domingo, 28 de abril de 2013

Pwned Bypass Hash En Wordpress Easy.

WordPress es un sistema de gestión de contenido (en inglés Content Management System, o CMS) enfocado a la creación de blogs (sitios web periódicamente actualizados). Desarrollado en PHP y MySQL, bajo licencia GPL y código modificable, tiene como fundador a Matt Mullenweg. WordPress fue creado a partir del desaparecido b2/cafelog y se ha convertido junto a Movable Type en el CMS más popular de la blogosfera y en el más popular con respecto a cualquier otro CMS de aplicación general.2 3 Las causas de su enorme crecimiento son, entre otras, su licencia, su facilidad de uso y sus características como gestor de contenidos.

Tenia tiempo de no actualizar el blog e estado enredado un poco en la universidad... pero hoy les escribo para compartirles este 0-day o vulnerabilidad, se trata de vulnerar la seguridad de Wordpress... Saltando su complicado Encriptado [$P$BcscrRue6GIZ.75fjOFE9ET3vZlNp50].

Lo que vamos a hacer es lo siguiente buscar e inyectar una web, una vez tenemos la base de datos procedemos a sacar los datos.

Smartphone Pentest Framework: herramienta para pentests de teléfonos inteligentes

Cuando hablamos de realizar un test de intrusión siempre pensamos en poner a prueba la seguridad de un servidor o red de servidores normalmente detrás de algún elemento de protección como un firewall. Todos los pentesters tienen su metodología y colección de herramientas pero, ¿y si les dijéramos que hicieran un pentest para un conjunto de teléfonos inteligentes dentro de una red Wi-Fi? Seguramente se verían sorprendidos...
hoy en día no soltamos los teléfonos móviles ni para mear... literalmente.

Piénsalo, si dentro del vagón del metro levantas la mirada verás que la mayoría de la gente viaja ensimismada mirando la pantallita de su smartphone. No sería arriegado asegurar que ya hay muchos más teléfonos inteligentes que ordenadores domésticos y ¿qué son si no pequeñas computadoras de bolsillo?. Sí, los pentests para smartphones serán cada vez más demandados...

Smartphone Pentest Framework (en adelante SPF) es una herramienta de seguridad de código abierto, diseñada precisamente para ayudar en la evaluación de la seguridad de los teléfonos inteligentes, es decir, contiene ataques en remoto, ataques del lado del cliente, de ingeniería social y post-explotación para smartphones.

Las primeras versiones incluyen una consola hecha en Perl, un frontal web, una aplicación para Android y un agente para post-explotación, de momento también para Android aunque previsto y en desarrollo para iPhone y Blackberry.




Además recientemente se ha liberado la versión 0.1.7 que añade SMS shell pivot y un nuevo script para instalar SPF en Kali Linux. También se preveen nuevos módulos para más vectores de ataque y la integración con otras herramientas como Metasploit y SET. ¡No te la pierdas!


Herramientas gratuitas de recuperación de archivos

Si eres de los que no utiliza la papelera de su escritorio virtual o simplemente cometiste un descuido y "sacaste la basura" sin pensar, aún estás a tiempo de recuperar esos ficheros que anhelas desde el más profundo arrepentimiento...

En la foto, técnico de sistemas en proceso de recovering...
No desesperes amigo, todavía existen herramientas gratuitas que pueden ayudarte a revertir ese borrado indeseado, sólo ejecútalas lo antes posible o reza para que no se hayan sobrescrito tus valiosos datos:





y tú, ¿conoces otro software de recuperación de datos que merezca la pena? ¡Comparte!

miércoles, 17 de abril de 2013

¿Es posible tomar el control de un avión mediante un teléfono móvil?

El miércoles, el investigador de seguridad español Hugo Teso hizo una presentación en la conferencia Hack in the Box en Amsterdam en el que aseguraba que había desarrollado una aplicación para Android que podría permitirle tomar el control de un avión debido a los defectos en sus sistemas de comunicaciones de a bordo... ¡y la que se ha montado!, hasta ha sido noticia de impacto en la CNN (saluda Hugo):


Durante años hackers e investigadores de seguridad están avisando acerca de vulnerabilidades en la próxima generación de protocolos de control de tránsito aéreo. Pero Hugo se centró en un protocolo diferente llamado Aircraft Communications Addressing and Report System (ACARS), un sistema de intercambio de datos simple que ha evolucionado a lo largo de décadas y ahora se incluye en todo, desde los datos meteorológicos hasta la programación de los horarios del sistema de gestión de vuelo del avión (FMS).

viernes, 12 de abril de 2013

Nunca uses un Proxy de Internet...

La mayoría de los novatos de Internet usan proxy, según ellos para ser anónimos. Nada mas falso. Son trampas mortales.

Como haría el gobierno para atrapar a todos estos chicos, algunos del grupo Anonymous.

Como todos sabemos la gente de Anonymous realmente no tiene experiencia ni son profesionales de las computadoras. Son vulnerables a acciones contra ellos de forma profesional.


La misión era que tan rápido podría sembrar un proxy y que Anonymous e incluso otros delincuentes lo usaran. Fue impresionante, la misma infraestructura de los delincuentes que buscan proxys abiertos se volvio encontra de ellos mismos.

jueves, 11 de abril de 2013

"Hackeados" multitud de sitios de SourceForge.net

Alguien con el alias "1337 hacker" ha realizado algunos defaces en algunos proyectos de SourceForge.net incluyendo el siguiente mensaje (abajo en rojo):



(traducido al español):

"Este es un proyecto cuya página web ha sido hackeada mediante un backdoor en SourceForge por un hacker 1337! Eres muy afortunado porque este mensaje es el único cambio que hice. Después de encontrar esta puerta trasera, yo, siendo amable, añadí este mensaje a algunos sitios alojados en SourceForge para advertirles, en lugar de exponer maliciosamente sus datos. ¿A quién le afecta este exploit?"

Anciana buscaba cobre para venderlo como chatarra y deja sin Internet a un país entero.

La mujer, de quien no se reveló su identidad, escarbaba con una pala en busca de cobre para venderlo como chatarra y así ganarse el sustento diario, pero al dar un golpe con la herramienta cortó el cable dejando sin servicio de Internet a los principales proveedores. 



Tibilis, Georgia.- Por lo menos cinco horas se quedaron sin Internet los habitantes de Armenia y Azerbaiyán, luego de que una anciana de 75 años cortó por error un cable de fibra óptica que proveía el servicio a dichos países.


martes, 9 de abril de 2013

¿ Destruir Internet ? no es ciencia ficción esto ya paso y podría volver a pasar.

Ok hoy quiero compartirles una entrada que me pareció muy interesante y que me gustaría que leyeran hasta el final...


El mundo ha estado a punto de que el internet sea destruido al menos 4 veces 1 de ellas de hecho aniquilo la red por un momento.

En 1997 un ruteador que fue configurado erróneamente, se convirtió ruteador central de internet, algo similar a un ataque “ hombre en el medio por ARP Poison“ todo el trafico de internet intento pasar por ese único ruteador. El resultado fue desastroso el internet colapsó, seguramente muchos no lo recuerdan porque eran pequeños y aunque importante en 1997 el Internet no era tan masivo, sin facebook, netflix y otras cosas de consumo inmediato como ahora hizo que esta falla pasara desapercibida, lo mas masivo en ese entonces fue el correo electrónico que llegaron retrasados debido a que no podían ser entregados por los MTA Servers. Sin embargo este aunque fue un fallo de aniquilación y colapso total pudo ser revertido porque al final fue error humano y no había ninguna intención de destruir el internet.

Las otras 3 veces han estado a punto de lograr el colapso lo preocupante es que aquí si había la intención de terminar con el internet.

domingo, 7 de abril de 2013

Warning: Skimming


Bueno después de estas vacaciones de semana santa, tenia olvidado mi blog un poco pero hoy quiero hablar sobre un tema bien interesante y sobre la seguridad de cajeros automáticos.

muchas personas en el mundo tienen alojado su dinero en muchos bancos y siempre hay personas dueños de lo ajeno buscando la forma de como obtener dinero fácil bien, entonces si nos colocamos a investigar sobre como funciona o como esta compuesto un cajero automático nos damos cuenta que cuando vamos a hacer una transacción lo único que necesitamos es la tarjeta y pin de nuestro usuario, ok bien esto me hace llamar una termino llamado Skimming (fraude).