miércoles, 30 de abril de 2014

HeartBleed.- Plugins El Alimento Secundario de la FOCA

Se que a muchos esta entrada os va a parecer Trivial, pero hay gente que quizás no sepa como hacerlo o simplemente no le ha dedicado el tiempo suficiente. Pero entre nosotros, esto no hace daño a nadie y de esta manera os hago un adelanto del proyecto CraftBooks. Vamos a ver como meterle plugins a FOCA.

  • Una vez descargada y descomprimida en una carpeta bien localizada y junto a la carpeta plugins, iremos raudos y veloces a la pestaña Plugins y haremos click sobre Load\Unload plugins.


  • Se abrirá una ventana en blanco donde tendremos que darle sobre Load new plugin, seleccionamos el que queremos. En mi caso sera el nuevo plugin para detectar la vulnerabilidad de Heartbleed



  • Le damos a abrir y cerramos la ventana de plugins anterior donde tendría que haberse cargado nuestro plugin. Para usarlo solo tendremos que ir a la pestaña de plugins y hacer clic en el que deseemos. 



Mas información sobre el plugin:


Sed Buenos ;) 

Nmap.- Empezando. Básico, Pero Útil.

Como ya sabréis las mas afines a este blog,  antes de meterme con la librería de nmap para python voy a dar un micro-repaso a nmap. Así yo repaso comándos que no sabia que existían, me pongo al día y esta información puede servirle a la gente que no sepa. 


Tipos de escaneo:
  • Escaneo de puertos pelao': 
    • nmap dirección ip 
Esto realizará un escaneo sencillo haciendo un intento de conexión a los puertos y dependiendo la respuesta de estos nos indicará si están abiertos o cerrados. 
  • Escaneo modo ninja:
    • nmap -sS dirección ip
De esta manera conseguiremos que el escaneo no deje constancia de nuestra ip. Este modo utiliza TCP SYN enviando un paquete SYN (un bit de control dentro de TCP) y espera la respuesta. 
  • Escaneo con ping y rango: 
    • nmap -sP rango IP (ej. 192.168.1.0/24)
Nmap se dedicara ha hacer ping a cada uno de las ips del rango y escuchara al ping de respuesta. 
  • Sacar el sistema operativo de una ip: 
    •  nmap -O dirección ip
Dependiendo la secuencia en el protocolo TCP/IP de diferentes sistemas Nmap puede diferenciar diferentes sistemas operativos. 
  • Sacando servicios de los puestos:
    • nmap -sV dirección ip
Así podremos realizar un escaneo a todos los puertos de maquina que hay detrás de la dirección Ip y relacionarlos con el servició que lo esta utilizando. De esta manera sabremos los programas que utiliza la maquina y hacernos con algún exploit capaz de vulnerar dicha máquina.

Espero que os haya gustado el resumen y abajo os dejo la fuente original donde podéis encontrar mas información: 
Sed Buenos con esto. 

martes, 29 de abril de 2014

Mi Primera Araña En Python .- HTML E-Mail Extractor. (En Python Of Course )

No os imaginéis nada sofisticado, ni siquiera creo que se pueda considerar un crawler en condiciones, pero si que me siento orgulloso de poder haber hecho un programa que con pasarle una URL busque correos electrónicos, en el código fuente de esta pagina  y los almacene en una archivo .txt. Cómodo y asequible al nivel que tengo de Python. 


Me perdonará Snifer pero aun no me he leído Violent Python (Sobrecarga de libros tios xD) y esta "araña" solo recoge los mails de justo la dirección que le pongas y no ira escalando o profundizando por el sitio web hasta encontrar lo que quiere. Tendré que irla mejorando. 

Esta hecha tirando de urllib2 y Regular Expresions. El punto bueno es que si rebuscamos por Pastebin encontraremos un mogollón de correos electrónicos que pueden ser usados para los fines que vosotros queráis. Os dejo el código aquí: 

import urllib2
import re

web =  raw_input("pega aqui la Url: ")

respuesta = urllib2.Request(web)

pagina = urllib2.urlopen(respuesta).read()

#esto complia la expresión siguiente
patron = re.compile("[-a-zA-Z0-9._]+@[-a-zA-Z0-9_]+.[a-zA-Z0-9_.]+")

#se explica por si mismo por el findall
smails = re.findall(patron,pagina)

#esto es lo que utilizo para guardar los resultados en un text. 
listaemails = open ('listaemail.txt', 'a+')
d2 = str(smails)
listaemails.write(d2)
listaemails.close()

#Y un print para dejarlo "bonito. 
print "e-mails guadados con exito"

Descarga: 


e-mails sacados de http://pastebin.com/ajaYnLYc

Sed Buenos con esto ;) 

domingo, 27 de abril de 2014

Canal Pirata de Snifer X - Nmap 6: Network Exploration and Security Auditing Cookbok

http://image.bayimg.com/cb00d14a272b4140ab46cd0e72dbb5c6e767ffc6.jpg

Como saben el gringo frijolero, puñetero xD ya dejo de andar cantando la canción de Molotov :D.

Nos vamos de verdad al punto de la presenta entrada, como vieron estos dias Albert estuvo posteando información relacionada a Python con J.A.R.V.IS y recien con una entradita de NMAP, por lo tanto ayer indico que se lanzaria con una seguidilla de entradas relacionadas al uso de NMAP por ello este regalo va para ti gringo, por si no lo tienes y en mas para que el resto pueda usarlo.

Les hablo del libro de Paulino Calderón el cual tengo el gusto de tenerlo el primer y único en formato físico que me lo gane :D, ya que anda el libro en la red lo traigo al canal pirata. 



Descargar  

Regards, 
Snifer

viernes, 25 de abril de 2014

CheatSheet.- Nmap. Tranquilo llevo chuletas xD

Como ya dije en la entrada de ayer vamos a dar un pequeño repaso a Nmap antes de tirarnos de cabeza con la librería de python. Ademas, antes de os pegue el royo sobre este tema prefiero pasaros algunos Cheat sheet (chuletas xD) que he encontrado para que podáis darle caña si no os gustan mis explicaciones. 



Os las dejo aquí: 

python-nmap.- Python y Nmap No Puede Ser Mejor

Siento si en estos días la mayoría de entras van centradas en Python pero,  me ha dado por aquí. ¿Sabéis esa sensación de querer profundizar mas en un determinado tema? pues yo desde hace unas semanas la tengo con python. Ademas hacia tiempo que quería meterme con la librería python-nmap. Si no sabéis lo que es nmap os redirijo a [una de las entras mas antiguas] de este blog donde lo expliqué largo y tendido. 


¿Que es python-nmap?

python-nmap es una libreria de Python que ayuda en el uso de escáner de puertos nmap. Permite manipular facilmente Resultados de escaneo de nmap y será una herramienta perfecta para los administradores de sistemas que desean automatizar tareas e informes de exploración. También es compatible con las salidas de guión nmap. 
Incluso se puede utilizar de forma asincrónica. Los resultados se devuelven un host a la vez a una función de devolución de llamada definido por el usuario.
De momento no he podido echarle el guante como me gustaría pero, se me ocurren bastantes cosas que hacer con esta librería.  Pero antes de que modifique a BPyng por completo creo que voy a profundizar un poco mas en Nmap como si fuera una nueva serie para este blog. 

Descargar libreria:
Sed Buenos ;) 

jueves, 24 de abril de 2014

Py2exe.- De Python a EXE. BPyng.py Digievoluciona a BPyng.exe

Como bien os dije, después de semana santa no tengo mucho tiempo para dedicarle al otro blog. Pero ya que he aprendido un poco de Python por que no aplicarlo un poco a la Seguridad Informatica. Ayer os presente [BPyng.py] mi script en Python para hacer barridos de ping. Aún está muy reciente y lo hice en nada, pero me gustaría disponer de el en cualquier lugar. Empecemos por uno de los primeros pasos, convertirlo a .exe para que tire en Windows. Así que hoy vamos ha echarle mano a py2exe.

"py2exe es una Distutils extension de Python  que convierte los scripts de Python en programas ejecutables de Windows, capaz de funcionar sin necesidad de una instalación de Python."


Para empezar con pie derecho tendremos que descargarnos py2exe desde Sourceforge (Ojo descarga el que tenga el mismo numero que la versión de Python que tengas instalada en tu equipo):

Una vez completada la instalación copiaremos el siguiente script en nuestro editor de código favorito:

from distutils.core import setup
import py2exe

setup(console=['aquí pon el nombre del programa que quieres convertir.py'])
Lo único remarcable es que os aconsejo poner el nombre del script y no la ruta entera, os dará problemas. No importa como llaméis a este archivo mientras sea .py

Ahora cogéis el programa que quieras convertir, en mi caso seria Bpyng.py y el script que hemos creado arriba, los metemos en una carpeta, abrimos la cmd y ejecutamos lo siguiente. Supongamos que yo la he creado en el Escritorio con el nombre de "test"

cd Desktop\test (esto nos moverá a la carpeta test)
C:\**\Desktop\test > python nombre del script que hemos creado arriba.py py2exe
py2exe empezará a trabajar y nos dejara una bonita carpeta llamada dist donde estará nuestro .exe listo para usar con todas las librerias y DLLs. (Hablando de ellas, he visto que algunos se quejaban de problemas con la falta de algunas DLL, he de decir que en Windows 8.1 tira genial) 

Ojo en el caso de lo hayas instalado todo y la cmd no reconozca el comando python. Tendrás que editar el Path. Se hace de la siguiente manera. 

Veas a Panel de Control > Sistema >  Configuración avanzada del sistema > (Pestaña Opciones avanzadas, abajo) Variables de entorno > (En el rectángulo blanco de abajo) Busca Path márcalo y pulsa Editar > Al final de Valor de la variable pon lo siguiente: 
  • ;C:\Python27
El numero final dependerá de la versión que tengas instalada.

Espero que os haya ayudado. 
Sed Buenos ;) 

miércoles, 23 de abril de 2014

BPyng.- Barrido Ping en Python. Se Aceptan Criticas

Lo que seguís el blog de Mi Hora De Código sabréis que estoy programando un J.A.R.V.I.S y quería implementarle un Barrido de ping. Así que esta tarde me he puesto a ello y ya que la gente de [TheHackerWay] ya habían hecho algo así. Aunque he hecho mis pruebas con Popen y con PIPE y no me han convencido al igual que con el ping -c 3 a mi me gusta mas ver todo el reporte, es una opinión. 


No lo tenia nada claro hasta que no me he creado una prueba de concepto para ver que metía python en un txt cuando lo hacia hacer el ping y meter el resultado en una variable. 


Como veis el ping lo hace genial dentro del rango que le indique. En este caso le he puesto dos para que el 127.0.0.0 diera error y pudiera ver la diferencia. La salida de un ping con perdidas del 100% tiene una salida de 1 mientras que uno sin perdidas tiene una salida de 0. Al ver esto me he alegrado por que ya tenia todo lo que necesitaba para hacer un barrido en condiciones.

Así ha quedado el codigo: 

import subprocess

#esto hace que el resutado se guarde en un txt
def pingOK():
print "OK"
barridoPing = str(direccion + " OK ")
LbarridoPing = open('LbarridoPing.txt', 'a+')
LbarridoPing.write(barridoPing)
LbarridoPing.close()
print "ping guardado con exito"
def pingFail():  
print "Fail"
barridoPing = str(direccion + " Fail ")
LbarridoPing = open('LbarridoPing.txt', 'a+')
LbarridoPing.write(barridoPing)
LbarridoPing.close()
print "ping guardado con exito"
def pingMiss():
print "Miss"
barridoPing = str(direccion + " Miss ")
LbarridoPing = open('LbarridoPing.txt', 'a+')
LbarridoPing.write(barridoPing)
LbarridoPing.close()
print "ping guardado con exito"

print """

BPyng <-- esto esta en ASCII ART

"""
#menu
print "[a = Hacer ping con mi propio input]  [b= Hacer un barrido ping]"
d1 = raw_input("")
if d1 == "a":
direccion =  raw_input("Escribe la direccion de la pagina: ")
busqueda = subprocess.call(['ping', direccion])
if busqueda == 0:
print pingOK()
elif busqueda == 1:
print pingFail()  
else:
print pingMiss()
 
elif d1 == "b":  
for ping in range (0,10): 
direccion = "127.0.0." + str(ping)
busqueda = subprocess.call(['ping', direccion])
if busqueda == 0:
print pingOK()
elif busqueda == 1:
print pingFail()  
else:
print pingMiss()

Seguro que a muchos os parece una tontería pero a mi me ha encantado meterme con esto. Para todo el que los que queráis probar este mini script lo podéis bajar desde mi repositorio en GitHub.
Sed Buenos ;)  Acepto críticas. 

lunes, 21 de abril de 2014

Creando y Abriendo Volumenes Cifrados con TrueCrypt

Hace bastante que pensaba en hacer alguna entrada referente a TrueCrypt pero hace mucho me hecho para atrás por una vulnerabilidad que presento SecurityByDefault. Pero hoy ElDoctorBugs ha hecho una entrada genial para [SecurityLan] sobre TrueCrypt que me han dado ganas de ponerme a ello. 

Yo voy ha empezar con dos copias de un monedero de Bitcoin que quiero guardar en un volumen cifrado que crearemos con TrueCrypt


Una vez descargado e instalado, abriremos TrueCrypt  y pulsamos sobre Crear volumen.


Dale siguiente hasta que te aparezca la siguiente ventana donde crearemos un .txt o algún archivo que no sea para nada sospechoso. 


No hay ningún paso que sea difícil hasta el final, si no conocéis sistemas de cifrados dejadlo por defecto (en AES 256). Ojo seguid las instrucciones de la pantalla si no volveréis a repetir todo el proceso para nada. El ultimo botón de salir está algo difuso. 

Vale, una vez creado tendremos que montar el archivo que hemos creado previamente. Para ello abriremos el programa, le daremos a Seleccionar archivo, seleccionaremos el que hemos creado antes y le daremos a  abrir y a Montar respectivamente. Te pedirá la contraseña que le has puesto mientras creabas el volumen.


Una vez montada veras como en una de las unidades que nos presenta el programa, apareceran algunos datos. Dale doble clic sobre esa unidad y se abrirá como si fuera una unidad mas del sistema. Pon los archivos que quieras allí, en mi caso serán las dos copias del monedero y le daremos a desmontar. 


Ahora tenemos nuestros archivos dentro del archivo .txt que no tiene nada de raro xD

Sed Buenos ;) 


domingo, 20 de abril de 2014

No tengas miedo. Tienes solo una FOCA


Surprise,  hoy día 20 de abril han salido dos entradas idénticas en [SniferL4bs] y [StateX].La razón es bastante especial, debido que estamos iniciando una travesía la cual, nos llebará a la elaboración de un libro dedicado completamente a la FOCA, sin ánimos de lucro y realizado totalmente en [LaTeX] basándonos en fuentes libres para la elaboración del libro, aclarando que el detalle de toda esta rumba estará en prueba y error ya que lo adaptaremos e iremos modificando según se de el caso. (A mi estilo vamos xD)

El formato sera de doble columna por hoja con imágenes incluidas, aunque aun andamos peleando con el formato de highlithing para el Código. Pero veremos que sale, cabe resaltar que este no sera el único libro que saldrá de Craft. Después de este o a la par (Eso un no lo tenemos claro) estaremos elaborando otro relacionado al pentesting con ello les dejo el sabor en la boca, si desean modificar algún topic de los módulos háganlo, grítenlo ya que lo chulode este proyecto es que sera COMUNITARIO, realizado por la COMUNIDAD PARA LA COMUNIDAD.

Toda actualización referente a nuevos libros y demás detalles los haremos por medio del blog dedicado [CraftBooks], del mismo modo se realizara por nuestros blogs Statex y SniferL4bs como en twitter de nuestras cuentas respectivas, sin mas que decirles les presento el proyecto tal cual esta en la entrada oficial de [CraftBooks].

No tengas miedo Tienes solo una Foca

La idea


Un libro realizado por la comunidad para la comunidad teniendo en cuenta la retroalimentación de todos, en esta primera fase tenemos a la herramienta la FOCA de Chema Alonso posteriormente realizaremos mas libros bajo este mismo formato y método como tambien estaremos totalmente abiertos a la realización de libros o mejor dicho la generación de material con esta visión segun lo que se les ocurra a ustedes o a nosotros.

Como Colaborar


Este miniproyecto Colaborativo cabe resaltar nuevamente nace de la idea de Albert a.k.a StateX y Jose a.k.a Snifer

¿Qué necesitamos? ¡A todos vosotros! ¿para que? Corrector de orografia, mejorar la terminología usada.

"Como dice el dicho, muchos granitos de arena hace una montaña"

Si quieres colaborar tan sólo tienes que hacer un "Fork" del código y solicitar un "Pull Request" para añadir tu aportación al proyecto. Más abajo en el apartado de Recursos tienes documentación e información.

Una vez tengas hecho el Fork y tu copia funcione puedes revisar la pestaña de Issues de Github para ver las tareas que se están desarrollando y cuáles falta por hacer, también puedes proponer tus propias tareas, discusiones e incluso si has encontrado un fallo ortográfico puedes hacernoslo saber en este mismo apartado.

Por otro lado veremos la manera de realizar alguna reuniones en DALNET para ello pueden hacer uso del cliente web que ponemos mas abajo las reuniones a ser realizadas aún estan por quedar pero por ahora ya lo tenemos definido.


Si sólo quieres dar una opinión, comentario o sugerencia puedes usar la pestañita de Issues de Github o bien en el sitio oficial del proyecto donde sea mas conveniente para tu persona.

Recomendaciones antes de Empezar



Antes de todo necesitas tener instalado el paquete LaTeX

TODO: Agregar dependencias de LaTeX necesarias para la generación del documento final

Recursos


Licencia del Proyecto


Esta obra está bajo una licencia Creative Commons. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by/2.5/es/

Esta licencia se aplica:

A los contenidos de CraftBooks. Incluidas las imagenes que se incluyen en este paquete
Al formato LaTeX utilizado para generar el Libro.

Créditos y agradecimientos

Iniciativa creada por [@sniferl4bs] y [@State_X]

Para leer lo que vayamos escribiendo aquí tenéis el repositorio en [GitHub]. Colaborad, comentad y compartid. 

Se valorarán los comentarios creativos y constructivos. Los destructivos los dejáis a un lado, porque para criticar el trabajo de otro se ha de venir cagado, meado y llorado de casa. También podéis invitarme a una cerveza y lo discutimos tranquilamente. 

DragonJAR Security Conference 2014

Siento en estos días le he dedicado (y me voy a dedicar xD) mas tiempo al otro blog que a este pero la verdad es que me apetece mucho ponerme a programar y quien me conozca sabrá que son "puntas" quizás dentro de un mes o de unas semanas me apetezca mas ponerme con temas de seguridad y deje a Python un poco de lado. Pero, para nada he dejado de currar para la seguridad informática y esto lo veréis con proyectos que ya hay planeados. 

También siento si hablo mucho de conferencias sobre seguridad o programación, pero lo seguiré haciendo ya que hay gente que esté informada, pero si eres una persona que has llegado a este blog de rebote y te gusta la seguridad informática  quizás no hayas oído hablar de ningún congreso y esa entrada pueda serte de valor. 


Bueno después de esa aclaración que ya la hecho a sabiendas de la entrada que iba ha caer hoy. Los compañeros de [DragonJAR] van a lanzar su primera conferencia sobre seguridad informática llamada [DragonJAR Security Conference 2014] y esto es una gran noticia por que estamos hablando de unas conferencias llevadas por gente muy buena.
"Para nosotros es todo un orgullo presentar en sociedad la primera edición de DragonJAR Security Conference, un evento de seguridad informática que nace de La Comunidad DragonJAR para fomentar esta temática en Colombia e invitamos amablemente a quien que esté interesado en mostrar y compartir sus investigaciones y / o desarrollos en el campo de la Seguridad de la Información a que participe de nuestro llamado a artículos." 
"Las características únicas del DragonJAR Security Conference, como la calidad de sus ponentes, todos de habla hispana, los Trainings (talleres especializados sobre las ultimas temáticas de seguridad informática), los eventosalternativos (como el CTF / concursos) y su puesta en escena, hacen que el DragonJAR Security Conference se convierta en el centro de encuentro para los entusiastas de la seguridad informática en Latinoamérica para el segundo trimestre del 2014."
Para mas información y fuente de la noticia:

Sed Buenos ;) 

viernes, 18 de abril de 2014

HULK.- Tirando Web Servers a Base De DoS

Hoy tengo el día Marvel aprovechando que hoy he hecho doble entrada en Mi Hora De Código creyéndome que era Tony Stark (IronMan) con su ordenador. Ahora os traigo gracias a un ReTweet de [Hanot] una herramienta llamada HULK y me ha parecido que iba como anillo al dedo a un dia tan superheroico. 

"HULK is a web server denial of service tool (DDoS Tool) written for research purposes. It is designed to generate volumes of unique and obfuscated traffic at a webserver, bypassing caching engines and therefore hitting the server's direct resource pool."
Según  Barry Shteiman ,el creador de esta herramienta, el servidor Web Hulk nació de su conclusión de que la mayoría disponibles herramientas de ataque DDoS producen patrones repetidos predecibles que podrían ser fácilmente mitigados. El principio detrás del servidor Web Hulk es que un modelo único es generado en cada petición, con la intención de aumentar la carga de los servidores, así como evadir cualquier sistema de prevención y detección de intrusiones.

Si quereis saber que hace para generar un modelo único para cada petición de esa manera y descargaros la herramienta, os recomiendo leer el siguiente enlace: 
Sed Buenos con esto ;)  en serio, yo no me hago responsable si lo usáis donde no debeis. 

jueves, 17 de abril de 2014

PyCON US.- El Congreso Sobre Python Que No Sabia Que Existía.

Ya sabéis los lectores de este blog que Python es un lenguaje de programación que me entusiasma muchísimo y ni me esperaba que hubiera un congreso destinado únicamente a el. Hoy rondando por el blog de [cyberhades] e topado con los videos (si videos xD) de este congreso y he podido disfrutarlos como un crió y os los recomiendo. 


"PyCon es probablemente la mayor conferencia sobre el lenguaje de programación Python. Aunque la edición actual, 2014, está todavía en proceso (hasta el 17 de abril), ya se han publicado los vídeos de las charlas celebradas entre los días 11 y 13 de abril."
 Aquí tenéis el link a los videos, espero que lo disfrutéis:

Sed Buenos ;) 

Con Vos En La Web.- Infografia Para Docentes.

Con muy poca gente he hablado esto, y eso que se que los temarios son los que son y vienen impuestos por gente que no tiene ni idea de informática, pero en un mundo donde ya hay nativos digitales (niños que nacen en un mundo con ordenadores potentes, Internet y tables y smartphones) que mientras que sus profesores están ensañando a usar paint ellos ya están hasta los mismos de jugar a minijuegos por Internet. Por lo tanto enseñarles paint es inútil. Seria mas producente instalar [Scratch]y que enseñarles a programar sus propios juego o concienciarlos un poco con lo que puede pasar si utilizamos Internet a la ligera. 

No se que cantidad de docentes de primaria o secundaria leen este blog. Pero esta infografia vale la pena ser difundida. 


Mas información y fuente: 

Sed Buenos y ya sabéis que es mi opinion y nada mas que mi opinion y estare encantado de discutirlo si me invitáis a una cerveza ^^  

miércoles, 16 de abril de 2014

GitHub Para Torpes Como Yo

Como supongo que habréis visto algunos, hoy he vuelto a escribir en [Mi Hora De Código] y he creado un nuevo repositorio para el nuevo proyecto del que hablo en el otro blog. Así que, ya que me había costado saber como funcionaba GitHub he decidido hacer un tutorial para quien no sepa como empezar. 


Yo utilizo la versión de escritorio por que me es mas simple a la hora de guardar y actualizar los archivos que subo. Así que, me basare en esa versión. 

Primeramente, necesitaremos una cuenta en github pero eso es un tema trivial y ya doy por supuesto que sabéis registraros así que vamos directamente a descargarnos el programa y lo instalaremos.

Nos lo podemos descargar desde aquí: 
Ok, todo una vez descargado e instalado nos tendría que aparecer una ventana como esta:


Como veis yo ya tengo dos repositorios creados. Pero esto no influye para nada, al estrenar el programa no aparecerán ninguno de esos dos. Le damos a create para crear nuestro repositorio.


Rellenamos los campos, confirmamos que Push to Github este marcado para que lo pueda colgar en la pagina y revisamos la ruta donde estará la carpeta del repositorio donde tendremos que meter los archivos que queramos subir a nuestro repositorio. 

 

Una vez creado nuestro programa y puesto en la carpeta del repositorio, iremos al programa y daremos dobleclic al repositorio.


Ahora como podremos ver que el nuevo programa que hemos creado y guardado en la carpeta anterior. Rellenamos los campos de la izquierda, le damos a publish y ya lo tendremos en la pagina web. 


Como podéis ver en la ultima foto ponen en el titulo Test2 y es claramente porque la he liado en el paso anterior dándole a publish antes de tiempo sin hacer el imprimir pantalla.

Espero que os haya servido y Sed Buenos ;) 

domingo, 13 de abril de 2014

Canal Pirata de Snifer IX - Domando a Metasploit aprendiendo del monstruo

Esta vez andamos de buen humor! debido a que las cosas van mejorando de apoco lento pero seguro, tanto como la salud como en el trabajo y demas detalles, pero eso se vera luego ademas de todo ello con ALBERT andamos con un proyecto encima que estoy seguro que les agradara! algo que ver con la amiga la Foca los que sepan algo a buscar!!  lanzaremos algun concurso o algo :D.

Pero bahhh ahora como andamos de buenas venimos con este pack de Metasploit una coleccion de libros para ser los maestros ZEN pero diremos casi, porque es un monstruo!

Tararararaarara! a leer  mas.....





DESCARGA

Regards,
Snifer

sábado, 12 de abril de 2014

Videos.- Jornadas de CyberDefensa

Hace mucho que me preguntaba como España estaba actuando en lo relativo a Cyberdefensa dado que muchos otros países ya le están dando la importancia que se merece. Buscando y buscando un poco de información, me he topado de cara el [Twitter del Estado Mayor de Defensa] que el 8 de abril anunció la publicación de los vídeos sobre las ponencias de las Jornadas de Cyberdefensa. Toda una sorpresa y os recomiendo su visionado.


Os dejo el enlace al contenido de estas jornadas y a los videos: 
Sed Buenos ;) 

viernes, 11 de abril de 2014

Captain Crunch.- Canal de Youtube xD SI, tal como suena.

Hoy pensaba escribir sobre [los cursos que anda haciendo Securizame] pero me ha hecho mucha mas gracia ver que el Capitan Crunch/John Draper un hacker, que ya hacia sus pinos en el año 1973, tenga un canal en Youtube. La verdad es una leyenda en este mundo.


"Un amigo ciego de John Draper, Joe Engressia (conocido como Joybubbles) le contó que un pequeño juguete que era distribuido como parte de una promoción del cereal Cap'n Crunch podía ser modificado para emitir un tono a 2600 Hz, la misma frecuencia que usaba AT&T para indicar que la línea telefónica estaba lista para rutear una llamada. Al hacer esto, se podía entrar en modo operador, lo que permitía explorar las diversas propiedades del sistema telefónico, y hacer llamadas gratuitas. Luego de estudiar dichas propiedades, Draper construyó la primera caja azul."

La verdad es que hay muchísima historia relacionada con los Hackers. No se a vosotros, pero a mi me apasiona. 

Sed Buenos ;) 

jueves, 10 de abril de 2014

Security Forum.- International Security Conference & Exhibition

Puede que haga semanas o meses que este evento estaba anunciado pero, no estaría en este blog si no fuera por que la gente de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos [ANTPJI] estará allí y cada vez sois mas los que pedís información sobre los cursos. Así que al menos los que sois de Barcelona os podéis pasar por el evento y hablar con ellos y decidir si os convence o no. 


"El próximo mes de mayo (28 y 29) se celebrará en el CCIB de Barcelona Security Forum 2014. El evento, que nació con un formato novedoso, como un espacio para el networking y el encuentro entre profesionales de la seguridad, da un paso más para potenciar su vertiente internacional y fortalecer su carácter innovador."
"En esta segunda edición, Security Forum‘14 congregará a los principales expertos en materia de prevención y seguridad, y la mayor oferta comercial nacional e internacional a través del área de exposición. Una oportunidad excepcional para conocer novedades, tendencias y avances tecnológicos en el sector de la seguridad."

Sed Buenos ;) 

De Vez En Cuando Yo También Subo Vídeos (I).

Muy pocos lo sabeis y si os habéis dado cuenta ha sido mas bien por el blog de Mi Hora De Código es que abrí un canal de Youtube para este blog. En el voy subiendo lo que me hace gracia relacionado con la seguridad informática, Pruebas de concepto y todos los videos que habéis podido ver en el otro blog. Este canal iba a ser solo para reforzar entradas con algunos videos, pero gracias a un comentario que hizo el Señor Snifer hacer un tiempo, prefiero compartirlas y así hacer que aprendamos todos.


Descargar Fotos Instagram Fácil, Sin programas y Solo con el Ratón:

Este vídeo lo cree porque estaba cansado de ver que la gente pedía programas para esto en foros y porque me llegaban búsquedas al blog referente a ello. Es sencillo descargarnos una foto de Instagram si sabemos como sin necesidad de utilizar programa que solo dios sabe con que intensiones han estado programados. 


Falsificando extensiones en WinRAR 4.20:

Para explicaros este otro, necesito remontarme unos días al anunció de Securitylan.  En una de sus entradas explique como utilizar el famoso 0'day de WinRAR y para ello cree este video como refuerzo a esa entrada. 


Espero que os gusten y si veis algún fallo o queréis proponerme algo soy todo oídos. Tomaré esta entrada como el inicio de una serie. Cuando tenga algo nuevo, dos videos o mas. 

Sed Buenos ;)  

miércoles, 9 de abril de 2014

Shodan.- Su Extensión En Google Chrome.

En este blog no he hablado tanto de Shodan como debería pero, si que hemos dado [un rápido vistazo] a como funcionaba este buscador, un tanto especial. Lo cual, no quiere decir que no esté al tanto de las noticias o que no lo utilice de vez en cuando y ahora que han sacado una extensión para Googel Chrome aun mas. 


Esta extensión si la he probado y la verdad es que es muy divertido ver por que servidores estas pasando cada vez que visitas una pagina web. Os recomiendo que la descarguéis y juguéis un poco por que merece la pena.

Descarga: 
Sed Buenos con esto ;) 

lunes, 7 de abril de 2014

WinRAR.- Echandole un Viztazo a Los Offsets de ZIP

Hoy me he pasado la mañana haciendo una entrada en [Securitylan] sobre el "0'day" que salió hace unos días sobre la versión 4.20 de WinRAR [que permitia spoofear (falsificar) archivos] cambiándoles la extensión. Lo cual me ha surgido una curiosidad imperiosa para aprender un poco mas sobre el formato ZIP y ya que los colegas del [Blog Israelí] An7i Seguridad, hablaron largo y tendido de esta vulnerabilidad. He aprovechado para aprender un poco sobre los Offsets. 


En la imagen se ve muy claro que en el Offset 30 va alojado el  nombre del archivo con una capacidad de n bytes. Lo cual es una de las piezas claves que utiliza la vulnerabilidad. Pero también me llama la atención la de información que se puede sacar. Como por ejemplo los Offsets encargados de guardar la ultima modificación o saber el método de compresión y descompresión. 


La verdad es muy interesante y me picaba muchísimo la curiosidad.

Sed Buenso ;) 

domingo, 6 de abril de 2014

Canal Pirata de Snifer VIII - Debian Hackers Elementals

dh_front
Hola hace un par de minutos lanzamos la entrada del Canal Pirata la numero VII pero hoy estoy hiperactivo y porque no la VIII :D, solo que en esta oportunidad les vengo a traer un escrito realizado por DebianHackers de mi antiguo y buen amado Debian si tan sepsi andaba hasta que vino KDE ¬¬° y me arruino todo pero bueno eso será para otra ocación, este paper revista es unica debido a que el equipo de Debian Hacker por su 4 aniversario lo realizaron, recopilando algunas entradas del sitio en un solo documento asi que, que esperan para verlo?

Índice de contenidos

  1. De puertos y firewalls
  2. Nmap: escáner de puertos
  3. Entendiendo la multiarquitectura en Debian GNU/Linux con Citrix
  4. Instalar Skype en Debian multiarquitectura
  5. S.M.A.R.T. monitoring
  6. Para programar, primero entiende a tu ordenador
  7. Entendiendo los lenguajes de programación
  8. Backups cifrados e incrementales en Debian y derivados
  9. Seguridad y optimización de servidores GLAMP
Descargame aquí

Regards,
Snifer

Canal Pirata de Snifer VII - Malware CookBook

Debido a un problema de capa 10 el pasado fin de semana no traje la entrada xD, si señores se me fue pense que era otro dia juraba que era viernes :P, por esa razon me olvide completamente pero que va el Gringo Frijolero ni recuerdo me hizo de la elaboración de la entrada, asi que para no fallar este fin de semana venimos con este excelente libro el cual es  Malware CookBook al cual le debo horas de lectura, debido que hasta ahora no logro terminar de leer un solo capitulo! :|.

Pero que va se que a mas  de uno le agradara y si andan interesados en este mundo de Malware (iniciamos el spam :$) en mi blog, ando con una sección dedicada al Malware el cual pueden pasarse y darle mas miraditas a este mundo.
 
Por si la fiesta no se acaba mas detalles del libro y las herramientas pueden acceder al siguiente enlace Aquí entre semana, por no decirlo ayer postee las imagenes forenses de malware del libro aquí podremos acceder al mismo y disfrutar de ello.

Sin mas que decirles, Happy Malware :D

Regards,
Snifer