Quizás este recurso le sea útil: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

Tendrá que aprender primero programación web, y entre otras cosas que están "ligadas", como las bases de datos, entre otras cosas. Luego cuando ya pueda crear un proyecto, por más pequeño que sea, puede pasar al Web Hacking. Un libro muy interesante podría ser:

*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para complementar, puede leer lo siguiente e indagar por su cuenta:

*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los tutoriales se pueden encontrar con una simple búsqueda, pero comprenderlos, necesitará más información, y la que le otorgué sólo es un ápice, pero puede serle verdaderamente útil. También a medida que incremente su experiencia puede ingresar en alguna página web donde tenga que realizar retos.

~ DtxdF

Trustword es un programa muy simple para la firma, el cifrado y el mantenimiento de claves para facilitar y fortalecer una comunicación segura. Usa internamente (gracias a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) para el cifrado XSalsa20, y en el caso de la criptografía asimétrica, se complementa con el intercambio de claves X25519. Y para la firma digital Ed25519ph con SHA512. En el caso del almacenamiento de contraseñas usa You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.


Dependencias:

Usando el gestor de paquetes de nuestro sistema, podremos instalar las siguientes dependencias que harán funcionar a trustword:

• gcc (recomendado) o clang (no probado)
• cmake
• openssl
• libsodium
• argon2
• sqlite3

Arch Linux:

sudo pacman -S base-devel cmake openssl libsodium argon2 sqlite3

Debian:

sudo apt-get install libssl-dev libsqlite3-dev libsodium-dev libargon2-dev cmake make gcc

FreeBSD:

doas pkg install gcc cmake openssl libsodium libargon2 sqlite3

Instalación:

Ya habiendo instalado las dependencias correspondientes para nuestro sistema, es hora de realizar la instalación:

git clone https://github.com/UltraTesla/trustword.git
cd trustword
chmod +x dependences.sh
./dependences.sh
sudo chown <Tu nombre de usuario>:<Tu grupo> ~/.trustword
trustword --help

Tutorial:

Antes que nada es necesario generar nuestro par de claves, o en otras palabras, la clave pública, la secreta, la del firmado, y la de verificación. Afortunadamente es tan fácil como ejecutar un comando con la información necesaria:

trustword -g --user [Nombre de usuario] --password [Contraseña]

Recordando que si no se ajustara un nombre de usuario conveniente, trustword usaría el valor de la variable de entorno USER.


Una vez generadas, es posible, nuevamente con un simple comando, visualizar todas las claves de nuestro sistema:

trustword -l

Algo peculiar de trustword es que no almacena los nombres de usuarios tal cual se escriben, más bien guarda la suma de verificación (SHA3_224(), específicamente) con el propósito de agregar un extra de confidencialidad. La contra de este método de almacenamiento es que se necesita conocer de antemano el nombre de usuario del remitente y del destinatario, por lo que podría dificultar el mantenimiento.

Pero qué mejor forma de demostrar lo que digo que importando la clave pública y de nuestro compañero @Kirari:

trustword -i [Ruta de la clave] --hash [Huella dactilar]

Una vez le compartimos nuestra clave pública (y de verificación, en caso de ser necesario) tendremos la posibilidad de comunicarnos de forma segura con la otra parte a tratar, pero primero hay que exportar nuestra clave pública correspondiente, ya sea en binario, o en formato hexadecimal (usando el parámetro -h), siendo este último una muy buena opción en caso de no poder distribuir la clave como un archivo.

trustword -e --user [Nombre de usuario]

Para importar una clave en trustword es necesario indicar, además de la clave, su huella dactilar. Una muy útil forma de verificar que la clave a importar sea la del usuario correspondiente y también verifica que no se haya modificado en el transcurso.

Una vez hecho el apretón de manos con nuestra otra parte, es posible cifrar.

./trustword -C [Nombre del archivo a cifrar] --from [Nombre de usuario - origen] --to [Nombre de usuario - destino] --password [Contraseña de la clave secreta del usuario de origen]

Tal vez surga la duda de por qué trustword necesita de la contraseña que usamos en la generación del par de claves. Pues es una sencilla cuestión: trustword almacena la clave secreta y de firmado cifrada para que un atacante al obtener la base de datos, en caso de un ataque, no pueda obtener su contenido.


Siguiendo con el tema de cifrado. Si el usuario no desea generar su par de claves, está la posibilidad de usar el cifrado simétrico, lo cual implica que las dos partes sepan de antemano la contraseña para el cifrado y descifrado.

./trustword -k [Nombre del archivo a cifrar] --password [Contraseña]

Vídeo:

Nuestro compañero @Kirari realizó un vídeo para el que desee ver una demostración visual de la herramienta:


~ DtxdF

CitarMuy bueno.
Se nota el perfeccionismo y exquisitez en la explicación y exposición.
Muchos no lo notan, pero el crear un artículo mejora un sinfín de habilidades relacionadas con la comunicación, además de afianzar conocimientos relacionados. "Saber leer es saber andar. Saber escribir es saber ascender". Llega un momento que se crea una simbiosis, y la persona llega a expresarse tal como escribe; o como es común, muchos escriben como hablan

Muchas gracias AXCESS. Realmente cada vez que lo leo a usted también aprendo.

CitarPudiera surgir la interrogante de, si es válido solamente para MediaFire, o pudiera adaptarse para otros tipos de descargas.

Es lo negativo, solo funciona con mediafire. Pero es fácilmente adaptable como un plugin para otro sistema que quiera realizar este tipo de funciones.

CitarY... a mi gato le ha gustado el detalle de "flojillos".

Le comenta, "como cosa suya", que bien pudiera agregarse:

-"debiluchos, paliduchos, canilludos, y enfermizos";

Jajaja, como siempre usted @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login me hacen reir con estos post XD

~ DtxdF

Un placer @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

A veces necesitamos descargar una carpeta o un único archivo que esté siendo hospedado por un servicio de alojamientos de archivos muy famoso, aunque en la actualidad muy poco se usa, éste tuvo su brillantez en una época, y por si se lo preguntan, ese servicio es, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el cual nos da un extra en nuestro tiempo, que podría considerarse, desperdiciado:


Pero no hay necesidad de mostrar preocupación, ya que la solución es más fácil de lo que parece, pero si algo es mejor para este sencillo tutorial, son los detalles empíricos. Y como extra para los flojillos, pueden ir a la sección "El script" donde pueden ver su instalación, y su uso sin necesidad de ver qué hay detrás de él.

Obteniendo los enlaces manualmente:

Primero que nada, y ya con el enlace del archivo en cuestión, que en este caso será una carpeta. Debemos ver el siguiente patrón en la URI:

https://www.mediafire.com/folder/[Identificador]

Una vez que lo deducimos, usaremos la API de mediafire, pero adicionando su correspondiente Identificador:

https://www.mediafire.com/api/1.4/folder/get_content.php?r=rgfa&content_type=files&filter=all&order_by=name&order_direction=asc&chunk=1&version=1.5&folder_key=[IDENTIFICADOR]&response_format=json

Como se puede apreciar, es realmente sencillo, y cabe aclarar que para el caso de los archivos no se hace nada más especial, ni siquiera hace uso de la API, más bien realiza You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para obtener el correspondiente enlace de descarga.

El script:

Antes que nada, aquí se enumeran los requerimientos si queremos que su ejecución sea plena:

• lxml
• bs4
• requests

Claro está que tenemos la oportunidad de escoger entre usar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y el gestor de paquetes de nuestro sistema, pero sería más recomendable optar por la segunda opción por las ventajas que tiene, como la actualización que se lleva a cabo al actualizar el sistema. Sin embargo, para no complicar el tutorial, usaremos pip y cada cual puede hacer una equivalencia con los nombres respectivos en los repositorios de su sistema.

pip install lxml
pip install bs4
pip install requests

Nota: Cabe aclarar que es mejor verificar su versión de pip correspondiente (que sea apto para python3.6 en adelante)

Luego, clonamos el repositorio:

git clone https://github.com/DtxdF/mediafire2links.git
cd mediafire2links
python3 mediafire2links.py

Pasos para la obtención:

Si ya hemos llegado hasta acá es porque hemos pasado lo peor. Pero ahora, y para ultimar el tutorial, vamos a lo que vinimos: obtener enlaces de las descargas de los archivos.

Debemos, ante nada, tener un enlace de algún archivo o carpeta que deseemos. En el caso de una carpeta es algo más especial en las instrucciones, ya que no necesitamos completamente la URL, más bien su identificador, que se puede obtener siguiendo el siguiente patrón:

https://www.mediafire.com/folder/[Identificador]

Mayormente es una secuencia inhumana de caracteres, pero será fácilmente deducible.


Nota: Se ofuscuraron las direcciones para evitar su descarga.

He aquí el correspondiente comando:

python3 mediafire2links.py d [Identificador]

Y aquí la explicación: en el caso de querer obtener los correspondientes enlaces de los archivos en una carpeta se debe colocar como tipo de archivo una 'D' sin importar si ésta es mayúscula o minúscula, al igual que si desea descargar un archivo, siendo su letra correspondiente, una 'F', y aquí su correspondiente ejemplo:


Y como no puede faltar, su correspondiente comando:

python3 mediafire2links.py f https://mediafire.com/file/[Identificador]/[Nombre de archivo]

Por lo general, es irrelevante el nombre de archivo; su identificador y por supuesto, su URL es más que suficiente para el script.

Uso con wget:

Se tiene la libertad de escoger alguna herramienta para descargar los archivos, pero para este caso es recomendable wget que es una excelente herramienta, especialmente cuando queremos descargar una carpeta entera.

python3 mediafire2links.py d [Identificador] > links.txt
wget -c -vv -i links.txt

Conclusión:

Este script fue pensado para darselo a un compañero que me lo pidió, pero también quise compartirlo por si a alguno le era de agrado. Quiero aclarar que si surge un error o cualquier incongruencia, no está demás informarlo. Espero les haya gustado.

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pues bienvenido nuevamente compañero. Es un placer oír este tipo de historias.

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Disculpe la demora.

CitarBueno leyendo la respuesta dada en el foro de exchange, mencionan la misma duda que me esta rondando en la cabeza ¿el hombre en el medio puede descifrar los mensajes interceptando las claves publicas?

Sí, pero no es tan sencillo de llevarlo a cabo cuando una entidad certificadora, ya sea una arquitectura o el mismo usuario cualificado están presentes. Como le cité, en ese comentario está una respuesta mucho mejor. Además que también podría ver los demás métodos que usan las aplicaciones de mensajería y misceláneas para recabar más información. Y no piense en una respuesta absoluta, piense en una respuesta dependiendo de la situación y de la aplicación.

CitarQue me recomendarias usar para tener "mejor seguridad", Diffie Hellman Key Exchange o RSA. (creeria que RSA por su longitud de bytes) + AES-256 como criptosistema hibrido.

En caso de usar RSA seria recomendable estar cambiando ambas llaves constantemente?

Es una cuestión relativa, y le repito, no piense en respuestas absolutas. Escoger el algoritmo a usar es saber cuánto se quiere gastar; ya sea en procesamiento, memoria, distribución de claves, y demás; además que es mejor que use, o una librería que le permita cierto control, aunque no tanto, o un criptosistema que abstraiga mucho más al programador, ya que se ahorraría las molestías de crear un agujero en su aplicación, y también debe escoger lo que va a usar dependiendo de la velocidad de las computadoras. Pero claro está que si su búsqueda es más por aprender a comprender cómo funcionan desde el más bajo punto, debería aprender las matemáticas para la criptografía y por consiguiente, implementar algunos algoritmos, o también podría comenzar con algoritmos muy fáciles en principio e ir incrementando paulatinamente la curva.

Siguiendo con el tema: RSA consume mucho, tanto de almacenamiento, de memoria, y procesamiento, pero no quiere decir que sea apto para negarlo, puede escogerlo, sí, pero debe saber cuánto gastará. Y la longitud de la clave no lo es todo, y si no me cree, vea el caso de las You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que demuestran ser cortas, y baratas, pero sin dejar de ser seguras.

Además, debería ver la siguiente función Diffie-Hellman: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Supongamos lo siguiente: A quiere contactarse con B, pero las dos partes usarán como ayuda a la criptografía asimétrica; A genera su par de claves (pública y privada) al igual que B; A le comparte su clave pública a B, y éste hace lo contrario; una vez que han intercambiado las claves, es posible cifrar, y comunicarse de forma segura. Pero, ¿Qué sucedería si en el momento en que A está intercambiado su clave (la transfiere), y C como intermediario la intercepta?, pues, ahí está el meollo del problema.

Para solucionar esto, existen formas, que se podrían calificar de seguras por lo general, de intercambiar claves entre dos partes. La primera que se me ocurre, aunque algo tonta, puede ser intercambiar las claves en una conexión segura, pero eso igualmente no solventaría el problema subyacente. Tal vez pueda observar las diversas implementaciones de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que hablan un poco sobre cómo es el procedimiento, aunque no es la You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Una respuesta que me gustó mucho de un post de stackexchange es:

CitarYes, this "would work" in a sense. This is a well-known MITM attack on asymmetric key crypto. This technique is not only used by "bad guys." For example, this is exactly what certain vendors' network security appliances do in order to "inspect" encrypted network traffic and block "bad" traffic.

So, why did I put "would work" in quotes? Well, for example, if a bad MITM attacker substitutes his own certificate for a known HTTPS website's certificate, that certificate will most likely not have been signed by a trusted CA (unless the MITM could have somehow tricked the trusted CA into signing a certificate that stated that he was the known web site). In this case a web browser going to the HTTPS website that receives the MITM certificate will send up an alarm and tell the user not to proceed because the domain name either doesnt match or it does match but the certificate was not signed by a trusted CA.

Trusted CA certificates are embedded in your operating system when you purchase it. These are guys like Verisign, etc. You can view your trusted CA certs using operating system utilities. You could remove them if you like, but then all the websites you visit will show up without a nice green Lock symbol

El respectivo post puede encontrarlo en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

O sea, es algo verdaderamente complejo, pero posible, aunque inviable siendo pruritos con la teoría.


Y quiero aclarar algo, porque no quiero que caiga en confusión: implementación no es lo mismo que el protocolo, y ninguna de los dos últimos es lo mismo que algoritmo. Indague más sobre ello para que se quite las dudas, pero en pocas palabras, algoritmo es la parte más baja (AES, vendría siendo en este caso), luego sigue su implementación o en otros textos, implantación, que vendría siendo la forma en la que fue escrito para ser usado el susodicho algoritmo, como una pequeña librería que permite hacer funciones tales como cifrar y descifrar; después, aunque esto es opcional para poder ser usado como se debe, es el protocolo, que vendría a hacer la forma en que dos o más partes se comunicarían usando una implementación específica, bajo un algoritmo específico.

Si quiere saber más sobre los protocolos de las aplicaciones que está indagando, lea documentación oficial:

*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Siguiente con el tema: aunque AES haya ataques descubiertos, siguen You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Aquí dos enlaces; un post que deja algunos enlaces de interés, y de un libro que nos compartió un compañero del foro, y el otro, un enlace que se discute sobre las posibles capacidades de la NSA y el GCHQ:

*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

Hola. No sé qué información desea, pero quizá le sirva:

*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
*.- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Simplemente una genialidad de post. +1

[Actualizado]:

Hace tiempo, cuando me veía en necesidad de usar alguna que otra VPN que mencionó, Psiphon VPN me fue genial, pero, según lo que menciona en el post, se puede tener la pesadez de un bloqueo, aunque seguro que puede no darse el caso en este momento, ya que cuando me di la tarea de probarla estuvo bien por un buen tiempo hasta que un día dejó de funcionar o se tornó inestable inesperadamente, pero estoy exagerando, la VPN es buenísima en muchos aspectos.

Opera VPN la probé en un equipo de un compañero, y no está mal, es rápida y prometedora. La pega, es el ojo que se le tiene a la empresa por el uso de los datos que les proporcionan los consumidores.

La que no he podido salir, aunque es más por todo lo que han cumplido, es ProtonVPN, que además de la mencionada ya, tienen otros productos igual de magnificos.

También probaré algunas más de las que mencionó que se prometen ser pruritas en cuanto a censura y privacidad. No lo dude.

Muchas gracias por el post.

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, nuestro compañero escribió un artículo excelente, y más allá de eso, es una guía fascinante para todo el interesado: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

Esta respuesta le brindará más información: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si tiene alguna duda, es mejor planterla aquí: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

Tal vez le ayude:

*- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.perfiliev/how-to-uninstall-program-using-cmd-60911c0eee80

Y por si lo necesita en un batch:

*- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra alternativa que quizá le guste más, es usando powershell:

*- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si ya lo tiene, pero vacío, borrelo y ejecute de nuevo zsh. Luego le aparecerá un menú como el siguiente:


Presione (1):


Presione (0), aunque puede ahorrarse todo lo que le dije con este simple comando:

touch ~/..zshrc

Eso sí, no le volverá a aparecer el susodicho menú, y como es de apreciar aparecen más opciones para configurar la shell, por lo que debería, dependiendo de sus necesidades, prestarle a una que otra más atención. Pero supongo que quiere tener detalles floridos, por lo que debería usar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, especificamente (creo que este es el tema de zsh en kali) junto con el tema darkblood o cualquiera de su preferencia; igualmente puede hallar variados y muy dinámicos que pueden adaptarse a sus necesidades, por lo que le dejo este enlace aquí para que se haga más o menos una idea: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

darkbood:

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Estás usando el parámetro --onefile?, porque si no, el ejecutable dependerá de las librerías que se encuentren en su ubicación y fallará.

Y si no es el caso que planteé, dé más información útil, ya sea una captura de pantalla o el resultado al concluir la ejecución del comando.

~ DtxdF

Una fenomenal noticia la verdad. Cada vez veo más juegos y muy geniales portados a otras plataformas que son dignas de apreciación.

~ DtxdF

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

De varias maneras.

Una de ellas, es ingresando a su perfil y a su vez, ingresar en "Mostrar Mensajes", lo cual le conducirá a todos los mensajes que ha respondido.

Otra de ellas, es ingresando al You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, donde podrá ver lo últimos mensajes con su fecha; que puede o no estar el suyo, pero es muy útil si quiere saber si le han respondido con anterioridad o ver los post más recientes que hacen nuestros compañeros.

Otra, y la última, es yendo a la sección donde hizo su post o su duda, que por norma general, los aportes van en secciones que son dependientes del tema a tratar y las dudas en esta sección donde hizo la pregunta (O sea: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), luego puede ver los últimos post y si ha recibido respuesta, verá un icono indicando que hay mensajes nuevos.

La primera es la más sencilla y recomendable, los otros son sugerencias.

~ DtxdF