Subgraph OS es un sistema operativo basado en Debian que se ha lanzado en su fase Alpha hace pocos días, sus desarrolladores, los mismo que hicieron la tool de análisis web Vega, son los miembros de la open source security company Subgraph con David como presidente. Esta distribución está caracterizada por cuatro pilares fundamentales: Amigable: como consideran que la usabilidad y la seguridad no son excluyentes una de la otra, el SO posee un entorno amigable y sencillo manejo especialmente sobre las herramientas de privacidad.

La siguiente serie de post surge de dos disparadores, uno de ellos fue un comentario sobre la dificultad para escalar privilegios en la vm del desafío que presentamos como finalización de la serie de penetration with kali. El segundo, leer en un writeup sobre un script llamado linuxprivchecker.py, con lo cual decidí buscar más información sobre el proceso de escalación de privilegios para mejorar mis skills y compartirlo a modo de resumen.

Llegamos al final de ésta serie de post sobre penetration whit Kali Linux, hoy veremos la forma de resolver el desafío propuesto hace dos semanas (se extendió una semana por pedido). La solución, para su sorpresa no está hecha en Kali, sino en windows desde dos herramientas diferentes. Al final del post está la explicación del por qué. Veremos la solución desde babun sobre sistema operativo windows. El descubrimiento de puertos y servicios se puede realizar desde nmap o zenmap.

Quiero compartir en esta oportunidad la serie de entradas de Pentesting con Kali lo cual estan recopiladas en uno solo y a la vez se tiene como objetivo si se sigue la serie iran en la misma página con el fin de organizar un poco y que este al alcanze de todos se que esta entrada no es nada informativa ni tecnica pero al menos es para dar a conocer sobre los cambios y mejoras que se vienen en el blog, dar las gracias a @K2R4y por la colaboración y las ideas brindadas.

Llegamos al último post de ésta serie de penetration with kali, espero que lo hayan disfrutado tanto como yo escribiendo y compartiendo. Tuve un par de ideas para éste último post, pero al final me decidí por armar un pequeño desafío bastante sencillo en el cual van a poder aplicar varias cosas de las que hemos visto a lo largo de éstas entradas. Aquí tienen los enlaces para descargar el .

Llegamos al último post sobre metasploit, en éste veremos algo de pivoting, escalamiento de privilegios y mantenimiento de acceso. Una vez que ingresamos al equipo, la idea es poder mantener el acceso por el mayor tiempo posible, para esto es conveniente movernos de proceso y escalar privilegios. Como podemos ver en la máquina víctima con windows 7, hemos ingresado y tenemos privilegios de administrador (mi equipo víctima se llama root), sin embargo buscaremos obtener privilegios de system authority

Para esta entrada utilizaremos, además del kali una vm con metasploitable. Pueden usar la misma que hemos utilizado anteriormente. Antes que nada, conectaremos la base de datos postgresql con metasploit. Para esto debemos stopear tanto el servicio de postgresql como el de metasploit si los tenemos corriendo. Para checkear si están activos o no corremos el comando service postgresql status en caso de que esté activo lo frenamos con service postgresql stop.