Es una abordaremos este interesante tema el de realizar un proceso de Pentesting con Docker, se preguntaran como realizarlo o que tiene que ver es lanzar las herramientas desde Docker hasta donde vi consume menos recursos que una maquina virtual y es mas practico trabajar con ello. Saquen ustedes sus conclusiones, y comenten que ya retornamos con el mismo ritmo de siempre en el blog. Regards, Snifer

El primer paso ya fue dado el día Domingo, al realizar el examen de Offensive Security el WIFU ya para después lograr obtener el OSWP que hace un par de horas me llego la notificación respectiva indicando que aprobé el examen y en 80 días aproximadamente me llega la certificación a casa.  Para mi es un logro al esfuerzo y dedicación que tuve para ir contra viento y marea para lograrlo pero honestamente el WIFU solo fue el comienzo ya que desde mi punto de vista veo las certificaciones de Offensive de la siguiente forma:

Después de estas 2 ultimas semanas de paro en el blog a partir de hoy retornamos con las entradas, como es costumbre cada día compartiendo y aprendiendo lo poco que voy viendo y conociendo, espero continuar y seguir el ritmo. Como saben estuve preparándome para rendir el** OSWP de Offensive Security** el día Domingo rendí el examen, logre terminar las pruebas que me dieron y ayer Lunes mande el documento, ando ahora a la espera de la respuesta cuando complete los retos me sentí así.

Continuando con las funcionalidades de la tool Zed Attack Proxy, que por cierto hace poquitos días se ha liberado la versión 2.4.1 y pueden actualizar con ctrl+u o “ayuda - comprobar actualizaciones” si es que al abrirlo no les ha ofrecido actualizar, vamos a ver en ésta entrada las características de spidering que presenta y sus diferencias. Un crawling o spidering es una herramienta, o en éste caso una funcionalidad de Zap, que sirve para identificar los enlaces existentes en un target, de ésta manera, nos podemos hacer una idea de la manera en la que está compuesta el sitio a analizar e identificar posibles directorios o archivos sensibles que nos pueden ser útiles a la hora de nuestra auditoría.

Radare2 es un framework de ingeniería inversa y análisis de ficheros binarios, estuve viendo recién hace dos días sobre el ya que necesitaba analizar un fichero en el lado forense específicamente y por ello les hablo de Radare2 no de Radare la primera versión, que nació en el 2006 como una herramienta forense; un editor hexadecimal de 64 bits para hacer búsquedas en discos duros, 4 años después el desarrollador Pancake decidió reescribirlo y darle mas potencial.

Este manual es una guia creado por el Equipo Rojo Red Team, la cual tiene referencias al uso básico de Linux y Windows ademas de contar con CheatSheets relacionados a la linea de comandos DoS, Shell como la quieras llamar ;). Un punto importante de este manual para mi es que nos reduce el tiempo en un pentest ya que viene con la guia para el proceso de un pentesting desde linea de comandos ya estemos en Windows GNU/Linux segun el caso donde nos encontremos, por ahí vi que ya se tiene una versión 3 pueden sumergirse y ver donde lo encuentran.

Explotando el potencial de Ruby despues de contar con una session de meterpreter, es lo que nos muestra en esta entrada MagoAstral la cual compartió en UC, espero les agrade y vean el uso que se le puede dar. Estimado lector vuelvo a ser yo MagoAstral, en esta ocasión les mostraré como sacar jugo extra a nuestro framework de explotación favorito es obvio que en todos o casi todos nuestros test de explotación acabamos con una sesión y es en esa fase de “post-explotación” donde hoy nos centraremos.