Etiqueta: Hacking

mitmAP: herramienta para realizar ataques Man In The Middle

Ataques Man In The Middle Hoy, los amigos de RedesZone publican un programa interesante, que se suma a los existentes, para llevar a cabo ataques Man In The Middle. Un tipo de ataque que está dirigido a que el intruso se coloque en medio de una comunicación, esto es y en general, entre una víctima e…

Pwntools 3.0: Kit de herramientas para los CTF

Pwntools Los investigadores de seguridad y también los estudiantes que normalmente participan en competiciones CTF (Capture the Flag) deben proteger su “bandera” y a la vez, intentar conseguir la del equipo rival. Para conseguirlo, se pueden valer de sus conocimientos y también de herramientas hechas que automatizan determinadas acciones, Pwntools es un conjunto de utilidades…

Inventan un dispositivo para hackear un PC en un minuto

PoisonTap es el nombre de un dispositivo y de un programa creado por Samy Kamkar (@SamyKamkar // https://samy.pl) que puede hackear por USB, computadoras bloqueadas o protegidas con contraseña, dejar un backdoor basado en WebSockets, obtener cookies, exponer el router interno al atacante y realizar MiTM de todo el tráfico a Internet. La herramienta emula…

QRLJacking: robar sesión de WhatsApp Web

En esta entrada, hablaremos de la posibilidad de  robar la sesión de web.whatsapp. Los miembros de OWASP han publicado una herramienta llamada QRLJacking que sirve para realizar ataques de Spear Phishing en sitios que utilizan QRCodes, tal como es WhatsApp Web. El esquema de ataque es sencillo, básicamente se debe configurar un servidor web donde…

D-TECT – Pentesting the Modern Web

D-TECT es una la herramienta todo-en-uno para pruebas de penetración. Está especialmente programado para hacer más fácil el trabajo de pentesters e investigadores de seguridad informática. En lugar de utilizar diferentes herramientas para realizar diferentes tareas, D-TECT ofrece múltiples características y funciones de recolección de información para encontrar vulnerabilidades en un objetivo. El autor es…

BruteXSS – Cross Site Scripting BruteForce

BruteXSS es una poderosa herramienta que utiliza fuerza bruta para encontrar parámetros que exploten la vulnerabilidad del XSS. Inyecta múltiples payloads sacados de un wordlist y los va probando hasta que encuentra uno que funcione. El autor es Shawar Khan , el mismo que publicó la "tool todo-en-uno para pentesting D-TECT". Es muy difícil que…

BLACKBOx – Framework para pentest

BLACKBOx es un framework escrito en python que recoge varias funciones útiles a la hora de realizar un pentest. Es una herramienta de Licencia Pública General de GNU (GPLv2) que da la libertad de usar, estudiar, compartir (copiar) y modificar el software.   Podemos dividir sus funciones en dos categorías: ataques a contraseñas y ataques…

Tplmap – Automatiza la detección y la explotación de vulnerabilidades

Tplmap es una herramienta que automatiza la detección y explotación de vulnerabilidades. Por el lado del servidor utiliza inyecciones SSTI para romper una sandbox y lograr ejecuciones remotas en el sistema operativo. La tool también se puede utilizar para realizar pruebas y aprender más sobre la vulnerabilidad SSTI. Las técnicas que utiliza para romper las…

Inyección de Evil Link en admin.google.com

Auditando una app de otra empresa, por esas casualidades de la vida encontré un error/bug en admin.google.com que permite injectar un link maligno desde una inyección en el path de la url, lo que permite redireccionar un usuario a un link maligno externo o forzarlo a que descargue un archivo maligno, malware o script, etc.…

¿He sido hackeado?

El día de hoy me escribió un lector del blog comentando la apertura de un nuevo servicio online. Se trata de un motor anónimo de búsqueda que permite comprobar si tu e-mail ha sido comprometido en algún tipo de fuga de seguridad y que haya sido expuesto públicamente. Actualmente tiene una base de datos con…