Mostrando 21 a 28, de 28 entrada/s en total:
10 de Julio, 2014
□
General |
|
La herramienta Responder de SpiderLabs es una herramienta para la obtención pasiva de credenciales en la red.
Todo está escrito en Python pensando en la portabilidad, por lo que no
será necesario instalar ninguna herramienta extra ni añadir ningún
módulo adicional.
Lo ejecutas y escucha peticiones NBT-NS (NetBIOS Name Service), LLMNR
(Link-local Multicast Name Resolution) y mDNS (multicast Domain Name
System) y envenena al emisor. Cuando detecta una petición basada en el
nombre del sufijo (ver: http://support.microsoft.com/kb/163409) solicitará y almacenará las credenciales de la víctima.
Responder además viene con varios servidores de autenticación falsos
(HTTP/SMB/MSSQL/FTP/LDAP) que soportan NTLMv1/NTLMv2/LMv2, Extended
Security NTLMSSP y autenticación HTTP básica.
root@kali:~# git clone https://github.com/SpiderLabs/Responder.git
Contenido completo en fuente original HackPlayers |
|
publicado por
alonsoclaudio a las 21:28 · Sin comentarios
· Recomendar |
|
09 de Julio, 2014
□
General |
|
Los investigadores de Offensive Security utilizaron un viejo exploit
que se aprovecha de una debilidad en la forma en la que IE 8 maneja los
objetos en memoria con el fin de eludir ASLR y DEP y lo alteraron para
desactivar la protección ofrecida por EMET 4.1 update 1.
Dado que no conseguían eludir individualmente las técnicas de Heap Spray
y Stack Pivot, empezaron a pensar en una manera de desactivar todos
ellos a la vez, mediante el desarme de EMET. Y encontraron una variable
global en la sección ".data" en EMET.dll que puede activar o desactivar todas las protecciones ROP implementadas por EMET.
"Esto requiere que el atacante construya una cadena de ROP que va a
recuperar de forma dinámica la dirección base de EMET.dll y sobrescribir
la variable global con un cero".
El código completo está públicamente disponible: Internet Explorer 8 -... Continuar leyendo |
|
publicado por
alonsoclaudio a las 10:43 · Sin comentarios
· Recomendar |
|
07 de Julio, 2014
□
General |
|
Imaginemos que Pepe es una persona con conocimientos de seguridad
informática que, por simple curiosidad, se dedica a investigar en busca
de posibles fallos de seguridad.
Una noche, a las 3.00AM, descubre un fallo de seguridad grave en un SO
para móviles que permite al atacante hacerse con el control total del
teléfono. Pepe sabe perfectamente que tiene en sus manos una
vulnerabilidad gravísima, para la que hasta donde él sabe no hay
solución posible, lo que se denomina un 0-day [1].
Nervioso, Pepe piensa en lo que podría hacer, y multitud de posibilidades saltan a su mente.
Podría... Continuar leyendo |
|
publicado por
alonsoclaudio a las 13:57 · Sin comentarios
· Recomendar |
|
01 de Julio, 2014
□
General |
|
Por Mauricio Urizar
He recibido algunas consultas sobre como utilizar Mimikatz 2.0. Esta herramienta puede ser particularmente útil durante la etapa de explotación de vulnerabilidades en un servicio de pentest,
por ejemplo la explotación de una aplicación web vulnerable a carga de
archivos (File Upload) sin restricciones en muchos ataques es el
primer paso para tomar control del sistema objetivo.
A continuación, el ataque sólo tiene que encontrar la manera de ejecutar código luego de subir la respectiva webshell "phpshel.php" vemos que nos encontramos con permisos de "NT AUTHORITYSYSTEM"
y queremos extraer la clave del "Administrator", lo primero que
pensamos es "la hago con meterpreter" y cuando logramos subirlo el
antivirus del servidor web afectado reconoce dicha herramienta como
código "malicioso"...
... Continuar leyendo |
|
publicado por
alonsoclaudio a las 22:45 · Sin comentarios
· Recomendar |
|
10 de Junio, 2014
□
General |
|
Alan Turing, prestigioso matemático de finales del siglo pasado y uno de los considerados padrinos de la informática, escribió un artículo en 1950 llamado "Computer Machinery and Intelligence" con un desafío a todas las máquinas. Llamada Test de Turing,
su objetivo es averiguar si una máquina puede ser inteligente; en otras
palabras y simplificando: permite averiguar si un ordenador es capaz de
pensar por sí mismo.
Hasta ahora esa prueba no había sido superada. Digo "hasta ahora", porque la Universidad de Reading ha presentado una máquina que dice que es capaz de ello. Su nombre es Eugene, es un niño de 13 años y nació en San Petersburgo, desarrollado por Vladimir Veselov y Eugene Demchenko.
Eugene fue ejecutado en un superordenador y, por primera vez, ha sido
capaz de confundir a los jueces encargados durante más del 30% del
tiempo empleado para las charlas. Eugene, concretamente, consiguió
confundirles durante el 33% del tiempo. Es importante matizar,... Continuar leyendo |
|
publicado por
alonsoclaudio a las 06:40 · Sin comentarios
· Recomendar |
|
26 de Mayo, 2014
□
General |
|
Hoy te contamos de un proyecto que mide cuán fácil puede ser ubicarte
geográficamente sólo leyendo datos en tu navegador web. ¡Hacé la
prueba!
En este espacio hablamos mucho sobre privacidad, intimidad, y
derechos que no es posible ejercer (y que en consecuencia podría decirse
que no existen). Cada vez que lo hacemos, aparecen comentarios del tipo
“bienvenidos a Internet”, “la privacidad no existe”, “no tengo nada que
ocultar” y otras frases similares. Como siempre, insistimos en que
antes de hacer esas afirmaciones, es importante saber para poder
decidir, y que si alguien decide que prefiere mantener a resguardo su
información, debe poder hacerlo.
Cuando decimos “trackear”, “trazar” o “tracear” nos referimos a la
posibilidad de asociar un navegador y un sistema en distintos momentos,
horarios y en sitios web diferentes
Por otra parte, el hecho de que la realidad no sea la que queremos
que sea, tiene que ser un argumento para cambiarla, y no para dar
perdida ... Continuar leyendo |
|
publicado por
alonsoclaudio a las 00:30 · Sin comentarios
· Recomendar |
|
23 de Octubre, 2013
□
General |
|
Recientemente estaba reuniendo algunos materiales de desarrollo para
miembros noveles de mi equipo y me frustré un poco hora tras hora en la
búsqueda y recolección de materiales.
(De repente ¡algo increíble apareció!)
Ese algo (para quienes recuerden de mi archivo de casos de aventuras)
aparentemente tiene una gran cantidad de cosas que usa en sus cursos y
me dejó enlace al sitio de Aman Hardikar con un aparentemente ilimitado
mapa mental de bondades de test de penetración.
Esta es una de la lista más completas disponible de enlaces a programas
de laboratorios para test de penetración que uno nunca va a encontrar.
La tabla al final de la página tiene enlaces bien categorizados para
laboratorios para:
- Sistemas Operativos vulnerables
- Aplicaciones Web vulnerables
- Sitios de pruebas de seguridad
- Sitios para mejorar habilidades de hacking
- Sitios de CTF
- y ¡mucho más!
Diríjase aquí al sitio de Aman.
|
|
publicado por
alonsoclaudio a las 06:59 · Sin comentarios
· Recomendar |
|
|
CALENDARIO |
|
Mayo 2024 |
|
|
DO | LU | MA | MI | JU | VI | SA | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
|
| |
AL MARGEN |
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes |
(Técnicos en Informática Personal y Profesional) |
| |
|