Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
¿Buscas páginas de pentesting?
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
« Blog
Entradas por tag: pentesting
02 de Junio, 2015    General

Pentesting contra servicios ocultos en TOR – Parte 1

El sábado 30 de mayo realice una pequeña charla con los chicos de GR2Dest en la que hablé sobre anonimato con TOR y pentesting contra servicios ocultos. En dicha charla me centre especialmente en actividades de pentesting contra servicios ocultos en la red de TOR y si bien es cierto que no es algo complicado, creo que muchas personas no saben o no entienden como hacerlo. Por ese motivo me he animado a escribir un par de artículos explicando la forma en la que puedes utilizar algunas de las herramientas de pentesting más habituales para atacar los servicios ocultos que se encuentran en la red de TOR. Este es el primero de ellos, espero que sea de tu agrado y te resulte informativo.

Antes de comenzar, intentaré aclarar algunas cuestiones que son importantes sobre TOR. Tal como mencionaba en el artículo ataca un servicio oculto si te atreves los servicios ocultos en TOR se registran en las autoridades de directorio, donde cada registro se incluye en una tabla hash que se... Continuar leyendo

Palabras claves , , , , , , , , ,
publicado por alonsoclaudio a las 21:16 · Sin comentarios  ·  Recomendar
 
20 de Mayo, 2015    General

The Pentesters Framework

La empresa Trusted Sec, conocidos por sus trabajos y por sus herramientas, como por ejemplo Social Enigeering Toolkit, han liberado un nuevo framework de Pentesting. En este nuevo framework podemos encontrar diferentes herramientas, entre ellas SET. La idea conceptual de este framework es reunir una serie de herramientas relacionadas con el pentesting y proporcionar al pentester la posibilidad de tener las herramientas actualizadas y al alcance una serie de comandos. 

Palabras claves , , , ,
publicado por alonsoclaudio a las 11:19 · Sin comentarios  ·  Recomendar
 
17 de Abril, 2015    General

Python


En el post anterior se ha visto la forma en la que se puede utilizar la librería python-twitter para acceder al inmenso volumen de información almacenada en Twitter. Dicha librería es capaz de utilizar los servicios REST que dispone Twitter para que los desarrolladores puedan acceder a su plataforma de forma programática. Así es posible extraer información sobre cuentas públicas en Twitter y realizar búsquedas aplicando varios criterios. En este artículo mencionaré otra librería frecuentemente utilizada en procesos relacionados con OSINT, dicha librería es “google-api-python-client”. Se trata de una librería que cuenta con clases y utilidades para extraer información pública contenida en varios de los servicios de Google.
El proceso de instalación de esta librería es bastante trivial y se puede llevar a cabo utilizando “pip”, “easy_install” o tirando directamente del código fuente que se encuentra alojado en la siguiente ruta: ... Continuar leyendo

Palabras claves
publicado por alonsoclaudio a las 15:57 · Sin comentarios  ·  Recomendar
 
12 de Diciembre, 2014    General

Atacar un servidor Windows usando llamadas WMI

Los sistemas operativos Windows están creados con un conjunto de clases e instancias de estas en objetos que permiten controlar las funciones de toda la plataforma. Este tipo de componentes tienen una interfaz de operación implementada siguiendo los estándares de Web-Based Enterprise Management y Common Information Model y se los conoce como WMI - Windows Management Instrumentation -. Todo esto lo que abre es la puerta para que los objetos que dan vida a los sistemas operativos de Microsoft Windows puedan ser utilizados mediante este inferfaz WMI desde aplicaciones hechas a mano o herramientas del sistema que lo utilicen.
Palabras claves , , , , , , ,
publicado por alonsoclaudio a las 00:17 · Sin comentarios  ·  Recomendar
 
03 de Octubre, 2014    General

Ataques de Phishing con código Punycode: This is Espaarta

Cuando hemos tenido que hacer algún test de intrusión con una prueba de phishing a una compañía para testear cuantos de sus empleados están preparados contra un ataque dirigido - del mismo modo que nos contaba hace poco un amigo con la prueba de phishing que hizo en su propia empresa  - no hemos escatimado en la compra del dominio más adecuado para que el ataque fuera más creíble.

Figura 1: Dominios de phishing visualmente similares con PunyCode

Para ello se compra un nombre de dominio que sea visualmente similar y se monta en él es servicio de prueba. Los trucos habituales es jugar con la representación visual de los dominios, por ejemplo cambiando letras similares como la I "i mayúscula" y la... Continuar leyendo
Palabras claves , , ,
publicado por alonsoclaudio a las 11:33 · Sin comentarios  ·  Recomendar
 
14 de Septiembre, 2014    General

XSSPOSED: El archivo de los bugs XSS en Internet

Al igual que Archive.org guarda las copias de todas las webs que puede de Internet, y que Zone-h tiene el archivo de los Defacements que se han hecho a las páginas web, XSSPOSED es una web que archiva y premia a los cazadores de bugs XSS (y Open Redirects) en Internet. En él se pueden acceder a los bugs que han sido encontrados y reportados en la web organizados por importancia de la web o por fecha de reporte, además de permitir ver quiénes son los mejores cazadores de XSS en Internet.

... Continuar leyendo
Palabras claves , , , ,
publicado por alonsoclaudio a las 15:00 · Sin comentarios  ·  Recomendar
 
11 de Julio, 2014    General

Mitigación de ataques Pass-the-Hash y Pass-the-Ticket

Cuando una empresa tiene una red con Active Directory es necesario preocuparse por la seguridad de éste, ya que afecta a la seguridad de toda la organización. Dentro de las medidas de seguridad que se pueden poner se encuentran las que entran dentro de la fase de fortificación de la plataforma, más las que añaden los equipos de seguridad con el objetivo de proteger los activos, detectar los ataques y mitigar su impacto.

Fortificar un servidor Windows Server con Active Directory consiste en seleccionar cuáles deben ser los roles y características que debe tener un servidor y aplicar todas las medidas que cumplan los principios de Mínimo Punto de Exposición (MPE), Mínimo Privilegio Posible (MPP) y Defensa en Profundidad (DeP). Es decir, una vez definido qué y cómo debe trabajar Active Directory, se pone en producción fortificado.

No obstante, no siempre la fortificación del sistema cierra todos los posibles ataques, ya sea por... Continuar leyendo
Palabras claves , , , , , , , , , ,
publicado por alonsoclaudio a las 08:13 · Sin comentarios  ·  Recomendar
 
08 de Julio, 2014    General

Teoría y práctica para la realización de un pentesting

Esta semana ya estará disponible el nuevo libro de 0xWord, que lleva por título "Ethical Hacking: Teoría y Práctica para la realización de un pentesting", escrito por nuestro compañero Pablo González (@pablogonzalezpe), y en el que plasma la experiencia en la realización de test de intrusión.

Figura 1: Ethical Hacking - Teoría y Práctica para la realización de un pentesting

Es el libro número 30 de la Colección de libros de Seguridad Informática y Técnicas Hacking de 0xWord y dentro de poco estará también en... Continuar leyendo
Palabras claves , , , ,
publicado por alonsoclaudio a las 23:07 · Sin comentarios  ·  Recomendar
 
CALENDARIO
Ver mes anterior Noviembre 2020 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
2930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
550 Comentarios: alex, marcus maximilliano, FRANK TODD, [...] ...
» Microsoft instalará puertas traseras en todos sus sistemas
2 Comentarios: Jessica Smith, Janet
» Samsung presenta el teléfono de tipo concha más potente del mercado
1 Comentario: Janet
» Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite
1 Comentario: Janet
» Vulnerabilidades de cross-site scripting en IBM Domino Web Server
1 Comentario: Janet
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad