Bash
OpenSSL & SHC: Cifrando un script bash, Fecha de expiración y protegiendo el acceso
·  3 min read
En telegram específicamente en HDC preguntarón como proteger un script en bash para que nadie lo uso y solo sea usado por una persona, por lo cual esta entrada es elaborada para que este al alcance de todo aquel que necesite proteger y cifrar sus scripts como para tener la referencia en el blog por si en algun momento lo necesito. Hace tiempo leí de pasada sobre shc el cual cumple con la función de cifrar código en bash pasandolo por C, para contar con un binario además de adicionar algunas funcionalidades como ser tiempo de expiración y un mensaje, también se tendrá como se puede trabajar con OpenSSL para realizar el cifrado, esta mas que claro que existen caminos para hacer la inversa a estos procesos, pero ellos no serán analizados en esta entrada

Pentesting con Bash - Conceptos b√°sicos de scripting, Cap III
·  4 min read
Conocer scripting en bash es de gran ayuda en el día a día, no sólo para un pentester, sino para todo aquel que tenga que trabajar con una consola de bash. No voy a hacer valoraciones respecto a bash frente a otros lenguajes de scripting o programación. Pero como estamos en bash, voy a hablar un poco sobre como crear algunos scripts. Bash, está bajo el paradigma de programación estructurada, por lo tanto veremos algunos ejemplos de condicionales, bucles y como jugar con variables, principalmente, para automatizar tareas repetitivas y manuales.

Pentesting con Bash (Cap. II). Grep - uniq - sort - cut
·  2 min read
En √©ste post veremos algunos programas/comandos que son de gran ayuda a la hora de trabajar con textos y strings. Comenzaremos con una de las funcionalidades m√°s b√°sicas, grep (Global Regular Expression Print). Grep se utiliza para realizar b√ļsquedas dentro de un archivo. Utilizaremos un log de apache que lo pueden descargar desde el siguiente link para realizar una pr√°ctica. Descargamos con wget los logs del apache de ejemplo y luego con grep identificamos todas las ocasiones en las cuales se requiri√≥ el archivo ‚Äújordan‚ÄĚ.

Bash Bunny nuevo juguete para Pentesting
·  2 min read
Empezamos la semana laboral y el mes de MARZO con esta primera entrada la cual es mas que todo para mostrarles a todos los presentes del blog, sobre el nuevo proyecto de HAK5, si los mismos creadores de la Rubber Ducky. (No es post auspiciado ni nada ¬¨_¬¨¬į ya quisiera que sea as√≠.) A lo que venimos, es a comentar sobre el Bash Bunny un dispositivo de almacenamiento masivo, al estilo ducky con su lenguaje propio por decirlo as√≠ el cual tiene la opci√≥n de ejecutar scripts y adem√°s contar dentro de si mismo con un entorno de pentesting por lo tanto con la herramienta el Bunny es posible ejecutar nmap, realizar un descubrimiento de la red, crear portales cautivos y todo sea almacenado de manera local tenemos a nuestro alcance un TEU/AIO para ataques fisicos, si notan se tiene un dispositivo switch por decirlo as√≠ el cual puede encontrarse en 3 estados, Almacenamiento masivo, Script 1, Script 2, si estas en lo cierto no es necesario ya retirar ninguna memoria como se hace en la Rubber Ducky.

Pentesting con Bash (Cap. I - Intro)
·  4 min read
En ésta serie de entradas conoceremos funcionalidades y técnicas para poder aprovechar las ventajas de contar con bash durante el proceso de pentesting sumado a unas cuantas herramientas, todos desde la línea de comandos. Dividiremos el contenido en ocho capítulos con varios posts dentro de cada uno: Conociendo Bash. Personalizando nuestra shell. Conceptos básicos de scripting. Recolección de información. Reconocimiento del target. Identificación de vulnerabilidades. Parte I - Web.

Bash Scripting for Pen Testers x 2
·  1 min read
Son dos videos, que hoy reiniciando el ritmo del blog venimos a compartir calentando un poco y moviendo el ambiente para las entradas que tendremos de la mano de Eric o eso esperamos heee, ya desde este punto espero en lo personal picar el bicho de curiosear el trabajo de hacer un pentesting con Bash, y aun mas de la mano de Lee Baird que en estos dos videos nos da una perfecta incursion, ambos del mismo evento pero en a√Īos diferentes :), gracias a Gonza por pasar el primero en el grupo de C√°psulas SI.

Pentesting con Kali IV - Active Information gathering
·  8 min read
Una vez realizada la fase de information gathering pasiva, podemos pasar a la fase activa para identificar servicios más específicos. En el siguiente módulo veremos técnicas de recolección de información disponibles en en kali linux y algunos scripts personalizados para tal fin. A lo largo de este módulo, veremos algunos ejemplo prácticos para los cuales es recomendable contar con una máquina virtual windows xp o 7 nateada al igual que el kali como lo hicimos en la entrada de tools super esenciales