Antes de todo tenemos la máquina vulnerable en el siguiente enlace de VulbHUB. URL: USV: 2016 Primero necesitamos identificar el equipo dentro de la red, así que teniendo ambas VMs en NAT, busqué hosts activos con nmap -sn segmento de red. 192.168.17.135 es el target en este caso. Como la red está compuesta sólo por victima y atacante y muy probablemente el target no tenga ids o firewall que pueda bloquearme, realicé un descubrimiento de puertos y servicios bastante agresivo.

Hola a todos, en esta nueva entrada de Hacking 101 aprenderemos a identificar subdominios, con algunas herramientas como tambien para que nos puede llegar a servir esta identificación de subdominios en un proceso de auditoria o simple y pura validación de que no exista algun tipo de fuga de información por subdominios no autorizados. Las herramientas que veremos en esta entrada seran las siguientes: 1. Subrute dnsenum dnsmap

Este es un repositorio que siempre los manejo en los procesos de pentsting que realizo y la razon de ellos es porque se tiene una coleccion o listado como deseen llamarlo de ficheros de apoyo para las herramientas de Pentesting desde el descubrimiento de directorios, realizacion de Fuzzing, contraseñas comunes, numeros, usuarios y demas diccionarios que nos ayudaran estos los manejo con Burpsuite los cuales recientemente me ayudaron bastante en un analisis web.

Muchas veces damos siempre un pero de respuesta a todo, aun mas cuando tenemos que llegar a probar nuestros conocimientos me pasó mas de una vez, decir pero no tengo donde probar si funciona, pero no tengo tiempo o quien sabe tantos pero que vivimos, ahora ya no tendremos dicha escusa debido a que gracias a https://github.com/technoskald/coding-entertainment tenemos donde realizar pruebas y practicar todo lo aprendido como también descubrir nuevos retos en el transcurso del año, no se olviden que si conocen algunos que no esten en la lista pueden aportar al repositorio de Coding Entertainment por medio de un PULL REQUEST, les dejo con el listado del material para realizar las pruebas, y no se olviden….

El dia Lunes vinimos con el Source de Dendroid el troyano para Android que anda dando mucho de que hablar, desde que fue descubierto y ahora aun mas con el código expuesto las firmas de los antivirus andarán mas atentas, para pillar algunas variantes que ya es una realidad que las hay. Debido a ello en el blog andaremos jugando con este bichito dándole otro uso que no sea el de infectar por infectar si no, todo lo contrario será el de experimentar y conocer mas a fondo como tambien darle un uso etico o eso trataremos.

Este fin de semana me pase instalando aplicaciones y calentando el arsenal para mi encrucijada :), lo primero que tuve que hacer es instalar algunas aplicaciones entre ella fue WebSploit, por lo cual estos dias tendremos algunas entradas relacionadas a este framework. veremos los principales modulos. Para realizar la instalacion lo primero que se tiene que hacer es ir a su repositorio en sourforge y descargarlo, tras tenerlo procedemos a descomprirlo ustedes ya saben y conocen este proceso.

Como es de su conocimiento, esta semana comenze a meterme un poco con el desarrollo bajo FirefoxOS y en el proceso de investigación y revisión llegue al repositorio en GitHub de Damn Vulnerable FirefoxOS Application desde ahora DvFa la cual me llamo la atención debido a que con este proyecto quieren concientizar en el desarrollo de aplicaciones para esta plataforma teniendo en cuenta las siguiente vulnerabilidades de Owasp como saben la _inseguridad anda en todo lado, por ello nos presentan esta aplicación para que podamos ver y entender que al ser solo app web, no se sale del estandar mi app es segura.