elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


  Mostrar Temas
Páginas: 1 2 [3] 4 5 6
21  Foros Generales / Dudas Generales / P2P para crackeo de claves en: 22 Abril 2017, 06:03 am
Existe algo como un p2p para crackeo de claves. ¿Que de manera voluntaria prestes tu computadora para crackear claves (todo eso maquinado sobre una arquitectura p2p)?

Se que hay programas para analizar señales "extraterrestres" y también para encontrar posibles enfermedades. Pero existe algo para el crackeo de claves? (Entiendo que se necesitaría de un sistema central que controlara y almacenara los datos, ademas de redundancias para evitar "mentiras").
22  Foros Generales / Sugerencias y dudas sobre el Foro / ¿Existe algun foro/subforo de aportes propios (desarrollos)? en: 21 Abril 2017, 11:24 am
Es evidente que los aportes destinados a ser educativos como por ejemplo "reproductor mp3 hecho en java, explicado" deben ir en los subforos de programación destinados al lenguaje que se pretende enseñar.

¿Pero que pasa con los aportes desarrollados por la comunidad y para la comunidad?

Hoy mismo Elektro publico parte de su librería (que por cierto, es enorme), y lo hizo como "regalo". El cual, a la larga, se ira perdiendo entre consultas hechas en el sub-foro de .NET.

Por tanto no seria bueno tener un sub-foro de aportes propios? (no hablo de poner un link para descargar kali).

Creo que de alguna forma incentivaría a la comunidad a desarrollar, crear herramientas y utilidades que hagan mas activo al foro.



PD: Lo puse aquí porque realmente no se si ya existe un sub-foro para eso. (O si ya se intento hacer)


-- OPS, me di cuenta que esto tiene que ir en el foro de dudas sobre el foro -- (pense que era solo de sugerencias)  u.u
23  Seguridad Informática / Hacking / MySQL Injector en: 20 Abril 2017, 16:42 pm
Hola, soy Nac-Ho (o 3n31ch Si ven las iniciales de mi username).

Me acabo de dar cuenta del tema del abril negro, así que publicare mi software... esta mal pulido pero lo he logrado utilizar en 3 sitios web distintos para obtener información.

Nombre del autor: Nac-Ho / 3n31ch
Nombre de la herramienta: MySQLInjector 3.0
Lenguaje en el que esta diseñado: Python (la razón de que este mal pulido)
Descripción del trabajo:

Es un software que sirve para aplicar sql injection automáticamente. Para el que no sepa de esta técnica es simplemente introducir código SQL no permitido normalmente en un sitio web ya por medio de la url.

Como ejemplo: Si existe un sitio web que tenga en un método get como este: "sitio.com/?page=2", y ustedes al cambiar dicho gen por este "page=2 or '1' = '2'" les entrega una pagina distinta, y luego al poner "page=2  or '1' = '1'" les entrega la pagina correcta quiere decir que el sitio al cual atacan es vulnerable, ya que pueden realizar preguntas binarias del tipo "¿la clave del admin es: XXXXX?"

--- Puedo hacer un post explicando el detalle de esta técnica si quieren ---

La herramienta la cree como hace un año atrás, antes de saber que esta metodología era popular y que existían herramientas similares como SQLMap sin embargo me ayudo bastante para aprender un poco mas de python y sobre la metodología (podría hasta escribir un libro del tema).

La herramienta solo hace preguntas binarias en base a un string que sea TRUE en el sitio web. Aun no aplico respuestas binarias en base al tiempo de carga o similares.

Como aspecto negativo he de decir que tiene muchos bugs aun. y sinceramente como no he visto el código en unos meses me costaría mejorarlo (deje la version 4.0 a medias).

-- Si a alguien le interesa ayudarme a mejorarlo y ponerlo con licencia MIT o GNU, yo estaría mas que contento --

Captura de pantalla:


En la imagen pueden ver que listo las columnas del -s esquema (el cual borre para evitar evitar problemas) luego indique con -t la tabla a la que ataco, luego omitan -c (eso es para hacer un dump de datos, no se porque puse ese atributo cuando no es necesario), posteriormente indique con -url la url que quiero atacar, indicando en donde se tiene que hacer la inyección de  código con la palabra reservada $QRY y luego con -true indique cual es sl String que debe aparecer en el sitio en caso de que el resultado sea true.

Link de Descarga:
https://github.com/3n31ch/MySQLInjector

Puedo explicar como se utiliza y todo, solo díganme si les interesa (mas que nada porque tengo que acordarme como funciona).

--- EDITO ---
Acá hay otras imágenes que encontré:



En la primera listo las columnas, para en la segunda listar datos de la tabla, (los primeros 5 datos -from 0 -to 5. Esto lo hice para poder sincronizar ataques entre distintos usuarios.)
24  Programación / Scripting / Generar eventos de teclado dentro de un programa desde otro en: 11 Agosto 2016, 09:55 am
Buenas, espero que estén bien.

Quería saber si es posible generar un evento de teclado o mouse en un programa desde otro. (concreta mente hacerlo desde Python)

Déjenme me explico:

Existe un programa "A" el cual al presionar  sobre el la tecla "X" sucede algo. Pues quiero que desde un programa "B" indicar que presione dicha tecla "X" en el programa "A", sin necesidad de que yo tenga que hacerle focus a dicho programa.

Tengo entendido que si se puede, de hecho, imagino que así funcionan los bots de videojuegos, nose si seria posible que me ayudaran a saber como hacerlo para orientarme un poco.
25  Programación / Ingeniería Inversa / Modificar Extensión de chrome en: 7 Agosto 2016, 08:11 am
Hola, Espero que estén bien.

No se si la pregunta va por aquí, pero teniendo en cuenta de que se trata de un "programa" y tengo que modificar su funcionalidad... espero que si.

Necesito modificar una extensión de Google Chrome (sin que Chrome detecte el cambio).
Se que almacena las extensiones en:

"C:\Users\Username\AppData\Local\Google\Chrome\User Data\Default\Extensions" - Windows 10

Pero al acceder y modificar un archivo, Chrome deshabilita la extensión señalando que puede haberse dañado.

Al inicio pensé que podría saberlo con las fechas de ultima modificación que almacena el archivo, así que edite dichas fechas a las originales, y aun asi reconoció el error.

Luego pensé que era el peso del archivo,  así que hice una modificación que no alterara dicho atributo, aun así lo reconoció.

Luego intente hacerlo sin conexión a internet, en caso de que Chrome al acceder comparara el archivo local con alguno de la web... aun así detecto un cambio.

Me gustaría saber como lo hace, o si existe alguna forma de burlar al sistema.

Muchas gracias por adelantado.-
26  Seguridad Informática / Hacking / Modificar Cabeceras HTTP en: 27 Febrero 2016, 06:11 am
Hola, buenas,

Quería hacer pruebas con un sitio web que tengo en local, haciendo uso de HTTP LIVE HEADERS, pero no pude.

Descargue la versión mas nueva y cuando intento repetir, ya sea modificando o no modificando nada, el sitio me lanza un error.

"Bad Request

Your browser sent a request that this server could not understand."

Saben de alguna otra extensión en cualquier browser que me sea de utilidad?

PD: Es la version 0.17
27  Programación / Bases de Datos / Separar table user con tabla person en: 10 Agosto 2015, 08:22 am
Hola, espero que esten bien, me gustaria saber su opinion sobre mi problematica:

Tengo una base de datos pequeñas la cual maneja los datos de login de un sitio web. En ella se encuentra (entre otras tablas) la tabla user, la cual contiene una enorme cantidad de atributos.

user(
id,
firstname,
lastname,
sex,
birthday,
username,
password,
email
)


ahora... no seria mejor separar dicha tabla en dos:
person(
id,
firstname,
lastname,
sex,
birthday
)
user(
id,
username,
password,
email
)


creo que esto pega mas con el concepto de normalizacion, en concreto creo que el punto 2.

En este caso, la clave foranea ha de estar tanto en person como en user (teniendo en cuenta que una persona solo puede tener un usuario) o solo en user?

Es bueno separar las dos tablas o no?
28  Foros Generales / Foro Libre / Experiencia de hackeo en: 9 Agosto 2015, 01:48 am
Hola amigos, hoy he tenido una buena experiencia y quisiera compartirla con ustedes, y a su vez, seria genial que me cuenten su experiencia acerca de este tema.

Hoy "hackie" mi primer sitio web. Este sitio web corresponde a un instituto profesional de mi país, y gracias a una vulnerabilidad del sitio, pude acceder a su intranet. Aun hay muchas mas vulnerabilidades que me gustaría explotar, pero este primer paso me lleno por completo.

Les comento... Hace unos tres días atrás, me tope con este sitio web, y me llamo la atención que todo el sitio era muy "actual", exceptuando el login de su intranet... Gracias a esto pude suponer que el sitio había sido actualizado pero el login no fue tocado en ningua instancia, y es por esto, que también supuse que quizás fuera vulnerable.

Haciendo pruebas, encontré un error fatal, el login de alguna manera era vulnerable a sqlinjection, si bien validaba algunas cosas como que no se pusieran apostrofes, no validaba otras que me fueron de utilidad para acceder.

Pase tres días ocasionando errores en el sitio (durante mis tiempos de osio) y gracias a esto pude obtener los nombres de sus tablas de bases de datos y algunos campos...

Con esto al tercer día logre acceder... Es una estupidez, y ni siquiera merece ser llamado "hackeo" (en el sentido burdo y comercialmente dado a la palabra) Pero de todas maneras me lleno de felicidad.

Posterior a esto localice a un administrador del instituto para indicarle la vulnerabilidad, y explicarles como se puede solucionar.

Sinceramente no pensé que algo tan estúpido me podría hacer tan feliz... Pero lo fue. Asi que solo quería compartirlo con ustedes, y quizás ustedes podrían contar alguna historia.

PD: No creo que este tema este contra las reglas del foro, pero de así serlo, lo lamento mucho
29  Sistemas Operativos / Windows / Grub linux falla al hacer el update a windows 10 en: 7 Agosto 2015, 16:34 pm
Buenas, como estan?
Les explico el problema: Yo tenia una partición con windows 7 y otra con linux debian (no recuerdo la version) y disidí actualizar a windows 10, lo deje actualizando por la noche y hoy cuando veo la PC me doy cuanta que el grub de linux para seleccionar la partición ha fallado.

Saliendo el siguiente mensaje:

Welcome to GRUB!
error: unknown filesystem.
Entering recuse mode...
grub rescue>_

Supongo que windows toco el archivo del grub, pero no se si seria posible reparar este error sin necesidad de acceder con un live de algo...

PD: probe con esta secuencia que vi en youtube:

set boot=(hd0,msdos6)
set prefix=(hd0,msdos6)/boot/grub
insmod normal
normal

pero cuando pongo insmod normal, me indica el siguiente mensaje:
No such partition


Actualizo:
Al hacer el comando con msdos7 me dice otro mensaje de error:
unknow filesystem
30  Seguridad Informática / Hacking / Listar los archivos de un sitio web en: 2 Agosto 2015, 05:06 am
Hola amigos, he vuelto después de un largo tiempo de inactividad por la universidad y el trabajo. Ahora que tengo las cosas mas controladas espero quedarme en el foro por mas tiempo.

Bueno, posteo este tema debido a una duda que tengo...
¿Es posible o conocen alguna vulnerabilidad para listar todos los archivos de un sitio web?.

Necesito proteger mis sitios, y he decidido estudiar como atacarlos para posteriormente entender como protegerlos.



Páginas: 1 2 [3] 4 5 6
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines