|
221
|
Foros Generales / Dudas Generales / que puedo hacer teniendo la MAC de un atacante?
|
en: 12 Agosto 2015, 13:55 pm
|
Pues , es que tengo alguna mac que he pillado scaneando con ettercap y wireshark, pero no se que puedo hacer con la mac. Alguna pista o algo de que se podría hacer, he buscado información pero no se que hacer. Algún programa o algo.
De todas formas, supongo, que probablemente haya cambiado la mac con el macchanger por ejemplo, y no sea la mac real.... que podría hacer.
Entiendo que no querais decirmelo, pero por lo menos podías encaminarme un poco.
Un saludo.
|
|
|
222
|
Informática / Hardware / Lector cd-dvd no funciona
|
en: 5 Agosto 2015, 16:13 pm
|
He provado de todo, he buscado en google, he seguido muchos tutoriales, pero nada me funciona, hasta ahora por lo menos, podía resetear el pc portatil compak, sacarle la pila, y por lo menos me cogía los cd-dvd en modo live o para instalar, pero ahora ya ni eso.
No coge nada,hace como que lee pero nada.
Estoy con ubuntu caine 6.0, pero en ningún sistema operativo me funciona.
En disk: Device: /dev/sr0 (Read-Only) habiendo un cd-dvd me dice no media.
En edit mount options:
ro,loop,noexec,nodev,noatime,x-gvfs-show
Mount point: /mnt/ata-hp_DVD_RW_AD-7561S_SJ94106503
Identify as: /dev/sr0
identifi file as /dev/sr0 Filesystem type iso9660
No me funcionaba nunca una vez arrancado el sistema, pero siempre podía arrancar una live session, pero ahora estoy intentando arrancar en live session un kali linux, un bugtraq, o un caine 6.0, pero ninguno me arranca.
Seguramente, es por el problema que sufro, y algo va mal, supongo que el controlador o algo no lo se, he provado muchas cosas en el pasado y nada me ha funcionado, ahora pido ayuda haber si se puede hacer algo para que me pille los discos.
Un saludo.
|
|
|
225
|
Foros Generales / Dudas Generales / Duda con los checksums
|
en: 3 Agosto 2015, 21:07 pm
|
Pues tengo una duda con los cheksums md5 , haber, si descargo un programa con un checksum determinado, pues está claro que al leerlo una vez descargado tiene que coincidir , si no coincide, está corrupto.
Pues bien, en el caso ,de que al descargar el programa, el cheksum coincide exactamente con el original, pero varia de minúsculas el original, a mayúsculas el descargado, ¿en este caso , es correcto o está corrupto?
Me viene pasando con algunos programas, en los cuales el cheksum coincide, pero varia de minúsculas a mayúsculas.
No lo tengo claro, he encontrado una definición en un curso de hacking desde 0 , que se ha posteado por el foro:
" En español, tenés alguna palabra, le aplicas una cuenta matemática, y obtenés un hash que es único. Es decir que si le cambias una letra a la palabra o aunque sea cambias de minúscula a mayúscula y cambia el hash enteramente"
No se si esto se aplica al md5 , pero si es cierto, entonces, el cambio de minúsculas a mayúsculas sería que está corrupto.
¿Podeis aclararmelo porfavor? Un saludo.
|
|
|
226
|
Foros Generales / Dudas Generales / Duda con los mensajes privados
|
en: 2 Agosto 2015, 23:06 pm
|
Saludos. He intentado enviar algún mensaje privado a diferentes usuarios, pero no puedo enviar ninguno, ¿es por que me habeis bloqueado, o por otra cosa?
Es un poco frustrante escribir el mensaje y luego no poder enviarlo.
Con cierto usuario, quedamos que solo hablaría en abierto, pero talvez haya cosas que es mejor por privado.(independientemente de que el craker me pilla todo lo que escribo).
Gracias y perdón por las molestias.
|
|
|
227
|
Foros Generales / Dudas Generales / ¿Se puede reflashear el chipstet entero de una placa base corrupta?
|
en: 31 Julio 2015, 01:42 am
|
Bueno, creo que me disteis la solución, que es cambiar la placa base nueva .
Pero a mi me gustaria indagar más y saber si puedo repararla desde los pc corruptos, o si no se puede, y es mejor olvidarse.
Aparte , estoy pasando netdiscover, con dos pc conectados, el programa va muy lento, lleva ya casi todo el día, y me aparece lo siguiente:
222.222.222.2 10:fe:ed:71:59:8a 25 1500 Unknown vendor 222.222.222.26 f8:a9:63:a6:70:57 19 1140 Unknown vendor 0.0.0.0 f8:a9:63:a6:70:57 03 180 Unknown vendor
Hay una mac repetida, es normal?
He scaneado la ip atacante 192.168.144.1 con zenmap, pero me dice que tiene todos los puertos filtrados, y no me da ninguna información más. Esto con ipv6 deshabilitado, si lo habilito, podría dar más información?
Saludos, y gracias. Me dejaré el programa netdiscover corriendo en modo pasivo hasta que termine.
Gracias.
|
|
|
228
|
Informática / Hardware / Placa base hackeada
|
en: 23 Julio 2015, 21:16 pm
|
Saludos, soy nuevo en el foro.
Tengo ya mucha pelea con esto, tengo la placa base corrupta, y no puede actualizarse la bios ni nada, pedi un chip nuevo en biosflash para la placa asus H81M-C , con todo desconectado, y solo dejando la pantalla, el ratón y el teclado, retiré el chip afectado, hice un comos reset, puse el chip nuevo, al hacerlo, la computadora iniciaba y se quedaba la pantalla en negro un tiempo, ( el suficiente para que se reactualice) , entonces se reiniciaba sola y ya iniciaba.
Pero entonces saque el chip y con un programador externo willem true usb programer, volvi a leer la información del chip, y esta corrupto, lo verifique con el técnico de biosflash, y me dijo que la placa base estaba corrupta....
Igualmente en otros foros me han dicho que la placa base esta modificada o corrupta, que era más fallo de hardware.
Me han recomendado acudir a una empresa de péritos informáticos, pero no puedo permitirmelo, ya me he gastado todo el dinero en esto, no quiero entrar en detalles por lo extenso del tema.
Entonces creo que es un bootkit, rootkit del chipset, creo que se esconde en los chips, y no se como eliminarlo, aparte escribe en el mbr y más cosas.No tengo ningún equipo informático sano.
Voy a pegar un log de chkrootkit, con el comando sudo chkrootkit -x donde aparece todo lo que estoy sufriendo haber si podeis darme una solución , que se que aquí hay buenos expertos. El log es mucho más largo, ocupa muchas páginas, si quereis puedo postearlo, pero es muy extenso, he rebuscado yo lo más indicativo de lo que estoy sufriendo.
Host key verification failed. ssh_kex: BN_new failed ssh_kex: BN_set_word failed ssh_kex: BN_lshift failed ssh_kex: BN_add_word failed Encryption type: %.100s Sent encrypted session key. Server refused our key. Bad passphrase. RSA authentication refused. %.30s@%.128s's password: Permission denied. Doing challenge response authentication. Protocol error: got %d in response to SSH_CMSG_AUTH_TIS Permission denied, please try again. WARNING: Encryption is disabled! Response will be transmitted in clear text. Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE respond_to_rsa_challenge: rsa_private_decrypt failed respond_to_rsa_challenge: bad challenge length %d Sending response to host key RSA challenge. Waiting for server public key. Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d. Warning: This may be due to an old implementation of ssh. Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d. Received server public key (%d bits) and host key (%d bits).
Trying RSA authentication with key '%.100s' try_rsa_authentication: BN_new failed Enter passphrase for RSA key '%.100s': no passphrase given, try next key bad passphrase given, try again... Doing password authentication. WARNING: Encryption is disabled! Password will be transmitted in clear text. Protocol error: got %d in response to passwd auth respond_to_rsa_challenge explicit key: %s (%p),%s input_userauth_banner no such identity: %s: %s
@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @ The %s host key for %s has changed, and the key for the corresponding IP address %s %s. This could either mean that DNS SPOOFING is happening or the IP address for the host and its host key have changed at the same time. Offending key for IP in %s:%lu Update the SSHFP RR in DNS with the new host key to get rid of this message. Couldn't execute %s -c "%s": %s
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the %s key sent by the remote host is Please contact your system administrator. ssh_connect: getnameinfo failed Connecting to %.200s [%.100s] port %s. Bogus return (%d) from select() connect to address %s port %s: %s setsockopt SO_KEEPALIVE: %.100s ssh: connect to host %s port %s: %s Could not create socketpair to communicate with proxy dialer: %.100s Executing proxy dialer command: %.500s proxy dialer did not pass back a connection Could not create pipes to communicate with the proxy: %.100s
Warning: Permanently added '%.200s' (%s) to the list of known hosts. @ WARNING: REVOKED HOST KEY DETECTED! @ The %s host key for %s is marked as revoked. This could mean that a stolen key is being used to %s host key for %.200s was revoked and you have requested strict checking. Host certificate authority does not match %s in %s:%lu Add correct host key in %.100s to get rid of this message. remove with: ssh-keygen -f "%s" -R %s %s host key for %.200s has changed and you have requested strict checking. Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. Challenge/response authentication is disabled to avoid man-in-the-middle attacks. Agent forwarding is disabled to avoid man-in-the-middle attacks. X11 forwarding is disabled to avoid man-in-the-middle attacks. Port forwarding is disabled to avoid man-in-the-middle attacks. Tunnel forwarding is disabled to avoid man-in-the-middle attacks. Error: forwarding disabled due to host key check failure Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s' Offending key for IP in %s:%lu Exiting, you have requested strict checking. Are you sure you want to continue connecting (yes/no)? No matching CA found. Retry with plain key Host '%.200s' is known and matches the %s host %s.
Could not load "%s" as a RSA1 public key @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ Permissions 0%3.3o for '%s' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. could not open key file '%s': %s bad permissions: ignore key: %s %s: certificate does not match private key %s %s: could not open keyfile "%s": %s
Adjunto otro log de unhide donde encuentra procesos ocultos :
Found HIDDEN PID: 8229 Cmdline: "<none>" Executable: "<no link>" "<none> ... maybe a transitory process"
1 HIDDEN Processes Found sysinfo.procs reports 452 processes and ps sees 453 processes
Found HIDDEN PID: 13267 Cmdline: "<none>" Executable: "<no link>" "<none> ... maybe a transitory process"
Found HIDDEN PID: 13268 Cmdline: "<none>" Executable: "<no link>" "<none> ... maybe a transitory process"
Found HIDDEN PID: 8229 Cmdline: "<none>" Executable: "<no link>" "<none> ... maybe a transitory process"
Otro log del programa OTL, en la última parte del log detecta algo de zeroacces, puedo mandar el log completo si quereis.
========== ZeroAccess Check ==========
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2015/07/19 16:45:54 | 021,192,024 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2015/07/19 16:45:54 | 018,634,248 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,921,088 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,691,712 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2015/07/19 16:45:54 | 000,483,840 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
========== LOP Check ==========
========== Purity Check ==========
========== Custom Scans ==========
< :Files
> [2015/07/19 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT
< C:\Users\hp\AppData\Local\Temp\NOD9221.tmp >
< C:\Users\hp\AppData\Local\Temp\*.*
>
< >
< :Commands
>
< [EmptyFlash]
>
< [EmptyTemp]
>
< [EmptyJava] >
< End of report >
Esto en la placa base, sin conectar a internet, con todo nuevo.... En el disco duro tiene el mbr mal con entradas hidden.
Tengo invalid host name, y el atacante me pone su ip interna como mi gateway.... Help.
Vamos haber si algún experto puede ayudarme con esto por favor.
Saludos y muchisimas gracias a quien se preocupe por mi problema.
|
|
|
|
|
|
|