Old school attack! #PlataformaPorElBufferAttack

Publicado el Publicada en Auditoría y CTF, Explotación, Hacking Web

Hace unos días os propuse un reto a través del canal de Telegram https://telegram.me/Fwhibbit. Para los que no lo hayáis visto o leído en ese momento, si queréis comeros un poco el tarro, deciros que consistía en 42 lineas de código «seguro» que se pueden ver a continuación. No bajes mucho si no quieres leer el spoiler definitivo […]

[#ZeroDay] Hackeando al jefe, por mi y por todos mis compañeros, ¡pero por mi primero!

Publicado el 6 comentariosPublicada en Explotación, Hacktivismo, Pentesting, Pruebas de concepto

  La POC de hoy, consiste en un RCE (Remote code execution) y un SQLi atípico que a día de hoy, sigue activo, es un #ZeroDay. Para llevarla a cabo se requiere de estar en la misma red (MITM como veiamos en evil Go.ogle) y se realiza sobre un ERP bastante famoso (según su web mas de 35.000 […]

[LFI && RFI && RCE ] Jugando con los include y fopen de PHP

Publicado el Publicada en Explotación, Hacking Web, Pentesting, Securización

Hoy vamos a explicar un poco el funcionamiento de un LFI (Local File Inclusion), de un RFI (Remote File Inclusion) y de algún que otro RCE (Remote Code Execution). Para ello vamos a valernos de una serie de ejemplos en php, que nos ayudarán a explotarlos, con el fin de que cuando hagamos una página web, nos pensemos […]

¿Quien vive en la piña debajo del mar? – WiFi Pineapple (I)

Publicado el 5 comentariosPublicada en Análisis de vulnerabilidades, Auditoría y CTF, Explotación, Hacking WiFi, Pentesting, Pruebas de concepto

Buenos días hackers!! En el día de hoy os traigo una de las herramientas de auditoria más potentes que existen en la actualidad. Después de los artículos publicados anteriormente por mis compañeros @alvarodh5 sobre Rubber Ducky y @juanvelasc0 sobre Lan Turtle , hoy daremos un repaso al proceso de instalación y configuración de: WiFi Pineapple (de la empresa Hak5). Antes de comenzar, […]

OS is a little bit Sick

Publicado el Publicada en Auditoría y CTF, Enumeración y escaneo, Explotación, Post-explotación

Buenas hackers! Os traigo otro CTF de la página Vulnhub, para poder compartir y así aprender métodos de intrusión. SickOS Name……..: SickOs1.2 Date Release: 26 Apr 2016 Author……: D4rk Series……: SickOs Objective…: Get /root/7d03aaa2bf93d80040f3f22ec6ad9d5a.txt Tester(s)…: h1tch1, Eagle11 Twitter…..: https://twitter.com/D4rk36 This is second in following series from SickOs and is independent of the prior releases, scope […]

De 0 a Pato con Rubber Ducky y Powershell

Publicado el 11 comentariosPublicada en Explotación, Ingeniería Social, Kali Linux

Hola a todos!   Soy Álvaro (@alvarodh5), esta vez vengo a enseñaros lo potente que es powershell y más si lo combinamos con un rubberducky. Antes de empezar con complejos frameworks ya hechos, me gustaría empezar más o menos desde 0, para que entendáis a grosso modo como funcionan. ¿Qué es powershell? Powershell es una consola […]

Auditando un Entorno Real II: WordPress – Revolution Slider

Publicado el 1 comentarioPublicada en Análisis de vulnerabilidades, Explotación, Hacking Web

Muy buenas, bienvenidos a todos a la segunda entrada de Auditando un Entorno Real, aunque no es continuación os dejo también la anterior en la que pudimos acceder a los contratos de la empresa auditada a través de una SQLi y empleando cURL para evitar los detectores de intrusos.     Primeramente comentar que la […]

Atacando a través de Macro Maliciosa en PowerPoint – Unicorn PowerShell Attack

Publicado el 2 comentariosPublicada en Explotación, Malware

Autor: Diego Jurado Buenas a todos!! En el día de hoy, os traigo una pequeña prueba de concepto (PoC), una técnica muy habitual y bien conocida en la cual crearemos un documento PowerPoint donde insertaremos una macro maliciosa que nos permitirá crear una sesión remota sobre el atacante que lo ejecute. En primer lugar, para […]