Este blog ya no está activo, sigue informándote aquí:

domingo, 31 de diciembre de 2017

Feliz año 2016 ... ejem ... 2018

Haciéndole caso a nuestro presidente que buenamente nos ha felicitado a todos los españoles con un Feliz 2016 y  desde StateX hemos decidido hacerle un poco de caso y hace un par de script en Batch llamados M.Rajoy y M.Rajoy2 con los cuales podréis fácilmente cambiar la fecha de vuestro equipo por otra un poco mas acorde con la que ha dictado el presidente pagado con nuestros impuestos. 


M.Rajoy (Por si queréis definir vosotros la fecha y ser un poco "rebeldes"): 
@echo off

date %1

M.Rajoy2 (Por si le queréis hacer caso al Presi): 
@echo off

set Mrajoy=01/01/2016

date %Mrajoy%
Dicho todo esto (Si has aguantado hasta aquí es que eres un buen lector de este blog) que ha salido un poco inesperado hablado con Kazukun esta mañana, todo el equipo de StateX os desea que, al menos, este 2018 sea mejor que el 2017 

Muchas gracias por seguir este blog, por todos los mensajes de apoyo que hemos recibido por los vídeos, por Twiter y sobretodo por el buzón que tenemos arriba a la derecha del blog. 

Parece que siempre os digo lo mismo, que siempre hay cosas detrás del telón, pero desde vuestro punto de vista parece que nunca llegan o que siempre tenemos una linea de publicación bastante similiar y puede llagar a ser cutre. 

Lo sabemos y  que tanto Kazukun como yo estamos preparando cosas para que este 2018 sea un mas chulo, pero como todos lo que intentáis hacer vuestras ideas realidad sabéis que no siempre es fácil pero seguimos currando entre bambalinas porqué, al final, salen las cosas. 

Tampoco esperábamos poder empezar con el canal de youtube este año y mira, solo faltan 3 meses para que cumplamos 1 año subiendo un vídeo cada domingo, ademas ya llevamos muchas años con el blog a entrada casi diaria.

Otros han abandonado sus proyectos mucho antes pero nosotros seguimos trabajando y eso para mi, es motivo de orgullo. 

Feliz 2018. 

Sed Muy Buenos esta noche ;) 


viernes, 29 de diciembre de 2017

Vídeo.- FreeBSD Insecure by default

Muchas veces he estado a punto de pasarme 100% a FreeBSD ya sabéis lo que me encanta probar diferentes SO pero siempre he tenido dudas sobre la seguridad por defecto de FreeBSD. 

Por eso hoy os voy a recomendar la ponencia de Alexis Sarghel donde no solo habla sobre esto si no que nos puesta páginas donde podemos encontrar toda la información que necesitemos para convencernos de que podemos estar seguros usando Free BSD. 


Sed Buenos ;)

jueves, 28 de diciembre de 2017

TooL.- nmap_vulners

Bueno, en un día en el que todo cristo se hace el gracioso, nosotros seguimos con nuestra política habitual, que ya es bastante cutre pero es la nuestra. 


Hoy os voy a recomendar una herramienta que os puede sacar de un apuro o os permitirá hacer una comprobación rápida usando nmap. Nmap_vulners es un script en NSE que nos permite relacionar la aplicación que corre por detrás de un puerto en especifico gracias al comando -sV con lo cpe de vulnerabilidades conocidas por el NIST.

Enlace a la herramienta:
Sed Buenos ;)


miércoles, 27 de diciembre de 2017

Cheat Sheet.- SQL Injection Wiki

Aunque esta vez no es una tarjeta molona que podamos tener en nuestros escritorios pero si que es un buen repaso desde 0 sobre las inyecciones de código SQL. 


Cuando digo desde 0 me refiero a que empezaremos por saber como detectar posibles inyecciones gracias al uso de la ' y " pasando por los tipos de bases para la inyección (Error, Union, Blind) hasta querys predefinidas para el filtrado de datos. 

Muy recomendable y creo que para mi será el repaso que necesito para estas navidades. 

Sed Buenos ;)

martes, 26 de diciembre de 2017

Kali Linux & GDP

Primero avisar de que me encantan los micro computadores y las mini distribuciones en Linux. Así que cada noticia que me llega sobre este tema es super interesante para mi y por es esta hoy en este blog. 

La GDP Pocket es un ordenador portatil de bolsillo el cual cuesta unos 500 € pero la verdad es que por la bizarrada técnica los vale. Realmente es un PC con un Intel Z8750 CPU, 8Gb DDR3 RAM, 128Gb Samsung eMMC de memoria interna y 7000 mAh de batería.


Pues a esta maravilla, le han conseguido instalar Kali Linux a través de una build personalizad y con esto tener la herramienta definitiva para hacer el mal en centros comerciales o para trastear cuando estemos aburridos con alguna CTF.

Si queréis saber como lo han hecho y como descargaros e instalar la ditribución en vuestra GDP, os dejo el enlace a la noticia: 

Sed Buenos ;)

lunes, 25 de diciembre de 2017

Juego.- Doki Doki Literature Club

Siempre llegados estas fechas os recomiendo algún jugo chulo o que me hay impactado durante el año y pese a que me tachéis de "rarito" hoy os voy a recomendar Doki Doki Literature Club, un juego que hasta la fecha no he podido acabar solo porque, aunque por las imágenes parezca una cosa, el pot Twist que tiene este juego me da repelús.


No os cuento mas, os pongo la imagen, el enlace a la descarga aquí abajo. Es un juego totalmente gratuito:
Os juro que si aguantáis la parte moñas y sosa del principio a los 30 minutos todo pega un brinco que os dejará tan de piedra como me ha dejado a mi y por eso os lo estoy recomendando.   


La verdad es que empece a jugarlo por recomendación y pensé que me estaban gastando una broma y no me esperaba para nada que este juego jugara con mi mente como lo ha hecho y hasta me da repelús en algunos puntos. 
Pero para gustos colores y si no os gusta siempre podéis jugar a la teorías con la CTF que hay dentro de los archivos del juego. OJO no ver el siguiente vídeo si realmente vais a jugarlo.
Just Monika ;)

domingo, 24 de diciembre de 2017

Root Me.- Los famosos Hashes en MD5

Siempre estamos a la caza y captura de nuevas páginas de retos así que, hasta que no le demos fuerte y flojo al Hack Holyday Challenge de SANS , iremos dando saltos entre diferentes web para ofreceros vídeos curiosos.

Hoy Kazukun nos va a enseñar a como obtener el Password o Flag de un Hash MD5 a través de un  script escrito en Python  el cual busca el Hash que le pasemos en diferentes bases de datos de Hashes para darnos el resultado que necesitamos para pasar este reto.

 

Aquí tenéis el enlace del reto por si lo queréis hacer con nosotros:

Sed Buenos ;)

viernes, 22 de diciembre de 2017

Vídeos.- NoconName 2017

Uno de mis objetivos fallidos para el año 2017 ha sido no poder ir a la NoconName. Ya sabéis, el congreso de seguridad informática que se hace en Barcelona y del que hemos hablado mucho en este blog. 


Así que, ahora puedo fixear este fallo ya que la buena gente de la NoCON ha empezado a subir las ponencias (Slides + Vídeos) en su página web. De esta manera, voy ha hacerme una palomitas y a por la libreta. Nos leemos el día 24. 

Enlace a las ponencias:

Sed Buenos ;) 

jueves, 21 de diciembre de 2017

Infografia.- El Ciberbotiquín para estas Navidades

Ya hemos repasado muchísimo que es lo que debemos y lo que no debemos hacer, que tipos de técnicas tienen los malos y como se comportan ciertas clases de Malware. 

Pues antes empezar con las compras Navideñas me gustaría dar un último repaso de la mano de Kaspersky para ver si hemos aprendido la lección. 


Sed Buenos ;)

miércoles, 20 de diciembre de 2017

Vídeo.- Mining Bitcoin with pencil and paper

Hoy he flipado un poco al encontrarme con este vídeo ya que hay gente tan crac y que sabe tanto sobre el tema, que es capaz de minar bitcoins con una libreta y un boli. 


En el vídeo se explica muy bien pero si todo este tema os cuesta tanto como a mi, aquí tenéis el articulo entero. 
Sed Buenos ;)

martes, 19 de diciembre de 2017

CheatSheet.- ANALYZING MALICIOUS DOCUMENTS

Creo que esta chuleta debería estar en el escritorio de cualquiera ya que en los tiempos que corren la infección a través de archivos Microsoft Office, RTF y Adobe Acrobat (PDF) están a la orden del día y si te gusta este mundo, tienes que saber como poder analizar este tipo de archivos de una forma fácil y segura. 
 
 
Así que, gracias a esta chuleta sabremos que pasos tenemos que realizar si queremos analizar un documento sospechoso y que herramientas tenemos que usar. 
Si, podría haber subido solo la imagen pero el PDF tiene los enlaces a los diferentes githubs de las herramientas que deberíamos usar. Así que es mucho mas practico. 

Sed Buenos ;)

lunes, 18 de diciembre de 2017

2017.- SANS Hack Holiday Challenge is Back

Si ayer os decíamos que estamos a la espera de nuevos retos hoy SANS ha colgado su tan esperado reto de navidad. El año pasado ya nos lo pasamos como niños trasteado con este reto tan navideño y hasta grabamos un vídeo de tanto que nos gustó. 


Pues si el año pasado tocaba ayudar a Santa, este año toca ver que problemas tienen los elfos y si nuestras malas artes nos valdrán para solucionar todo el entuerto. 


Os lo recomendamos incluso sin haberlo empezado, sabemos que estos retos son muy originales, divertidos y casi perfectos para pelarnos toda una tarde.

Aquí tenéis el enlace al reto
Sed Buenos ;) 

domingo, 17 de diciembre de 2017

Root Me.- BASH Password Authentication

Estamos a la caza y captura de nuevas páginas de retos así que, hasta que no encontremos alguna página que nos motive, iremos dando saltos entre diferentes web para ofreceros vídeos curiosos.

Hoy Kazukun nos va a enseñar a como obtener el Password o Flag de un script escrito en bash mediante la invocación de comandos en Linux.


Aquí tenéis el enlace del reto por si lo queréis hacer con nosotros:
https://www.root-me.org

Sed Buenos ;)

viernes, 15 de diciembre de 2017

Recomendado.- Explotando Word: CVE-2017-11826

Ya pudisteis deducir ayer que esta semana estoy mas ocupado que las anteriores  pero eso no quiera decir que no lea mi feed de redes sociales o de blogs a los que estoy subscrito. Es una buena forma de mantenerse al día y ademas, es divertida. 


De esta manera podemos ver entradas tan chulas como la de destripando por completo la vulnerabilidad CVE-2017-11826. Muy recomendable y mas si esta tarde no vas ha hacer nada. 

Sed buenos ;) 

jueves, 14 de diciembre de 2017

Infografia.- Protege a tus clientes

Ahora que llegan estas fechas tan señaladas y todos estamos de comidas copiosas regalos y amigos, no tenemos que olvidar que los malos están al acecho tanto para nosotros como para los clientes que podáis tener. Así que, antes de marchar de vacaciones aseguremos que tenemos todo listo y revisado para que estén contentos y no nos llamen en fiestas. 


Fuente:
Sed Buenos ;) 

martes, 12 de diciembre de 2017

Recomendación.- Diseccionando binarios

Mira que me cuesta recomendar entradas de otros blogs de la comunidad, pero la verdad es que si hay algo muy molón os lo comparto.  Así que hoy os voy a recomendar la serie de entradas que están haciendo que yo esté entendiendo la ingeniería inversa. 


Como no, estoy hablando de Diseccionando binarios del blog fwhibbit y mas concretamente su última entrada en la cual hacen un repaso genial a radare2. Ya no digo nada mas ya que quiero que leáis su entrada.

lunes, 11 de diciembre de 2017

Powershell.- Invoke-WCMDump

hace mucho que no hablamos de Powershell por aquí y la verdad es que esta herramienta la tenemos que tener siempre presente no vaya a ser, que un día nos quiten la cmd y todo se vuelva oscuro y tétrico. Pero no es momento para protestar ya que Powershell es mucho mas potente de lo que una cmd puede llegar a imaginar y ya hemos demostrado en este blog las virtudes de esta.


Así que hoy os traigo un script mas para añadir a nuestro arsenal. Invoke-WCMDump nos permite extraer todas las credenciales que tengamos en nuestro Credential Manager. Muy útil si tenemos poderes de administrador. 

Aquí tenéis el enlace al script  y os recomiendo que le echéis un ojo al código del script, os permitirá aprender un montón.
Sed Buenos ;)




domingo, 10 de diciembre de 2017

Como registrarse en Hack The Box - (10 Dec. 2017)

Como ya os veníamos adelantando en entradas anteriores, aquí tenéis el vídeo que os prometimos. Pero, lo que me ha hecho especial gracia son ciertas personas que en mayo lanzaron comentarios sobre que no deberíamos difundir el vídeo (que no es para tanto) ahora en diciembre hablan sobre las bondades de difundir aquello que te gusta. Así que, perfecto para nosotros al menos hemos cambiado algo.

Hace mucho tambien nos dijeron que esto de ver el código fuente de una página no servia para nada. No dejan de tener parte de razón pero no deja de ser una de las principales técnicas que tiene un Hacker para trastear con páginas web. Pues lo hemos vuelto ha hacer.

En este caso Kazukun nos muestra como loguearnos again en la pagina de "retos" Hack The Box la cual has de hackear para poder obtener una invitación. 



Esperamos que os guste.

Sed Buenos ;)

viernes, 8 de diciembre de 2017

No Coin.- No en mi navegador noooooo.

Hace ya varios meses os hablamos de MinerBlock una extensión para Chrome y Opera que evitaba que se activaran, al acceder a ciertas páginas, scripts destinados al mineo de criptomonedas en nuestro navegador. 

Pues hoy para los usáis/usamos también Firefox os voy a recomendar NoCoin 


Aquí tenéis el enlace al repositorio, a los botones de descarga y a mucha mas información de como funciona esta extensión. 

Sed Buenos ;)

jueves, 7 de diciembre de 2017

Infografía.- Compras de Navidad

Empiezan las campañas de Navidad en todas la tiendas online de confianza pero como no, hemos de repasar algunos conceptos básicos que nos ayudarán un montón a evitar problemas a la hora de comprar por Internet.


Sed Buenos ;)

miércoles, 6 de diciembre de 2017

Ojo.- (Parte 2) Como registrarse en Hack The Box - (28 may. 2017)

Ayer os hablamos de la actualización en el famoso método de invitación que tiene HackTheBox y os dijimos que ya estábamos trabajando para poder actualizar el vídeo que grabamos. Pues, ha sido mas rápido y fácil de lo que nos esperábamos, hasta queríamos hacer un streaming para hacerlo con vosotro. Pero ha sido rápido y la retransmisión en vivo hubiera durado 10 minutos. 
Bueno, si queréis ver como lo hemos logrado aquí tenéis el enlace para que lo intentéis vosotros y a esperar hasta el domingo que toca vídeo. 
De momento aquí tenis la foto en nuestro instagram conforme lo hemos logrado.

A post shared by StateX (@realstatex) on

Sed Buenos ;)

martes, 5 de diciembre de 2017

Ojo.- Como registrarse en Hack The Box - (28 may. 2017)

En mayo nos liamos la manta a la cabeza y pese a los "consejos" que recibimos sobre no publicar el vídeo, os subimos al canal de Youtube de este blog una [invitación] para poder participar en Hack The Box.



Así que. Ahora, a día de hoy, ya no sirve el Hack que os enseñamos en este blog. Por lo que, con lo aprendido, es hora de ponerse manos a la obra para actualizar el vídeo y presentaros uno nuevo, va a ser divertido.

Sed Buenos ;)

lunes, 4 de diciembre de 2017

Checklist.- System Hardening Whonix

No se muchos conoceréis Whonix pero es un sistema operativo basado en Linux que, como Tails, prima nuestra seguridad y privacidad al navegar por la red de redes. Pero, como no, nada es 100% seguro en estos tiempos que corren así que este sistema operativo también necesita ser "hardenizado" o "asegurado" mediante diferentes recomendaciones, que aunque son lógicas, algunas se pueden extrapolar a cualquier sistema operativo.  


En la siguiente guía encontrareis métodos de hardening muy chulos y algún que otro truco para que, al menos, podamos sentirnos seguros:
 Sed Buenos ;) 

domingo, 3 de diciembre de 2017

Root Me.- C Password Authentication

Estamos a la caza y captura de nuevas páginas de retos así que, hasta que no encontremos alguna página que nos motive, iremos dando saltos entre diferentes web para ofreceros vídeos curiosos.

Hoy Kazukun nos va a enseñar a como obtener el Password de un programa escrito en C mediante ingeniería inversa usando Radare2


Aquí tenéis el enlace del reto por si lo queréis hacer con nosotros:

Sed Buenos ;)

viernes, 1 de diciembre de 2017

Video.- Image Steganography: Hiding text in an image with PHP

En este blog siempre que tenemos un hueco hablamos del bello arte de dibujar esteganosaurios,  la esteganografia,  así que, no he podido evitar hacer clic en el siguiente vídeo donde se muestra como ocultar datos en imágenes a través de PHP.

La verdad es que va muy bien para repasar php, al menos a mi me ha gustado ya que lo tengo muy oxidado.

Sed Buenos ;)