Como en la entrada anterior vimos el proceso para poder explotar un stack buffer overflow a partir de un fuzzing sobre una pequeña aplicación desarrollada para el ejemplo, en ésta entrada realizaremos la explotación de un software real llamado SLMail v5.5.0. Para este módulo necesitaremos descargar el SLMail sobre la máquina con Windows 7 que venimos utilizando, además el ollydbg (que ya lo vimos en la entrada anterior) y copiar el siguiente script en el Kali:

En el siguiente módulo aprenderemos los conceptos básicos sobre el desbordamiento de buffer sobre el stack. Analizaremos en un principio un pequeño programa desarrollado en el lenguaje de programación C con el debugger ollydbg. Acá esta el exe para que se descarguen, el código es el siguiente. La idea de éste ejercicio es lograr que el pequeño programa nos muestre el string ‘you win!’, para eso, debemos lograr desbordar el buffer y escribir sobre la cookie.

Con KdExploitMe, que es un proyecto creado con el fin de tener un entrenamiento para el desarrollo de exploits, incluyendo exploits con técnicas conocidas, al ser un driver de Kernel concebido con el fin de practicar hace uso de corrupción de memoria, explotando y logrando identificar falencias de seguridad, este tramo para lograrlo aún me falta y mucho! espero comenzar con esto a fin de año con el tiempo necesario ya que es una área que me llama la atención pero necesito empaparme de conocimiento.

Sheila aka @UnaPibaGeek abrió su blog llamado Se Me Cayo un (1) Exploit, como ella quiere llamarlo SMC1E antes de que les deje con el post realizado por ella, y les recomiendo que se den una vuelta por su blog personal, para mi no será Se Me Cayó un (1) Exploit será Sheila Me Traes un Elado sin h :P.  Después de encontrar una vulnerabilidad y explotarla manualmente, viene la pregunta: ¿cómo automatizo el ataque?

Hace un momento logre leer algo de Frameshock o algo así me sorprendió el nombre pensé que tenia que ver con alguna vulnerabilidad pero no fue así, grata fue mi sorpresa al notar que es un framework desarrollado por una persona que respeto solo por su profesionalidad y conocimiento en el área el resto lo dejamos ahí no mas xD, les hablo de HDBREAKER en el blog existen algunas entradas que traje de UC en su momento, esta propuesta que trae el y su “equipo” de desarrolladores la vi si mal no recuerdo el año pasado si la memoria no me falla, me mostró algo o quizás fue otro proyecto que sacará precien a la luz.

El sábado vi el tuit de @neosysforensics en el cual compartia Exploits para rootear android, ya sea locales o remotos, en el cual me llamo bastante la atención el listado me puse a curiosear un poco en los links compartidos y ahi di con la siguiente hoja de cálculo en la cual te da varios enlaces para volverse root en los dispositivos, identificando cada uno de ellos y a que version afecta, Hoja de Calculo cabe recordar que geo hot sacó su propia herramienta por decirlo así la cual te permite volverte root en el dispositivo en lo personal recomiendo hacer este proceso aunque!

Hey nuevamente con videos de @jdaanial autor del blog thehackerway.com solo que esta oportunidad no soy de Python Hacking, que por cierto ya actualizé los videos con los últimos que fueron subidos a su sitio, este nuevo canal es sobre Explotación de Software como su nombre lo indicada aprenderemos conceptos y bases para el desarrollo de exploits, detección de vulnerabilidades y todo un mundo por comenzar a descubrir es una serie de 33 videos en los cuales aprenderemos y veremos un poco mas de este mundo de la seguridad informática en una de sus facetas, adicional a estos dos canales ya nombrados estoy viendo subir otros videos relacionados a Metasploit y demás detalles que iremos viendo en los próximos días.