Este video es un Workshop de 3 horas apenas logre ver los primeros 30 minutos una charla bastante interesante la cual no tiene perdida alguna verla a fondo, y se los digo porque ya la ando bajando para verla con calma y escucharla a detalle. Android Exploitation from Positive Technologies on Vimeo. Una entrada bastante corta pero vale la pena ;). Regards, Snifer

Continuamos la serie de BurpSuite, veremos otro punto del TOP 10 Owasp el cual aborda las configuraciones de seguridad incorrecta, que son dadas por las malas practicas de los desarrolladores y los encargados de administración del server ya que muchas veces se considera lo siguiente: “Lo importante es que funcione como, no importa”. A lo que se criaron bueno a lo que se educarón solo algunos no generalizo. Entonces en este punto realizaremos la busqueda de ficheros olvidados, los cuales llegan a ser explotados con el fin de obtener posibles privilegios todo en base a consultas realizando el ya conocido fuzzing que vimos con anterioridad descubriendo directorios por medio del spider o en su defecto realizando un discover.

Zap, como ya hemos visto en las entradas anteriores, posee una gran cantidad de funcionalidades. En ésta entrada, veremos la forma de realizar un fuzzing sobre una aplicación web para identificar inyecciones de tipo sql. El fuzzing, es una técnica mediante la cual se puede comprobar la forma en la que responde, en éste caso una web application, ante el ingreso de datos aleatorios o secuenciales para para identificar directorios o archivos, detectar vulnerabilidades de inyección de código e incluso para realizar validaciones por fuerza bruta.

Es una abordaremos este interesante tema el de realizar un proceso de Pentesting con Docker, se preguntaran como realizarlo o que tiene que ver es lanzar las herramientas desde Docker hasta donde vi consume menos recursos que una maquina virtual y es mas practico trabajar con ello. Saquen ustedes sus conclusiones, y comenten que ya retornamos con el mismo ritmo de siempre en el blog. Regards, Snifer

Continuando con las funcionalidades de la tool Zed Attack Proxy, que por cierto hace poquitos días se ha liberado la versión 2.4.1 y pueden actualizar con ctrl+u o “ayuda - comprobar actualizaciones” si es que al abrirlo no les ha ofrecido actualizar, vamos a ver en ésta entrada las características de spidering que presenta y sus diferencias. Un crawling o spidering es una herramienta, o en éste caso una funcionalidad de Zap, que sirve para identificar los enlaces existentes en un target, de ésta manera, nos podemos hacer una idea de la manera en la que está compuesta el sitio a analizar e identificar posibles directorios o archivos sensibles que nos pueden ser útiles a la hora de nuestra auditoría.

Este manual es una guia creado por el Equipo Rojo Red Team, la cual tiene referencias al uso básico de Linux y Windows ademas de contar con CheatSheets relacionados a la linea de comandos DoS, Shell como la quieras llamar ;). Un punto importante de este manual para mi es que nos reduce el tiempo en un pentest ya que viene con la guia para el proceso de un pentesting desde linea de comandos ya estemos en Windows GNU/Linux segun el caso donde nos encontremos, por ahí vi que ya se tiene una versión 3 pueden sumergirse y ver donde lo encuentran.

Explotando el potencial de Ruby despues de contar con una session de meterpreter, es lo que nos muestra en esta entrada MagoAstral la cual compartió en UC, espero les agrade y vean el uso que se le puede dar. Estimado lector vuelvo a ser yo MagoAstral, en esta ocasión les mostraré como sacar jugo extra a nuestro framework de explotación favorito es obvio que en todos o casi todos nuestros test de explotación acabamos con una sesión y es en esa fase de “post-explotación” donde hoy nos centraremos.