ChulloHack

¿Qué es Cobit?

Bernardo Damele nos hizo saber sobre la nueva versión de su herramienta desarrollada sqlmap, esta herramienta es una de mis preferidas para las auditorías ya que es de fácil uso y tiene muy buena documentación. Recordemos que sqlmap es una herramienta open source que automatiza la inyeccion sql. Su objetivo es penetrar si es que se descubre la vulnerabilidad de este tipo en alguna aplicacion web. Se puede escoger entre varias opciones como realizar un fingerprint al gestor de la base de datos. Se puede obtener sesiones de usuario, enumerar usuarios y password has hes, inclusive dumpear tablas completas, ejecutar comandos arbitrarios en el sistema operativo, establecer una conexion fuera de banda entre elatacante y el servidor de la base de datos via Metasploit payload stager. Continua leyendo »

Una Base de Datos se encuentra conformada por tablas que son manejadas por diferentes operaciones como modificación, inserción o eliminación de registros; estos son realizados mediante código SQL (Structure Query Language). Entonces, la inyección Sql es una técnica que normalmente se realiza a un campo de una aplicación  Web (por ejemplo, formularios, validación de usuario, campo de busqueda, etc)  o por medio de una URL. Esta técnica te permite el acceso no autorizado a la base de datos e incluso si el nivel de intrusión es mayor se podría a llegar a tener el control del sistema operativo.

Cabe recordar que segun varias encuestas de vulnerabilidades de aplicaciones Web, la inyección SQL, esta entre las tres primeras. También, cada gestor de base de datos tiene su propio lenguaje SQL, sin embargo, las diferencias son mínimas. Continua leyendo »

Milw0rm volvio a estar online, hace unos días recibimos las malas noticias de Str0ke de abandonar el proyecto por falta de tiempo, sin embargo, se dice que Str0ke habría decidido no abandonarlo gracias a que unos amigos se encargarian de evaluar y publicar los exploits que antes lo hacia solo.

También habría ayudado los miles de correos de los usuarios que le pidieron que no dejara el proyecto. Cabe resaltar que su servidor se sobrecargo la semana pasada por el anuncio que hizo, y muchos usuarios trataron de descargar la mayor cantidad de exploits por esta razón tuvo que cambiar de servidor a uno más potente.

http://www.milw0rm.com

Despues de varias semanas de correcciones y últimar detalles, se ha liberado la versión 3 y en español de la guía de pruebas OWASP, entre sus categorías se encuentran:

• Juntar de información
• Pruebas de autenticación, de permisos, gestión de sesiones, validación de datos de entrada
• Pruebas de denegación de servicio.
• Pruebas referentes a la tecnología AJAX. Continua leyendo »

Ningun whitehat o blackhat puede negar haber utilizado milw(cero)rm, ya que facilitaba la ubicación de exploits y pruebas de concepto para demostraciones de la explotacion de dichas vulnerabilidad, además de su formidable distribución y orden de los mismos.

El mundo del hacking y de la seguridad informática ha quedado anonadado ante el semejante hecho. Su creador Str(cero)ke ha manifestado que no puede seguir con el proyecto por problemas de tiempo. Aquí el mensaje en el header de su pagina, sus palabras de despedida: Continua leyendo »

Esta herramienta sirve para romper claves de Windows, con tablas Rainbow. Es casi un SO muy pequeño con interfaz grafica y es multiplataforma, bajo licencia GPL. Inclusive puede tiene una versión LiveCD, no necesitas instalarlo. Existen versiones orientadas a XP y VISTA.

Ophcrack carga los hashes del archivo SAM y los compara con las tablas rainbow consiguiendo así la clave o password del sistema.

Estas herramientas se distribuyen a los usuarios para hacer tareas de recuperación de claves propias, es ilegal obtener claves ajenas sin el consentimiento del propietario.

Aquí puedes encontrar esta herramienta: http://ophcrack.sourceforge.net/

Secunia PSI es una herramienta gratuita, diseñada para proteger tu ordenador de las vulnerabilidades de los programas. Los parches de los diferentes proveedores por lo general son gratuitas, Secunia PSI te ayuda a automatizar el proceso de descargar e instalar los parches para los programas que requieras, es decir, actua como un gestor de parches.

Esta herramienta es de gran ayuda ya que la mayoría de los ataques tienen como objetivo explotar las vulnerabilidades de los  programas del computador o fallas de código. Es por ella la gran necesidad de mantener tu software actualizado. Continua leyendo »

Kidoz es un navegador web diseñado exclusivamente para los niños, ya que no pueden salir más allá de las aplicaciones configuradas. Este navegador web infantil contiene actividades, juegos y videos online, ideal para no preocuparte por la salud mental de tus hijos. Continua leyendo »

La primera fase de un Hacking Ético es el reconocimiento, una de las técnicas utilizadas en esta fase es el Google Hacking, con esta técnicas utilizamos comandos del buscador de Google para hacer filtros avanzados. En este caso, haremos busquedas avanzadas de camaras mal configuradas que se administran por Internet, en muchas de ellas ni siquiera necesitamos autenticarnos. Los administradores de sistemas tienen que poner mayor atención a estos detalles importantes, ya que cualquier usuario podría espiar lo que sucede en estas camaras. Hay que recordar que podemos configurar nuestro site, para que el robot de Google no indexe la página de  administración de nuestras camaras en sus servidores. Continua leyendo »