Hobbytruco.- Kali Linux, Apache2 y un archivo muy pesado.

Esto mas que un hobby truco es una advertencia para navegantes que, como yo, no sepan usar el TFTP que viene por defecto en Kali Linux. 

Pues nada, nos dejamos un archivo de 7GB dentro de una máquina virtual donde solo tenemos acceso por SSH y no sabemos como funciona TFTP, ademas, intentas arrancar el servicio y no quiere levantarse. Pues bien el siguiente paso logico seria intentar instalar algun otro FTP que este disponible ne los repositorios de Kali pero resulta que no puedes hacer llamadas fuera de la red local.

Pues al final me ha a ayudado Apache2 el cual si que ha querido levantarse con un service apache2 start  y al ver que llegaba desde Firefox del Citrix que usaba ya me he alegrado, pero ojo que el apache 2 que viene por defecto en Kali Linux no viene con el index.html en /var/www si no en un directorio mas abajo llamado html. 

Así que una vez tengamos el apache arrancado moveremos el archivo al directorio del apache:

• mv archivo.extensión /var/www/html

Editar el index.html:

• cd /var/www/html
• nano index.html

Borramos todo el BODY menos las etiquetas de <body> </body>  y copiamos entre las etiquetas de body el siguiente código

• <a href="lineadecodigo.txt">Descargar fichero archivo.extensión</a>

Y con esto y la magia del Citrix ya podemos decargar el archivo en la local del pc, donde esté instalado el navegador y hasta el laptop que estemos utilizando hasta ese momento. 

Sed Buenos ;) 

Hacker101.- Todo lo que necesitas saber.

Esta entrada va dedicada a todos aquellos que os gustaría empezar en el mundo de la seguridad informática y para aquellos que como yo, necesitan prepararse bien las cosas para estar seguro. 

Hacker101 es una genial página donde encontrareis un curso genial, explicado a través de videos de Youtube, ejercicios y ademas utiliza la metodología OWASP para que veamos que lo que nos están contando tiene una base técnica real. 

• https://www.hacker101.com/

Yo, a partir de hoy me he marcado esta página en favoritos para consultar si lo que estoy explicando es cierto o no. Os la recomiendo. 

Sed Buenos ;)

Inyección de Contenido en WordPress 4.7.2

Hoy es Domingo y Kazukun nos trae una buena sorpresa, una PoC de lo fácil que seria vulnerar un Wordpress con el conociendo la versión de la página a la que vamos a atacar y teniendo el exploit correspondiente.

Para más información os recomiendo ver la fuente de este vídeo y sobretodo entender el como funciona esta vulnerabilidad:

• https://blog.sucuri.net/espanol/2017/02/vulnerabilidad-de-inyeccion-de-contenido-en-wordpress.html

Sed Buenos ;)

1-0 Cronología y Cooperación

Revisando un poco por aquí y por allí se puede encontrar mucha mas información. Lo cual me hace pensar que al menos de buscar información tendría que hacer algo, pero eso ya son otras cosas.

Si queréis saber lo que pasó del día 19 al 25 de setiembre antes del 1-O aquí tenéis un buen resumen, está en catalán, pero esto el traductor os lo afina.

Como ya dijimos hace dos días, por favor haced clic en los tweets para poder ver los hilos completos. Merecen la pena.

― bloquegen la web del referèndum

— Xavi (@jmendeth) 25 de septiembre de 2017

Y este ultimo hilo muestra como se esta moviendo la comunidad para analizar paso por paso como se iban cerrando web y sobretodo el porqué y como Moviestar las estaba bloqueando.

Atenció: primers proves que @movistar_es podria haver censurat @empaperem. És un web de particulars! Sembla un RST… pic.twitter.com/TtWG5pASWo

— Censura 1OCT (@censura1oct) 25 de septiembre de 2017

Sed Buenos ;)

1-O y la cronología de Webs cerradas.

Como dije ayer, que nadie se altere con estos temas. Esta semana va a se un poco complicada así que tenéis que perdonarme por "cambiar" un poco el contenido de este blog. El día 19 de septiembre  se empezaron a cerrar webs relacionadas con el referendum y [SoydelBierzo] tiene un hilo donde hace varias comprobaciones, investiga y expone varias páginas para ver si siguen vivas o no. Otro gran trabajo.

Bueno, webs como https://t.co/TjhzlyklWi o https://t.co/9WCClZhOGB ya están bloqueadas, no así https://t.co/wTPpunJYN2

— SoydelBierzo (@soydelbierzo) 19 de septiembre de 2017

Sed Buenos ;)

La web 1-O y la LOPD

Me vais a permitir que esta semana me centre mucho en este tema ya que me toca de muy cerca y hay bastantes hilos que deberían ser guardados para un futuro.  No, hablo de esos hilos que tratan sobre la parte técnica de las webs clonadas. 

El primero viene de la mano de Diario Castañé [miembro del partido pirata] y que se dedicó a explicar porqué técnicamente la web del referendum no vulnera la LOPD. Es un hilo hermoso, haced clic en el tweet de abajo y disfrutad. 

La web es un formulario que calcula una huella SHA-256 con 1714 iteraciones (sí, 1714) a partir del DNI, fecha de nacimiento y cód. postal.

— Dario Castañé #1O (@im_dario) 21 de septiembre de 2017

Por otro lado si queréis echarle un ojo a la web, solo hace falta dirigiros a github donde hay una copia "funcional" de la página y podréis ver archivo por archivo como esta construida y también tenéis un mini tutorial por si, de pendiendo de vuestra inclinación politica, queréis clonarla en algún lado.

• https://github.com/referendum1oct/referendum1oct.github.io

Sed Buenos ;) 

SSHCheck .- Revisa tus conexiones SSH

Muchas veces no conectamos por SSH a nuestros equipos sin revisar correctamente si la conexión es segura o no. Por eso hoy os recomiendo SSHCheck, una aplicación web donde podemos auditar cualquier IP o Hostname que nos sepamos sin necesidad de abrir nuestro Nesus, OpenVAS o Nexpose.

Ademas la info que da es bastante completa sobretodo a lo que cifrados algoritmos de cifrado. Lo mira todo (claro está que no se pondrá a comprobar contraseñas por defecto) . 

Enlace a la la herramienta: 

• https://sshcheck.com/

Sed Buenos ;) 

Hashea como puedas pero hazlo bien.

Yo no se casi nada sobre funciones de hash, de como se han de programar o de por qué no debemos crear nuestro propio sistema de cifrado. Pero últimamente, con el tema de las colisiones en SHA1, estoy bastante interesado así que, me he buscado un poco la vida, y he ido a parar con la siguiente guía que nos responde a muchas dudas. Sobre todo a mi que soy un novato en esto.

En serio, es buena y empieza desde cero, casi mostrándonos el workflow que hará un usuario al conectarse y los pasos que hará el hash:

1. El usuario crea una cuenta.
2. Su contraseña es hasheada y se almacena en la base de datos. En ningún momento la contraseña estará en texto plano (sin cifrar).
3. Cuando el usuario intenta iniciar sesión, se genera un hash para la contraseña cuando que se indico en el login y se compara con el hash de la contraseña real (recuperado de la base de datos).
4. Si los hashes coinciden, se le concede acceso al usuario. Si no es así, se le dice al usuario que las credenciales de inicio de sesión no válidas.
5. Los pasos 3 y 4 se repiten cada vez que alguien intenta acceder a su cuenta.

Después ya entra en buenas practicas y en como se deben solventar ciertos ataques a un nivel mucho mas técnico. Esta guía merece toda mi atención:

• https://crackstation.net/hashing-security.htm

Sed Buenos ;)

HackThis Basic 2.- Maldito User-Agent

Todos hemos trasteado a veces con el User-Agent, en mi caso casi siempre por privacidad pero como nos muestra Kazukun en este vídeo, también se pueden utilizar para acceder a páginas limitadas por tu User-Agent y así solucionar retos (O ver el contenido limitado para tu país).  

Más información sobre el User-Agent: 

• https://en.wikipedia.org/wiki/List_of_HTTP_header_fields
• https://en.wikipedia.org/wiki/User_agent#User_agent_identification

Ahora se que os dejo con el vídeo: 

Sed Buenos ;)

XSSPOSED Digievoluciona en OpenBugBounty

Hace mucho mucho tiempo, en la ahora parte oscura de este blog, os hable sobre una página dedicada a [recopilar vulnerabilidades del tipo Cross-site Scripting] en el cual si reportabas una vulnerabilidad eras recompensado con una imagen muy graciosa. 

Pues ahora, siguen manteniendo la mima imagen, pero no solo han cambiado de nombre a Open Bug Bounty sino que ahora hasta nos permite realizar una comprovación al certificado SSL/TLS de la pagina y ver si cumple con las medidas de seguridad oportunas. 

Así que esta entrada es solo para actualizaros la página y para animaros a revisarla de tanto en cuando que es muy divertida. No tanto como ZoneH pero si igualmente recomendable.  

Enlace a OpenBugBounty: 

• https://www.openbugbounty.org/

Sed Buenos ;) 

HackThis 5.- No, en el Javascript no

De beta en beta y tiro por que me toca,  estamos entrando ya en una rutina saludable con este tipo de vídeos y la verdad es que nos están gustando. Aun que seguimos necesitando vuestro feed back. 

Hoy le toca el turno, otra vez, al tema de Hardcodear las contraseñas en Javascript aunque es un poco diferente. Os dejo el vídeo.

Sed Buenos ;)

Mozilla HTTP Observatory,- El escaner web de Mozilla

Mozilla ha liberado/lanzado una herramienta llamada HTTP Observatory la cual nos permite analizar nuestras paginas web e informarnos de si estamos utilizando los métodos adecuados para securizarla. Ademas que esta programada en Python 3 y creo vislumbrar que python ha llegado para quedarse ya como el lenguaje de programación mas utilizado por la gente del mundo de la seguridad informática.

Así que sin mas dilación os dejo con la web del Scanner:

• https://observatory.mozilla.org/

Y con la web de su GitHub donde podemos aprender leyendo el código, se que es pesado pero posiblemente sea la mejor manera de aprender a programar herramientas tan chulas como esta: 

• https://github.com/mozilla/http-observatory

Sed Buenos ;) 

¡Delete Me!

Eso es lo que le dijo ZeroCool a la Plaga (Nombres en Castellano) en la mítica película de Hackers que salió en 1995. La Plaga le contestó que no le tentara.  

Ahora gracias a Just Delete Me, ZeroCool podría desaparecer solito. Bueno "desaparecer", ya sabemos que no se puede desaparecer 100% de Internet pero con esta página web podemos encontrar la manera de desaparecer de la mayoría de sitios web. 

Just Delete Me es un página donde se listan las paginas para dar de baja una cuenta de muchos servicios de Internet y aplicaciones. Ademas de los que no puede listarlos nos da información de como podriamos hacerlo de una manera aún mas manual. 

Enlace a la página: 

• http://justdelete.me/

Si habéis dado una vuelta al enlace veréis que hay mucho trabajo si queréis desaparecer. Pero si algo quieres algo te cuesta.

Sed Buenos ;)

La "anatomía" de un Pentest

Hace unos días me tocó planificar un Pentest y esto conlleva tener que explicarle a todos los responsables de los equipos a los que van a dirigir los ataques de que van estas pruebas, el impacto que pueden tener en su equipos, etc 

Pues para todos lo que no sepáis en que consisten estas "pruebas de penetración" (que en castellano suena fatal) o también llamadas Pentest os recomiendo la siguiente pagina. 

Atención no deja de ser el resumen de un Pentest que podemos encontrar en los temas del CEH en un formato web en el que podemos movernos solo usando la rueda de nuestro rato. Así que si eres una persona ya introducida en este mundo no te va a aportar mucha información, pero si aun no tienen ni idea de lo que son este tipo de pruebas, te recomiendo encarecidamente 

Enlace a la página: 

• https://visuallyexplainedpentest.barricade.io/

Sed Buenos ;)  

¿Qué Ransomware Me Ha infectado?

Si pensamos en la pobre persona que está en la administración de una empresa y acaba de ser víctima de un Ransomware, lo primero que nos viene a la cabeza es una situación de pánico y  luego hablar con la consultoría que tengas contratada para que te digan lo que hacer. Pues bueno lo primero que te van a preguntar es que ves por pantalla y que envíes alguno de los archivos cifrados por algún ftp seguro.

Pero bueno, ahora alguien ha pensado en esta pobre gente y han creado una aplicación web para que podamos subir un archivo cifrado o el texto que nos enseña el Ransomware, para determinar el nombre y darte indicaciones de como proceder. (Así nos podemos ahorrar unos cuantos euros xD)

Enlace a la web: 

• https://id-ransomware.malwarehunterteam.com/index.php

Fuente de la entrada:

• http://blog.segu-info.com.ar/2016/04/id-ransomware-detecta-tipos-de.html

Sed Buenos ;) 

Estafar Con El CiberCrimen Es Muy Fácil.

Google puede ser nuestro mejor amigo y el peor al mismo tiempo dependiendo de lo que busquemos, en una era donde creemos que todo se puede encontrar en Google nuestro sentido común puede ser nuestro mejor aliado.

¿A que viene esto? Bueno, solo hace falta ver la cantidad de gente quiere aprender a hackear la cuenta de Facebook o la de correo electrónico de su novio/a por que ha oído a cierto hacker con gorro hablando de la recuperación de cuentas  y quieren lograrlo con una simple App o búsqueda en su buscador favorito. 

Pues bueno espero que el mismo hacker con gorro os quite esas oscuras tentaciones y al menos, os empuje a estudiar seguridad informática aun que sea para saber que tipo de app estamos instalando en nuestros sistemas.

Sed Buenos ;) 

Eventos y Python Around the World

Hoy buscando eventos de seguridad informática no se porque, he acabado mirando librerías de Python chulas por si se me ocurría alguna idea y al final he acabado en la página de Python Events.

Como bien reza el título de la página engloba una gran recopilación de eventos relacionados con Python localizados en todo el mundo, así que ha sido un hallazgo bastante curioso y supongo que a vosotros también os irá bien estar actualizados de estos eventos: 

Enlace a la página: 

• http://lmorillas.github.io/python_events/

Sed Buenos ;) 

Practical Web Hacking.- Hackea Tranquilo

Algunos ya sabréis que antes de mi anterior trabajo, me dedicaba ha hacer pentesting en una web, reportaba las vulnerabilidades y perseguía para que las arreglaran. Bueno la verdad es que o hacías eso o te dedicaba a ir buscando blancos para practicar de una forma "poco legal". 

Ahora, Infosec ha sacado otro desafío basado en web para que le demos fuerte y flojo.

Aquí tenéis el enlace a la CTF: 

• http://ctf.infosecinstitute.com/ctf2/

Bueno, se que puede ser un poco duro, pero si queréis aprender de verdad deberíais intentarlo por vosotros mismos pero, por si se os hace cuesta arriba os dejo el enlace a la fuente de esta noticia donde están las soluciones.  

• http://blog.segu-info.com.ar/2016/03/solucion-del-web-hacking-ctf-del.html

Sed Buenos ;)

Pivot Project.- Desafios de Seguridad

Algunos ya sabrán que hoy es fiesta por Barcelona y como tengo mucho tiempo or delante entre hoy y el fin de semana. Así que buscando cosas para publicar o alguna curiosidad para matar el tiempo he dado con el Proyecto Pivot.

Por lo que he podido ver los desafíos van desde hacer Port scaning con Python hasta hacer un forense, hasta tocar el WireShark. La verdad es que es muy interesante y si crece puede que tengamos una buena base para practicar.

Os dejo la URL aquí:

• http://www.pivotproject.org/

Sed Buenos y aprended mas ;) 

¿Tu Perfil de Twitter es Seguro?

Hoy, en mi país, es otro de los días donde nos regalamos cosas los unos a los otros. Así que me gustaría compartir con todos la manera de poder analizar nuestras cuentas de Twitter a la búsqueda de links que puedan ser maliciosos ya si nosotros fuéramos malos tambien "espamearimos" links maliciosos por estas redes como si no hubiera un mañana. 

ESET ha pensado en ello y nos ofrece una pagina web donde podemos analizar nuestra cuenta en busca de estos enlaces. Su funcionamiento es muy fácil, Eset analiza todos los enlaces que has o ten han enviado y los relaciona con los enlaces a sitios maliciosos que tienen en sus bases de datos (previamente descubiertos). Si hay relación quiere decir que tu cuenta/perfil no es seguro y tendrías que tener precaución al enlace en cuestión. 

Yo he hecho la prueba y la verdad es que me ha gustado mucho el resultado: 

 

Aquí os dejo el enlace por si tenéis curiosidad:  

• https://socialmediascanner.eset.com/

Sed Buenos ;)