Me encuentro realizando pruebas de seguridad ;), y me tope con una aplicación en MongoDB, en lo cual procedi a revisar si contaba con alguna vulnerabilidad viendo de manera tradicional las inyecciones SQL, asi que en este proceso me puse a revisar material de referencia, para lograr o tratar de llegar lo mas cerca posible a mi objetivo.  En ello encontre lo primero un repositorio de cr0hn en el cual tiene payloads, para ataques de Inyección SQL contra noSQL MongoDB en este caso la instalación por decirlo asi basta con clonar y obtener los payloads de la siguiente manera o simplemente descargarlo.

Empezamos el año con el primero libro en ser compartido el cual es Google Hacking for Penetration Testers, honestamente no deberia de ser compartido este libro, si no tocaba la elaboración de la entrada de metasploit pero por problemas técnicos no fue posible terminar de desarrollar además que no me gusto como andaba quedando pero con el fin de no fallar con las entradas venimos con este libro. El libro es de 236 Páginas algo sumamente corto, y práctico con 12 Capítulos donde se abordan diferentes temas como ser:

Son dos videos, que hoy reiniciando el ritmo del blog venimos a compartir calentando un poco y moviendo el ambiente para las entradas que tendremos de la mano de Eric o eso esperamos heee, ya desde este punto espero en lo personal picar el bicho de curiosear el trabajo de hacer un pentesting con Bash, y aun mas de la mano de Lee Baird que en estos dos videos nos da una perfecta incursion, ambos del mismo evento pero en años diferentes :), gracias a Gonza por pasar el primero en el grupo de Cápsulas SI.

Esta totalmente gratuito, si como lo leen y saben cual es?. El dia de hoy al despertar como siempre me pongo a leer twitter y el feed además del correo en el trajin veo que Daniel Garcia aka cr0hn, libero su libro de Hacking y Manipulación de Paquetes IPV4 con Python y Scapy un libro que le tenia ganas desde hace tiempo recuerdo que tenia que comprarlo y se me hiba mas que todo por cuestión de tiempo, ahora al tenerlo gratuito espero darme el tiempo para leerlo y realizar pruebas, con el fin de aprender e ir compartiendo las pruebas realizadas

Vimos en la entrada de Pentesting con Metasploit: Workspaces y Escaneo de Puertos con db_nmap & nmap en el cual vimos como usar db_map el cual es como un wrapper del comando nmap por mencionarlo asi ya que con el mismo es posible realizar el barrido como si trabajaramos con NMAP. En esta entrada lo que veremos es la interacción de Metasploit con NMAP importando los resultados que se obtengan con un escaneo previamente realizado, ademas del como hacer uso del tipo de escaneo IDLE el cual veremos un poco de su origen y conceptos generales del mismo.

Como se dieron cuenta con el titulo del post hoy abordamos en el blog, un escalamiento de privilegios con mimikatz a travez de Empire Framework, haciendo uso del Pato (Rubber Ducky) como herramienta de ataque por decirlo así, tal cual como hable el dia de ayer en la entrada de Mejorar tu empleabilidad y/o liderar tu propia empresa esta es la entrada que tenia pensado armar. Herramientas necesarias Lo que necesitaremos para realizar este ataque por decirlo asi son las siguientes:

Despues de mucho tiempo vuelvo a recomendar un libro en el blog y en esta oportunidad es Coding for Penetration Testers el cual es una primera edición ya que recientemente salio la segunda. Lo que llega a abordar en este libro, es las etapas de un pentesting por medio de los diferentes lenguaje de Scripting siendo estos Bash, PowerShell, Python, Ruby, Perl pasando por un paso a paso de aprendizaje al menos lo básico de cada uno de ellos llegando hasta la explotación de vulnerabildiades web, les recomiendo que den una revisada y si puedan se nutran de ello que por mi parte andare tocando por Ruby, que se vera en proximas entradas de la mano de Metasploit en realidad de la serie Pentesting con Metasploit.