCCIÓN:

La primera fase de evaluación de la seguridad es centrarse en la recopilación de información tanto como sea posible acerca de una aplicación web. De acuerdo con OWASP, la recopilación de información es un paso necesario en lo que respecta las pruebas de penetración.

Hay básicamente dos tipos de recolección de información: activa y pasiva. Recopilación de información pasiva es que los atacantes no se comunicarán con el objetivo directamente y estarán tratando de reunir información que está disponible en la Internet, mientras que en la recolección activa de información, el atacante estará en contacto directo con el objetivo y estará tratando de reunir información.

La recopilación de información se realiza generalmente en la infraestructura y en las personas. En infraestructura de reconocimiento, los atacantes generalmente tratan de encontrar la información acerca del host, es decir, el registro de intercambio de correo, nombres de registro y servidores, recursos compartidos, etc. Para la recopilación de información sobre las personas, los atacantes tratan de reunir información como direcciones de correo electrónico, sus perfiles públicos, archivos subidos públicamente, etc, que pueden ser utilizados para la ingeniería social o Spear phishing.

Para tal caso, usaremos la herramienta Maltego, que por cierto es una de las mejores herramientas de Informatcion Gathering la cual se encuentra disponible en la suite de BackTrack.

¿QUE ES MALTEGO?

Maltego, es una herramienta de codigo abierto que se basa en la información y aplicación forense y muestra cómo la información está conectado el uno al otro. Otra ventaja de esta herramienta es que la relación entre los distintos tipos de información pueden dar una mejor idea de cómo están relacionados entre sí y también puede ayudar en la identificación de relación desconocida.

¿QUE INFORMACIÓN SE PUEDE ENCONTRAR UTILIZANDO MALTEGO?

Con Maltego, podemos encontrar la relaciones que las personas mayormente usan en la actualidad, incluyendo su perfil social, amigos mutuos, las empresas que se relacionan con la información recopilada, y sitios web.

Si queremos recoger información relacionada con cualquier infraestructura, podemos reunir relación entre los dominios y nombres de DNS.

ARQUITECTURA DE MALTEGO:


UBICACIÓN:

- Aplicaciones - Backtrack - Information Gathering - Network Analysis - DNS Analysis - Maltego

La primera vez que ingrese se ​​le pedirá que registre su producto. Si ya tienes una cuenta, introduce tu correo electrónico y contraseña.

Seguidamente, se abrirá la interfaz de la herramienta, mostrando sus opciones, como se aprecia en la imagen siguiente:


INFRASTUCTURE OPCIONES:

- AS
- DNS Name
- Domain
- IPv4 Address
- MX Record
- NS Record
- Netblock
- URL
- Website


PERSONAL OPCIONES:

- Alias
- Document
- Email Address
- Image
- Person
- Phone Number
- Phrase

Vamos a ver algunas de las opciones, para ello usare la opcion Domain de la pestaña Infrastucture:


Al ejecutar esta opción  podemos elegir muchas opciones para obtener información sobre un dominio especificado, como son DNS, dominios e IP.


Reconocimiento Personal:

Maltego ayuda a encontrar información sobre una persona, como su dirección de correo electrónico, perfiles sociales, amigos comunes, diversos archivos compartidos en varias direcciones URL, etc. Aquí seleccionar la opcion "Person" y escriba el nombre de la persona que va a estar tratando de reunir información.

Ejemplo: colocare "barack obama"



Como se aprecia, he obtenido información en la cual incluye, numero de teléfonos  Facebook, E-mails y direcciones de pagina web correspondiente al nombre que he colocado.

Este método generalmente busca una afiliación de Facebook que coincida estrechamente a nombre de una persona basándose en el nombre y apellido. Con Maltego también podemos encontrar amigos en común de dos personas específicas con el fin de reunir más información.

Del mismo modo, podemos encontrar si el usuario ha enviado archivos en pastebin o cualquier URL pública. Con toda esta información puede ser útil para realizar una ingeniería social basada en ataque.

Mas Información: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Twitter: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Facebook: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Youtube: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos.

Target: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vector: Doble Codificacion + String.fromCharCode

Captura:

Reported!

No uses Google para usar Dork's.

Te recomiendo que uses BING, ahi encontraras muchas webs vulnerables con unas simples Dork's, por ejemplo:

inurl:.php?id=  site:gob.ar
inurl:.asp?id= site:com

Para lo demas tenes que usar la imaginacion.

Google Dork:

"index.of.localroot"

Encontraras muchos, incluido los 2012 que funcionan de perlas 

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
cuanto te pagaron por ese bug ?

Unos cuantos verdes y quedaron en colocarme en el Salón de la Fama de Google.

Muy buena wachin

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
el que a hierro mata, a hierro muere :3

Muy buen dicho.

Pues mira tu empresa 

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

<?php

function titulo(){
        
        echo "::ADMHost::";

}

function titulopanel(){
        
        echo " ::. Panel ADMHost.::";

}

function  conexion(){
                global $conexion;
                $conexion = mysql_connect("localhost","admahost_admhost","dellVShp");
                mysql_select_db("admahost_admhost",$conexion) OR die ("error". mysql_errno());
                mysql_query("SET NAMES 'utf8'");
        if(!$conexion)
                {
                        echo "Error en la conexion";
                }
        }


function conexionps(){
global $mysqli;
$mysqli = new mysqli("localhost","admahost_admhost","dellVShp", 'admahost_admhost');
            if (mysqli_connect_errno()) 
                {
                echo "Error connect's Prepared Statements";
                exit;
                }       
}

information_schema		
admahost_admhost		
admahost_mails

      

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
usuario: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
pass: 123456

Saludos 

Que opinan sobre esto?
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Les gusta hablar mal de las personas? se creen dios? mucho hablan y no hacen nada...

Formo parte del staff de underc0de, por lo tanto cuando hablan de underc0de estan metiendo a todo el staff (incluido yo)

Pues, ahora veamos algo mas divertido 

Target: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

########## Database Info ##########
$db_server = 'localhost';
$db_name = 'remoteex_foro';
$db_user = 'remoteex_user';
$db_passwd = '(~R9bLM0rT6X';

Pwned?

DOWNLOAD DATABASE: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Enjoy!

Todo se realiza con fines educativos y aprendizaje.

Jigsaw es una herramienta basada en Ruby que nos permite enumerar la informacion (E-mail, Direccion, Nombre y Apellidos y Cargos) de las personas que laboran en una empresa ya sea en Facebook, Google, Microsoft u otros.

Mayormente esta informacion puede servir para realizar Ing. Social o E-mail Pishing.


UBICACIÓN:

- Aplicaciones - BackTrack - Information Gathering - Network Analysis - OSINT Analysis - jigsaw



MODOS DE USO:

- En este caso obtendré información de Facebook, para ello usare el comando: ./jigsaw.rb -s Facebook



- He obtenido algunos ID mostrando el nombre de la entidad a la que corresponde, entonces colocare el comando incluyendo el numero de ID de la entidad que queremos obtener información, ejemplo: ./jigsaw.rb -i 234590



- Como vemos, el ID que he colocado ha arrojado 2 dominios, por lo tanto nos muestra un mensaje indicando que coloquemos el dominio de la cual queremos obtener información, en este caso colocare You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


- La información que se obtuvo fue de 479 records en la cual incluye Nombres y Apellidos, Cargos, E-mail y Dirección Domiciliaria.

Ahora, si queremos guardar la información obtenida y luego visualizarla nuevamente, simplemente colocaremos los siguientes comandos:

./jigsaw.rb -i 234590 -r facebook
facebook.com
ls
cat facebook.csv

VIDEO-TUTORIAL:


DESCARGAR JIGSAW:

- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Seguro el problema es por las dependencias, prueba ejecutando este comando:

sudo add-apt-repository ppa:webupd8team/sublime-text-2

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Sin duda sublime  manda.

Acabo de instalar Sublime desde yaourt, primero pensé porque no lo tendrian en pacman, ahora que termino de instalarse desde yaourt me doy cuenta de que se requiere una licencia :/ alguna alma caritativa para probarlo?

apt-get install sublime-text

Jigsaw es una herramienta basada en Ruby que nos permite enumerar la informacion (E-mail, Direccion, Nombre y Apellidos y Cargos) de las personas que laboran en una empresa ya sea en Facebook, Google, Microsoft u otros.

Mayormente esta informacion puede servir para realizar Ing. Social o E-mail Pishing.


UBICACIÓN:

- Aplicaciones - BackTrack - Information Gathering - Network Analysis - OSINT Analysis - jigsaw



MODOS DE USO:

- En este caso obtendré información de Facebook, para ello usare el comando: ./jigsaw.rb -s Facebook



- He obtenido algunos ID mostrando el nombre de la entidad a la que corresponde, entonces colocare el comando incluyendo el numero de ID de la entidad que queremos obtener información, ejemplo: ./jigsaw.rb -i 234590



- Como vemos, el ID que he colocado ha arrojado 2 dominios, por lo tanto nos muestra un mensaje indicando que coloquemos el dominio de la cual queremos obtener información, en este caso colocare You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


- La información que se obtuvo fue de 479 records en la cual incluye Nombres y Apellidos, Cargos, E-mail y Dirección Domiciliaria.

Ahora, si queremos guardar la información obtenida y luego visualizarla nuevamente, simplemente colocaremos los siguientes comandos:

./jigsaw.rb -i 234590 -r facebook
facebook.com
ls
cat facebook.csv

DESCARGAR JIGSAW:

- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos.

Sublime Text es muy bueno.

apt-get upgrade