La primera máquina vulnerable del año que me pongo a toquetear y la elegida fue PRIMER, pero como ven en el título del post es la PARTE I, debido a que toca leer con entendimiento los datos que se obtienen en la miniShell de la web como verán solo logre acceder con un usuario, una máquina que sin duda tiene su grado de complejidad y aprendizaje además que ese Login se resistio a un SQLi espero en la segunda parte lograr romper por ese lado ya que en la misma descripción del reto nos menciona que no debemos de salir de dicho lado.

Dando continuidad a las entradas de resumen de la semana del blog, en el cual comparto los enlaces de todas las entradas realizadas esta semana. Domingo 08 de Enero - Realizamos la entrada resumen así com esta donde compartimos las 6 entradas de la semana, por si desean seguir el anterior resumen. La loca semana en Snifer@L4b’s - XXIII Lunes 09 de Enero - El Lunes se trajo al blog, un video curso de Metasploit el cual esta pensado para ser revisado en 4 dias con 13 videos por decirlo así depende de cada uno el tiempo para conocer sobre este Framework de Pentesting.

Podcast de Dame una Shell, con nuevas noticias especificamente dos las cuales son el Hackeo a Cellebrite, y el Backdoor en Whatsapp. Este episodio hablamos del Hackeo a Cellebrite, se cree que el atacante es Phineas Fisher el que ataco con anterioridad a HackingTeam, hablamos y comentamos sobre el feature backdoor de Whatsapp para acceder a las conversaciones, dos temas que lo abordamos en 15 minutos espero les agrade.

Web Application Hackers Handbook, es este fondo de escritorio, Wallpaper como lo quieran llamar el cual Jason Haddix aka @Jhaddix el pasado mes de Noviembre compartio por twitter. Este fondo de escritorio cuenta con el CheckList que mencionamos en una entrada anterior en el blog la cual es Check List - Mobile Application Testing II y además de ese CheckList tenemos una segunda entrada la cual es sobre OWASP Pentesting Check List si acceden a ambos se tiene una buena referencia para no perdernos en nuestros procesos de Pentesting Web, como mencionaba con anterioridad este Fondo de escritorio es del Libro Web Application Hackers Handbook, el cual tenemos ya disponible en nuestro pc para ir viendo lo que tenemos me parece interesante y fuera de lo normal, para tenerlo en el ordenador, les dejo el enlace al twitter directo para que lo puedan descargar como tambien subido al blog por si lo desean.

Como cada semana venimos esta vez a compartir un video perteneciente a los creadores de SamuraiWTF la distribución de pentesting,en el cual nos especifican que en el proceso de pentesting debemos de evolucionar a las nuevas tecnologías y no limitarnos a los actuales ya que todo cambia e incrementa la dificultad o se tiene una mayor factibilidad de explotación. Jason Gillam y Kevin Johnson de SecureIdea especifican y nos demuestran con ejemplos contra HTTP/2, CSP, CORS, API’s RESTful así tambien al finalizar la charla nos presentan la nueva versión de SamuraiWTF la 4.

En ésta serie de entradas conoceremos funcionalidades y técnicas para poder aprovechar las ventajas de contar con bash durante el proceso de pentesting sumado a unas cuantas herramientas, todos desde la línea de comandos. Dividiremos el contenido en ocho capítulos con varios posts dentro de cada uno: Conociendo Bash. Personalizando nuestra shell. Conceptos básicos de scripting. Recolección de información. Reconocimiento del target. Identificación de vulnerabilidades. Parte I - Web.

Segundo podcast de Dame una Shell en el cual nos vemos nuevamente realizando un cambio de formato espero que sea de su agrado quitamos el sonido del fondo que a algunos les molestaba, como tambien se trato de modular un poco el dispositivo de grabación para que no se escuche tan lejos la voz, espero sea de su agrado. Este episodio hablamos del Hackeo al FBI en el cual entra en tela de juicio la veracidad del mismo ya que los desarrolladores del CMS afectado en este caso PLONE mencionan que es un HOAX y el atacante especifica otra cosa, que por cierto el 0Day esta a 8btc a la venta, por otra parte, Mozilla apoya a la privacidad, secuestros de Base de Datos MongoDB al estilo Ransomware para que no se pierda de moda y mas en este podcast.