domingo, 31 de agosto de 2014

Video.- Richard Stallman Liandola A Su Manera.

Hoy era una tarde tranquila de domingo después de poder aportar una entrada en el blog de [Estación Informatica]. Me he entretenido buscando videos en Youtube y no se como he acabado buscando videos sobre Richard Stallman pero no las conferencias si no, las bizarradas que puede llegar ha hacer.  

Como seguro que, al igual que yo no queréis ver a Richard dando saltos al son de bailes exóticos, os recomiendo estos dos videos cortos, no tienen desperdicio. 

Yo también me enfadaría con ese publico.

Este es el mejor sin duda. 

Sed Buenos ;) 

sábado, 30 de agosto de 2014

Python.- Bing+Google+DuckDuckGo Hacking (Me Sentía Sucio xD)

Ayer os presente un Script bastante cutre y la verdad es que me sentía un poco "sucio" al presentar algo sin un bucle o que no tuviera la funcionalidad adecuada. Así que esta es una mini-entrada para sentirme un poco mejor xD



Aquí tenéis el script un poco mejor hecho:

def search(peticion):
google =  "https://www.google.com/?#q="+ peticion
bing = "https://www.bing.com/search?q="+ peticion
duckgo = "https://duckduckgo.com/?q="+ peticion
list = [google,bing,duckgo]
for item in list:
webbrowser.open(item)


if __name__ == "__main__":
print """ 


|-----| Bing, Google & DuckDuckGo |-----|
             |          Hacking          |     


""" 
while True:
busqueda = raw_input("Copia tu Dork favorito: ")
search(busqueda)

Ahora si que esta preparado para ser funcional y lo que es mas importante, me gusta a mi. 

Sed Buenos ;)

Python.- Google y Bing Hacking

Como os he dicho esta mañana o ayer, que ya son casi las 12 de la noche, hoy me he dedicado a darle a repasar un poco el Google/Bing Hacking con sus excepciones y parentescos en cuando a las búsquedas avanzadas. Lo mejor es que ya que estaba puesto me he liado a hacer un mini-script para automatizar las búsquedas comunes en los dos buscadores. 


Si, se podrían agregar muchos mas y seguro que con DuckDuckGo y Shodan quedarían un script mucho mas enriquecido. Pero eso me lo dejo para otros blog xD. 

Os pego el código: 

import webbrowser

def search(peticion):
google =  "www.google.com/?#q="+ peticion
bing = "www.bing.com/search?q="+ peticion
webbrowser.open(google)
webbrowser.open(bing) 


print """ 

|-----| Bing & Google Hacking |-----|

""" 
busqueda = raw_input("Copia tu Dork favorito: ")
search(busqueda)

La verdad es que con dos buscadores queda un script algo soso y sabiendo que haciendo la prueba con site:evernote.com/pub/ en DuckDuckGo me da resultados diferentes a Google y Bing. Creo que he dado con una idea que quiero seguir desarrollando. Cambiar webbrowser por urllib y implementarle wget para Python estaría genial. Pero ya lo veremos mas adelante. 

Espero que os sierva como idea, ya que el script se podría mejorar de muchas maneras y eso os lo dejo a vuestra imaginación hasta otra publicación. 

Sed Buenos ;)  

viernes, 29 de agosto de 2014

De Vuelta a Barcelona


Esta entrada tendría que haber sido la de ayer pero, con el traslado y todo al final la he dejado para hoy. Bueno, como ya sabréis, he estado de vacaciones desde el agosto y me he dejado algunas ideas para hacer, todas ellas relacionadas con Python y con la Seguridad Informática.  

Os dejo el enlace aquí de todas las ideas: 
Pero ayer leyendo todos los blogs que tenia ganas de poder leer encontre el siguiente articulo del Maligno que me hizo pensar bastante en otro proyecto. Se trata de la entrada [Evernote no quiere hacer nada: ¡Cuida tus publicaciones!] donde demostraba como Google había indexado libretas publicas de Evernote y como esta empresa pasaba de ello un rato largo.


Así que me puse ha hacer un poco de Google Hacking a ver como podía utilizar las buesuqedas avanzadas de google sin utilizar su API. Para que quiero autenticarme ... 

Me alegre de ver que la cadena de Google para las búsquedas avanzadas es la siguiente: 
  • https://www.google.es/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=tugooglehackingdork

Supongo que ya lo sabríais pero ahora esto me da pie a poder hacer un script que automatice estas búsquedas y gracias a la url evernote/pub/usuario/libretapublica podría dirigir la obtención de información con unas pocas lineas de código. 

Gracias Evernote. Aunque no es la única empresa que deja indexarse por Google de esta manera. Así que os invito a que le deis caña al Google Hacking que ya os digo que da muchas sorpresas agradables ;) 

Sed Buenos con esto ;) 

miércoles, 27 de agosto de 2014

HackGames.- Para Acabar El Verano Bien Entrenado.

Probablemente nos quejamos de la falta de herramientas para poder practicar y la verdad es que algunos dirán que estos juegos están muy bien pero que no se adecuan a la realidad y no van mal encaminado. Pero, menos da una piedra y siempre esta bien estrujarnos los sesos de vez en cuando. 

El primero que os voy a recomendar, el cual tengo que ponerme con algún nivel en cuanto llegue a Barcelona, es Kioptrix el cual nos ofrece 4 maquinas virtuales para que nos hagamos con el control absoluto de la maquina. Si queréis saber mas los amigos de 1Gdeinfo  han hecho una recomendación muchisimo mas buena que esta en su pagina: 


El segundo es Game of Hacks un juego algo mas teórico que Kioptrix. Pero, con una estética mucho mas chula. Tendrás dos pantallas, una con opciones y la otra con un código y tendrás que decidir cual de las opciones es la vulnerabilidad que acabaría por darte el acceso.  Es bastante adictivo y encima aprendes un montón. De este juego ya hablaron la gente de SecurityByDefault y os recomiendo que os leáis su recomendación: 

Espero que os gusten y que aprendáis mucho con ellos. 

Sed Buenos ;) 


martes, 26 de agosto de 2014

Hackstory.- Epub y Meneame

Esta tarde mirando el Twitter desde el móvil he visto todo el revuelo que ha habido con la maravillosa salida del libro de Hackstory. Es decir,  ya se han lanzado las 400 paginas llenas de historias de Hacker que tanto tiempo he esperado a leer y encima, gratis y preparado en .epub. 


Para que os voy a mentir, lo primero que he hecho es descargarme el .epub a toda prisa. Pero luego me he puesto a leer los tweet de feedback que iban llegando de nuevos torrents y sitios web para descargar. Hasta que he dado con el siguiente referente a la Hackstory. 
Todo viene por el sitio web https://snifer.github.io/HackStory/ de colega Snifer. Os lo voy a explicar, Snifer y yo estábamos trabajando en un proyecto con Mercé Molist. De esta manera, Snifer creyó que creando ese sitio web podría agradecer a Mercé su colaboración.  Esté como esté redactado. Algo que ya esta reparado y  solucionado, como supongo que habréis seguido en Twitter.  

Así que, tanto la pagina web --> https://snifer.github.io/HackStory/ como su botón de donar son oficiales y igual que los enlaces que podáis ver en la cuenta de Twitter de Hackstory y de Mercé Molist. 

Os Recomiendo el libro ++ .  Entrad en la pagina, descargaroslo, leedlo y si os ha gustado decidselo a Mercé que seguro que le hará muchísima ilusión ^^ 

Sed Buenos y un gracias enorme a todos los que han hecho posible que saliera este libro.  

lunes, 25 de agosto de 2014

Halt and Catch Fire.- La Serie Que Me Ha Sorprendido

El otro día mi hermano y yo descubrimos esta serie casí de milagro y nos decidimos a ver un par de capítulos. Halt and Catch Fire, a parte de hacer referencia a instrucción en código maquina, es un serie de televisión que narra la revolución tanto técnicamente como empresarialmente del ordenador personal. La verdad es que tener esos dos enfoques es un punto muy bueno. 


"La serie está ambientada en el Silicon Prairie de Texas en 1983 y representa una visión desde dentro de la revolución del ordenador personal. El título de la serie hace referencia a la instrucción de código máquina Halt and Catch Fire, la cual causa que la unidad central de procesamiento de la computadora deje de funcionar."

La verdad es que si sois amantes de los ordenadores antiguos y de toda la magia que se vivió en los 80 no os la debeis perder.

Sed Buenos ;)

sábado, 23 de agosto de 2014

Volcado de Memoria Ram desde Meterpreter.

Como muchos os habréis supuesto o habéis tenido la oportunidad de trastear con esto, un volcado de la Memoria RAM nos puede dar sorpresas bastante buenas. Claro el problema radica en que tener acceso fisco al ordenador de la victima es difícil pero gracias a Meterpreter, el Superfamoso Payload para Metasploit y al script process_memdump.

Opciones de process_memdump:
  • -h --> Ayuda. (todo un clasico xD)
  • -n <opt> --> nombre del processo que quieres "dumperar" o volcar. 
  • -p <opt> --> PID (Process Identificator) del proceso que queremos volcar. 
  • -q  --> Búsqueda del tamaño del proceso que queremos volcar. En bytes. 
  • - r  <opt> --> Automatizar el volcado con un archivo de texto con la lista de nombres de los procesos para volcar, uno por línea.
  • -t -->  Añadir la localización en la información del volcado. 
La verdad es que me ha sorprendido gratamente encontrarme con este Script ya que, si tienes que hacer un forense de forma remota esto nos puede facilitar muchísimo la vida.

Espero que os haya gustado y Sed Buenos ;)  

viernes, 22 de agosto de 2014

Python y Bitcoins.- Python-Bitcoinlib

Como ya sabéis la fiebre de los Bitcoin a vuelto a este blog y Python siempre me ha gustado. Así que, me puse a buscar herramientas, APIs y cualquier cosa que tuviera relación con Python y los Bitcoin. La verdad es que me encontré de todo paro al final, me quedé con python-bitcoinlib de [petertodd]. Aunque, de momento no soy capaz de entenderla del todo, tengo muchas ganas de ponerme con ella. 


Esta biblioteca hecha para  Python2/3 proporciona una interfaz fácil de los datos bitcoin estructuras y protocolo. El enfoque es de bajo nivel y "cero", con una centrarse en proporcionar herramientas para manipular las partes internas de cómo funciona Bitcoin.
Os dejo el enlace y os recomiendo que le echéis un ojo. Yo al menos lo haré, a ver si entiendo un poco mas el funcionamiento de los Bitcoins xD

Sed Buenos y dadle caña ^^

jueves, 21 de agosto de 2014

Micro-Cliente Para Twitter con GUI

Ayer por la tarde estuve acabando mi micro cliente de twitter en Python, una vez acabado, decidí hacerle un traje bonito y darle una GUI ya que con Python es sencillo. Estuve haciendo pruebas y hasta compartí el código por que me lo pidieron. Pero, yo no estaba nada contento con ese código.


Así que acto seguido de compartirlo en pastebin intenté que quedara algo mas bonito y bueno, no es bonito. Pero a mi me gusta algo mas, esta mejor explicado pero sigue siendo feo. 


La verdad es que estoy contento ya que es muy simple y me permite tenerlo a un lado del escritorio y publicar tweets mas rápido que desde la pagina web. Un Win por mi parte. 

No me enrollo mas, os dejo los dos clientes tanto el GUI como el de Consola en mi repositorio de GitHub para que los mireis y los critiquéis si hace falta y para los que no conozcan como va el tema del consumer_key = "Copia Aquí tu API key, consumer_secret = "Copia Aquí tu API secret" podéis verlo [aquí].

Repositorio de GitHub: 
Sed Buenos ;) 

miércoles, 20 de agosto de 2014

Comparación Precio vs Calidad .- Tarjetas ASIC Para La Minería de Bitcoins.

Hace unos días a mi hermano y a mi nos volvió la fiebre de los Bitcoins. Es normal ya que llevamos bastante tiempo "estudiando" este mundo y en cuanto podamos va a caer una Raspberry Pi para dedicarla a la minería. Como todos sabéis, la minería de Bitcoins a gran escala no es rentable. Pero, nos hace gracia. También sabréis que tampoco es rentable la minería por CPU y por GPU y que ahora, se minea a través de tarjetas ASIC pero esto requiere de un gasto extra.

De esta manera, es aconsejable mirar la calidad precio de estas tarjetas para que no se nos vaya de las manos la inversión y poder sacar un poco de "rentabilidad". Os dejo la relación aquí abajo. 


Sed Buenos ;) 

martes, 19 de agosto de 2014

ElHacker.Net.- Manuales, Textos, Tutoriales y Documentación

Seguro que muchos de vosotros habéis empezado a buscar información y os habéis topado casi sin quererlo con este foro. Hace mucho que lo conozco, no he sido nunca un gran aportando en los foros pero, siempre me ha encantado curiosearlo.  Así que hoy, os voy a recomendar toda la colección de paper, manuales, etc para todos los que pensáis que no hay información sobre temas de Seguridad Informática.
No se si van actualizando la pagina pero fuera de eso todo el contenido, aunque sea viejo,  nos puede aportar mucho. Así que si quieres empezar que mejor que por toda esta información. 

Sed Buenos ;)  

lunes, 18 de agosto de 2014

¡Mándame tus dudas!

Después de la entrada "dermo toallita" de ayer y viendo que otros blogs mas conocidos también son propensos ha hacerlas, he abierto un formulario de contacto para que me enviéis vuestras dudas, consejos y por que no criticas y/o amenazas. Os podéis inventar totalmente los campos así que, será "anónima".


Espero que os guste la idea, es una forma de ayudar a la comunidad y de celebrar las 75500 visitas. También me podéis encontrar tanto en Twitter, Google + y en la página de Facebook. Pero creo que de esta manera doy un trato mas personal. 

Sed Buenos y espero que os guste la idea. 

domingo, 17 de agosto de 2014

75.500 Visitas ¡Graciaaaas!

Hoy me he levantado pronto y he hecho la entrada de ayer para hacer tiempo a ver si se me ocurría un "sermón" o una forma bonita de daros las gracias a todos los que entráis diariamente en este blog que ya empezáis a ser mas de lo que yo me imaginé cuando empece con esto. Pero no se me ha ocurrido nada. 

La verdad es que esta entrada tendría que haber llegado a las 50.000 visitas y ya sabéis que de vez en cuando me gusta echar la vista atrás y ver que cosas he hecho bien, cuales no y cuales agradezco. Así que, vamos a ello. 

Empezando por los puntos malos, creo que voy muy lento con los proyectos que me planteo.  Me encanta empezar proyectos, pero por falta de tiempo tengo que ir demorandolos o simplemente se estancan al depender de material, reuniones, etc. Pero bueno, me alegro mucho cuando salen a la luz y os gustan o me dejáis criticas. 

Sinceramente, me siento hasta mal cuando no puedo escribir un día, supongo que me he acostumbrado o lo he transformado en rutina pero lo hecho a faltar. Recuerdo que, cuando empece, era difícil saber de donde sacar la entrada diaria y solo hace falta ver las primeras entradas a este blog para saber que muy buenas no eran. Pero el tiempo a ido pasando y este blog me ha hecho un hueco en la comunidad de la Seguridad Informática. Estoy muy contento por ello. 

Así que,  os agradezco a todos los que entráis cada día a este blog, le dais retweet o simplemente me comentáis vuestras dudas o me dais la mano en mitad de la NocONName. Gracias por darle vida a este blog y hacer que quiera seguir publicando. 

Si, tengo que hacer algo y tratar de aligerar los proyectos y siento que esta entrada haya sido un poco "dermo toallita" pero sabéis que me gusta hacerlas.

Ya sabéis, Sed Buenos ;) 

Meterpreter Para Usos Forenses y AntiForenses

Esta es la entrada que ayer no pude subir y la verdad es que estos días están haciendo que me lea los papers y libros que tenia atrasados.  No hay mal que por bien no venga. Hoy voy ha hablaros del famosisimo meterpreter. Ya todos conoceréis a este payload de Metasploit, pero lo que yo no sabia era que nos podía ayudar hasta en peritajes forenses.

Gracias a su modulo priv. podremos conseguir una elevación de privilegios y hasta sacar información del archivo SAM de Windows (SAM =  Security Account Manager) Ademas, este modulo se divide en tres caregorias: 

Priv: Elevate Commands: 
  • Al vulnerar un sistema podremos hacer una elevación de privilegio con el comando getsystem 

Priv: Password Database Commands: 
  • Nos permite recoger información sobre contraseñas y usuarios. (con el comando hashdump lograremos un volcado del archivo SAM)

Priv: Timestomp Commands: 
  • Permite manipular los atributos de un archivo. Esto es util para hacer un antiforense y marear un poco al perito. Con el comando timestomp podremos hacerlo. 

Sed Buenos con esto ;) 

viernes, 15 de agosto de 2014

Kali.- Swaks - Swiss Army Knife for SMTP

Los que llevais tiempo siguiendo este blog sabréis lo que es un SMTP pero para quien no lo sepa diré que son las siglas de [Simple Mail Transport Protocol] y podréis encontrar un montón de tutoriales e información al respecto con solo una búsqueda en Google. Pero, hoy os voy a hablar/recomendar una herramienta para testear la seguridad y los filtros de "vuestros" SMTP. Si, Hablamos Swaks (Swiss Army Knife for SMTP) y la verdad no puedo entender que alguien lance su SMTP al mundo sin testearlo antes con esta herramienta. 

Características de las pruebas:
  • Extensiones SMTP incluyendo TLS, autenticación, la canalización, y XCLIENT
  • Protocolos incluyendo SMTP, ESMTP y LMTP
  • Transportes incluyendo sockets de dominio UNIX, tomas internet-dominio (IPv4 e IPv6), y pipes a procesos generados
  • Completamente configuración de secuencias de comandos, con especificación de la opción a través de variables de entorno, archivos de configuración y de línea de comandos
Mas información y descarga: 
Guía para empezar y referencias: 
Sed Buenos con esto ;) 

jueves, 14 de agosto de 2014

Python.- Python for Pentesting

Hace ya unas semanas que os expuse usas ideas o proyectos que voy a llevar acabo durante este verano o almenos a intentarlo.  En mi larga búsqueda de algún script que me ayude, en la creación de mi "creador de diccionarios", di con el blog de Python for Pentesting y, la verdad, es que merece que le echéis un ojo. 


Uno de los puntos negativos de este blog es su poca actualización. Pero, ya seguimos todos a Conexión inversa que hace una entrada cada mes. De calidad, pero cada mes. 

Si alguna vez habéis querido hacer un proxy con Python o habéis pensado, como yo,  en utilizar varios web-proxys en cadena id directos al enlace.

Python for Pentesting: 
Sed Buenos y aprended Python  que siempre va bien. 

martes, 12 de agosto de 2014

Infografia.- Hasta Donde llegó la NSA

Ayer recordado que estaba haciendo yo en el verano pasado me acordé de todo el revuelo que hubo con el caso Snowden y la NSA.  Desde este blog hice un paper, partiendo de lo que se sabia entonces y llegando a una teoría de un sistema "seguro" vs NSA sin gastarse un duro. Lo podéis ver en el apartado de #Papers de este blog o en el link que os dejaré abajo, aunque ahora merecería una revisión (si alguien quiere aportar estaré encantado ya lo sabéis). 

Proyecto PRISM”A”- Teoría de un Sistema Anti-NS:

La verdad es que el tema de la NSA dará para mucho y mas vale echar la vista atrás para ver todo lo que han hecho. Así que, os dejo esta infografia donde, aunque le faltan algunas cosas, se resume muy bien todo el escándalo Snowden. 


Sed Buenos ;) 

lunes, 11 de agosto de 2014

BlackHat y Youtube.- Aprende De Los Mejores

Ayer por la noche salio el tema de Ruben Santamarta y los números artículos que han sido publicados en España después de conocer que un Hacker aseguraba poder secuestrar aviones. La verdad es que había oído de su ponencia en la BackHat pero no tenia ni idea de que hubiera sido tan viral. 

Estuve un rato buscando información a ver si podía ver el paper o al menos el vídeo de la ponencia para enseñar un poco y di con el canal oficial de Youtube de las Conferencias BlackHat. Pero, mi gozo en un pozo,  habían acabado de subir la BlackHat Asia 2014 hacía unas horas y pude ver la ponencia. Aunque el karma siempre es agradecido y la ponencia de Ruben Santamarta ha sido subida esta noche.

Os dejo el enlace al canal de Youtube: 

Yo voy, en cuanto acabe de escribir, voy a coger papel y boli para ver a Ruben y su Hackeo de aviones. Os dejo aquí por si tenéis interés. 
Sed Buenos con estoy aprender mucho de estos grandes. 

sábado, 9 de agosto de 2014

Mil Anuncios y Ciberdelincuentes A Sueldo.

Esta mañana, mirando el twitter, me ha sorprendido el siguiente tweet que ha hecho BTShell sobre ciertos anuncios en MilAnuncios.com.


 La verdad es que aparte de ser un nido para ciberdelincuentes. Es que, hay 9 anuncios publicados a la misma hora y 8 con el mismo precio. Excepción es que en Barcelona el Hackeo es mas caro y llega a los 100€ (a lo mejor como es "otro país" no quieren jugarsela xDD)


¿Pensáis seriamente que al contactar con cualquiera de estos Ciberdelincuentes acabareis viendo la contraseña que queríais? Yo no lo creo.

Os dejo que reflexionéis sobre el "uso" que le podría dar un atacante a estos anuncios y en lo facil que seria perder un 50% por adelantado, que al final lo pagaras todo por adelantado dado que, yo no te daría la contraseña sin que me pagues antes y montar un esquema para quedarme tu dinero. 

Sed Buenos y desconfiados ;) 

viernes, 8 de agosto de 2014

Python.- Script Tirada de Dados

Hace mucho que un amigo me comentó que estaba buscando algún programa de tirada de dados pero se quejaba de que solían estar limitados a unos ciertos tipos de dados. Pues ya que andaba metido con Python y el verano no se que tiene pero me da idea, he curioseado un poco como podría hacerlo y al final ha salido este script que seguro que ayudará a mas de uno en sus partidas. Como ya he dicho también me ha dado otra idea pero esta ya es un poco mas paso a paso y tiene que estar mejor pensada. Así que demomento no os hablo de ella. 

Aquí os dejo el Script. chequeadlo, probado y si tenis una versión mejor estaría encantado verla y aprender de ella: 

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import random

def tirada(numero,tipo):
d3 =  numero * tipo + 1
valor = random.randrange(numero,d3)
if valor == numero: 
print "Has sacado un --> %d <-- T_T PIFIA" %valor
elif valor == d3-1:
print "Has sacado un --> %d <-- O.O CRITICO" %valor
else:
print "Has sacado un --> %d" %valor
raw_input("pulsa enter para tirar otra vez")

if __name__ == "__main__":
d1 = raw_input("Indica cuantos dados quieres tirar: ")
d2 = raw_input("Indica el tipo dado: ")
while  True:
tirada(int(d1),int(d2))

Espero que os guste y colega, si estás viendo esta entrada, aprende Python que es una maravilla. No es que haga programas por petición pero esto me apetecía saber como hacerlo.(Aunque debería empezar a planteármelo xDD ) Así que, espero que lo disfrutéis. 

Sed Buenos ;)

jueves, 7 de agosto de 2014

UpLink.- Un Juego Hacker Para Este Verano.

La verdad es que aunque no lo parezca estamos en verano y apetece tomarse algún descanso de vez en cuando. Para estoy hoy os voy a recomendar un Videojuego que para no romper la dinámica, se trata de Uplink


En Uplink nos encontraremos una serie de desafíos que van desde Bypassear un firewall hasta reventar un cifrado. Todo esto navegando por proxys e intentando que no te tiren la conexión o que la policía te pille. Si logras realizar las misiones con éxito ganaras dinero para mejorar tu equipo y comprar mas Software.


La verdad es que escenifica muy bien el mundo de los Juakers con "dinero" los cuales pueden permitirse comprar "herramientas" en foros de baja reputación para luego utilizarlas sin saber que hay de tras o simplemente lo que hacen. 

Bueno, después de la puya, la verdad es que es  muy buen juego y consigue que te pares a pensar en como puedes superar las diferentes medidas de protección que se te van proponiendo. ¡Hasta puedes cambiar notas, quien no ha querido hacer eso alguna vez! xD

Os dejo el enlace aquí por si lo queréis probar. DoubleReboot y yo lo estuvimos jugando ayer por la tarde y la verdad es que esta muy bien: 

Sed Buenos ;)  y pasaros lo bien 

miércoles, 6 de agosto de 2014

Wireless.- En el Bar Junto a OpenWrt

Hoy en pleno mono por una señal de Internet mejor, hemos hecho una ruta por los bares de la zona. Al final hemos entrado en uno de esos locales de comida rápida y nos hemos sentado para tomar un desayuno.  Al acabar y tras haber comprobado que había conexión Wifi, he sacado el laptop. 

Con lo primero que me he topado es con la típica pantalla de "registro" en la cual no validaban nada. Así que unos nombres y apellidos falsos y para dentro. 


Ahora ya tenia conexión a Internete pero para estar seguro de que no había ningún The Man In The Middle por medio he lanzado un ipconfig. (Llamadme paranoico xD) Pero, al ver la puerta de enlace predeterminada se me ha abierto un mundo. Supongo que lo entenderéis los que alguna vez habéis jugado un poco con estas redes. 

Me he topado con esto ¡Jackpot!: 


Toma ya, el nombre de usuario ya me dice que la contraseña este por defecto.  Así que si alguien hubiera buscado información sobre la distribución Linux OpenWrt que es la que gestiona este punto Wifi hubiera podido entrar sin problemas en el panel de "administración" de esta red y hacer una masacre digna de Troya. 

Aquí tenéis alguna información sobre OpenWrt y como funciona la contraseña por defecto que utiliza: 
Sed Buenos ;)

martes, 5 de agosto de 2014

Python.- Proyectos e Ideas

Volvemos con la poca señal de Internet. Así que, ya sabéis que tipos de entradas van a llegar a este blog en las siguientes semanas. Pero bueno, hay cosas que se pueden hacer sin Internet (¿A que parece raro?) y es programar o al menos plantearte ideas y proyectos que puedan llegar a buen puerto. De esta manera os voy a presentar un par de proyectos o ideas con las que empezare a trabajar en cuanto disponga de las APIs necesarias y módulos.


  1. Creador de Diccionarios para ataques WPA/WPA2:  
    • La motivación que  me ha hecho ponerme a ellos es que Crunch solo me dejaba crear diccionarios de una longitud máxima de hasta 9 y ya sabéis que la mayoría de claves no suelen pasar los 20 caracteres. Así que, seria muy chulo crear uno con Python y si ya pudiéramos pausarlo y seguir cuando tuviéramos tiempo seria genial.
  2. Mi propio Scaner Anti-Malware:
    • Hace unos días me estuve informado muchísimo de la API de Virus Total para Python y la verdad es que me pareció una genialidad y creo que con el poder de oswalk, el cual ya hemos podido probar en entradas pasadas, creo que puede llegar a ser un Script útil si consigo una buena optimización del código. 
  3. Optimización de JARVIS/TONTO:
    •  JARVIS/TONTO fue un asistente virtual que cree en semana santa para el blog Mi hora de código y le hace falta un buen peniado. Mirándome, otra vez,  el código un poco creo que podría aligerarlo y poderlo comparar con el OPTIMUS de Bugtraq al que ya le tengo puesto el ojo. 
Hasta aquí la lista de ideas en las que quiero trabajar este verano. Si alguien puede ayudarme con Papers/Ejemplos/Libros estaré encantado que me lo deje en los comentarios especificando el punto. 

Sed Buenos ;) 

lunes, 4 de agosto de 2014

¿Que Me Llevo de Vacaciones? Rumbo a Monkey Island

Hace unos días que me he parado a pensar en lo que llevarme la próxima vez que me vaya de vacaciones debido a mi falta de previsión para este año. Siempre hablando de herramientas, libros y papers relacionados con la seguridad informática, claro está. 

Así que, os voy a pasar mi lista de materiales que me llevaría si me volviera a ir de vacaciones. 


  1. Mi portatil. (No se lo que haría sin el xD)
  2. Un USB de 32GB. (De 32GB ya que podre bootear cualquier S.O. que quiera para hacer los experimentos que quiera)
  3. Distribuciones dedicadas a la Seguridad Informática (Como Bugtraq ya que tengo muchas ganas de meterme con Optimus y la nueva versión de Kalí para darle caña al Encrypted USB)
  4. Distribuciones dedicadas al Ambito Forense. (CAINE por ejemplo ya que me gusta mucho la distro)
  5.  Libros de 0xWord (Hacker Epico para subir la moral, Pentesting con Kali para refrescar y el de Metasploit)
  6. Mi laaaarga biblioteca de papers para leer que Snifer ha ido publicando durante todas estas entradas. 
Hasta aquí mi receta para pasar unas vacaciones aprendiendo y disfrutando de la Seguridad Informática. ¿Que os llevarías vosotros?

Sed Buenos ;) 

domingo, 3 de agosto de 2014

IPViking.- Ataques En Vivo y En Directo

Cada vez van apareciendo mas mapas capaces de monitorizar ataques.Aparte de la tremenda distracción y de información que esto aporta, me parece una  idea genial que cada vez mas empresas desarrollen mapas como estos ya que nos ofrecen una forma muy didáctica de que los usuarios entiendan la importancia de su seguridad.


Norse una empresa dedicada a las soluciones de seguridad ha lanzado este mapa. El cual,  os recomiendo que os paséis un rato viendo diferentes ataques y a donde van destinados porqué podemos aprender mucho. 

Sed Buenos ;) 

sábado, 2 de agosto de 2014

Lista de Herramientas.- Flu Project + Estación Informatica

Viernes noche y sigo recomendado. Hoy le toca el turno a lo que todo novato en el mundo hacker le gustaría tener, una lista de herramientas dispuestas para cacharrear con ellas. Pero hay que reconocer la cantidad de horas que hay detrás de cada una de estas herramientas y del esfuerzo que es para sus desarrolladores darlas "gratis". 

Os voy a recomendar un par de listas a parte de la que podéis encontrar en el Blog de DoubleReboot. La primera que os voy a recomendar es la de la famosisima página de Flu Project. En ella encontrareis herramientas indispensables para un buen Pentesting. Así que tomad buena nota de cada una de ellas por que en un futuro os serán muy útiles. 

Lista herramientas Flu Project: 
Por otra parte si lo que buscáis son herramientas mas personalizadas con un fin didáctico que nos permitirán ver el código y aprender como están programada,  os recomiendo la lista de herramientas de Estación Informática ya que muchos hemos dejado nuestras herramientas puestas en GitHub para que podais no solo aprender con el código, sino ayudarnos a mejorarlo.