Ya viernes y nos queda un largo fin de semana para poder jugar un poco, hace unos días el equipo Highsec el cual nos brinda un equipo al cual tenemos que realizar todo el proceso de pentesting, bajo un entorno controlado al final de todo el proceso debemos de entregar un documento debidamente documentado, aqui una captura de lo que nos brindan y el Escenario!. Te animas! vamos que si yo ya ando metido, Para acceder al capture the flag y enterarnos mas del proceso para realizar el Reto Highsec solo accedemos y nos vamos con todo!

Es 100% seguro que cuando uno anda en un pentesting o haciendo alguna maldad por ahi, lo cual necesitamos saber cual es el resultado de un Hash obtenido por ello podemos hacer uso de findmyhash un script realizado en Python el cual ya va en la version 1.1.2 y pronto sale la version 2.0, lo que hace el script es realizar una búsqueda en las principales base de datos de Hash la cual realiza la consulta si encuentra el match nos devuelve una respuesta no esta demás, antes de irnos a fuerza bruta realizar una búsqueda online quizás sea que ya anda en la red el HASH.

Buenas ya comenzamos el dia, y ahora venimos con un poco de Netcat la navaja suiza, este es un tip por asi decirlo el cual nos sirve para realizar un simple chat cliente servidor para realizar una conexion entre dos equipos, esto puede servir para validar si un firewall realiza el filtrado correcto de puertos. Lo primero que necesitamos es que en el servidor el que estará a la escucha de una conexion entrante ya sea cualquier SO, los comandos son los mismos en este caso la prueba es realizada entre dos maquinas virtuales con BackTrack, lo que realizamos es en una terminal lanzar el siguiente comando : nc -n -v -1 -p (Puerto que se desee)

Es un gusto anunciar ya terminando el día, la Biblioteca de Underc0de la cual es un esfuerzo de parte de todo el staff como así también de gran parte de los usuarios del foro el cual es un proyecto que esta iniciando recién, por ello es necesario que apoyemos cabe resaltar que los archivos subidos los pdfs no todos son gratuitos o con licencia para poder ser compartido, por ello teniendo en cuenta esto podemos conocer la biblioteca!

Hace un par de días bueno semanas creo vinimos con ANMAP! ahora le toca a DroidSQLi es la primera herramienta de inyección MySQL automatizado para Android, la cual es usada para realizar pruebas a los aplicativos web que están con MySQL. DroidSQLi viene con las siguientes tecnicas usadas, las cuales son: - Inyección basada Tiempo - Inyección de Ciegos - Inyección basado Error - Inyección normal Evadiendo filtros simples, obvio que no podra filtros complicados pero es una herramienta bastante completa que no debe faltarnos en nuestro arsenal de Android!

Energizando mas al pequeño Droide, ahora con anmap lo cual es nmap desde nuestro Android el proyecto ya se encontraba desde el 2011 pero mis dichosos ojos recién lo conocieron aun mas ahora me servirá de mucho ya que lo usare en el trabajo, como veran en la captura siguiente tenemos una interfaz simple y sencilla para hacer uso de el, ya que ando conectado en casa me puse a hacer un scan a un equipo de la red teniendo como resultado.

Nmap toda una navaja suiza para un pentesting, como vimos en un post anterior en el blog como instalarlo desde las fuentes oficiales, ahora nos toca dar nuestros primeros pasos en el mismo iremos aprendiendo en esta serie de tutoriales un poco mas de esta navaja suiza creciendo nuestros conocimientos espero que me sigan en este aprendizaje que inicio con nmap. Y no asi venga como un querido Anónimo que publico sus comentarios en el blog que no aportan nada y demas, repito que el blog fue creado para compartir conocimiento, investigar y ademas de ello es una bitácora personal, apuntes de referencia.