Que onda,

Colegas, aqui ando en la silla con rueditas xD, comentando en el foro del hacker a la media noche, en vez de hacer la tarea del poeta que es para manana xD, en mi ultima semana de escuela, faltando 2 dias para empezar los examenes finales, pero resulto que me jodi mi Disco duro con unos imanes para un proyecto del efecto invernadero, tratando de crear energia libre con imanes, (un transgenerador magnetico), y pues bueno, estoy en una plataforma montada de wifislax con la que apenas me salve el trasero con word online de outlook...

Y bueno, se me ocurrio, que cojones y porque no comparto un sincero comentario y un descubrimiento mio de combinaciones faciles.
Hace unos meses, me baje wifislax para obtener la contrasena del modem del cole y pues como pille algunas redes al rededor, no pude entrar a la del cole, asi que nos dieron una clave que solo permitia acceder a internet y pues despues de otros meses de intentos pille la clave de usuario y la contra, ultimamente me metia a la configuracion de algunos modems para obtener ips de algunos cojonudos de mi clase que han estado haciendo cosillas a espaldas de mi.

Una vez teniendo la configuracion de DCHP clientes, vi las ips, y me meti a cazador cazado para hacer un arp spoffing. Y abri una consola de metasploit para que abrieran esa ventana por victima, pero no me resulto.

Asi que hice en HTML una web de confianza de pijos en donde diciera todas las mierdas de seguridad y cosillas de esas, y en el centro, puse, si desea navegar en google haga click aqui. Y si es un celular haga click aqui.

Entonces me dije, que wow de punetas. Porque seamos sinceros, metasploit si fnciona, pero ninguno de uestedes ha penetrado a un ordenador de su red local sin asignar https://192.168.1.1:8080 y esa *****, en el enlace que yoo le asigne al click redirecciona a la ip de https://192.168.1.1:8080, e inmediatamente quedan infectados y quito el portal cautivo. Es asi de facil.

Y pues, no es dificil, la verdad, lastima que no tengo mi Disco Duro en funcion, de lo contrario subiria imagenes  , pero yaa saben lo que dicen, no he fracasado solo encontre otra manera de quivocarme. 

Hasta luego, ( Que eslogan tan punetero).

Que onda,

Colegas, muy buenas, no sé si esté en el foro correcto o tenga que irme a otro, pero la verdad necesito saber qué tipo de cifrado es ésta:

00f30839716ebe03a1c53e3c26f0b60a:bGe3uYyhHsfUFAggOKetEafvFMyifX7w

Observenlo bien...
Les seré sincero, estoy aprendiendo a usar Sqlmap con niveles, 2-3, y me lanzó este hash en password....

Necesito saber en dónde puedo desifrarlo, para que no me trave en buscar alguna solucón.

Soy un novato y no intento hacer daños, al contrario trato de corregir esos huecos de alguna manera... pero la intención es la que cuenta...

Por favor, acepto cualquier tipo de comentario y muchas Gracias por leer esto.

Que onda,

Colegas, muy buenas, no sé si esté en el foro correcto o tenga que irme a otro, pero la verdad necesito saber qué tipo de cifrado es ésta:

00f30839716ebe03a1c53e3c26f0b60a:bGe3uYyhHsfUFAggOKetEafvFMyifX7w

Observenlo bien...
Les seré sincero, estoy aprendiendo a usar Sqlmap con niveles, 2-3, y me lanzó este hash en password....

Necesito saber en dónde puedo desifrarlo, para que no me trave en buscar alguna solucón.

Soy un novato y no intento hacer daños, al contrario trato de corregir esos huecos de alguna manera... pero la intención es la que cuenta...

Por favor, acepto cualquier tipo de comentario y muchas Gracias por leer esto.

¡Qué onda!

Bueno. Este documento ha sido creado con un objetivo didáctico para no solo mostrar las vulnerabilidades de 39 de los mejores antivirus del mercado, si no también para enseñar de una forma clara y entendible como encontrar y eliminar algunos tipos de malwares de nuestro sistema.

Hace un tiempo un compañero de trabajo, vino alarmado junto a su PC, ya que este de repente empezaba a tener una conexión demasiado lenta a lo acostumbrado, siempre que intentaba conectarse a Internet.

Al arrancar el equipo hice lo típico que suele hacer cualquier informático cuando no sabe por donde le vienen los tiros, (Abrir el administrador de tareas), vi al momento que el sistema consumía un 90% de la memoria disponible. Ya de principio olía mal la cosa, así que me dirigí a la pestaña de procesos en busca de algo ilógico.

Me llamó la atención el encontrarme con un lsass.exe perteneciente a un usuario corriendo en memoria, ya que el original se carga con privilegio de sistema.

Raudo abrí la consola, he hice un netstat –b y lograr ver los procesos y conexiones. Para mi asombro había un montón de incesantes intentos de conexión desde dicho proceso a un mismo rango de IP, únicamente se sumaba 1 al último dígito, ya todos sabemos porque le va mal internet a mi compañero ¿cierto?.



Abrí mi querido LordPE para buscar el PID, como se muestra en la imagen anterior con números decimales 1836, deberemos de sacar una calculadora científica para facilitar el proceso de conversión en hexadecimal, de esta manera lo encontraremos de forma ágil a no ser que estuviese inyectado en otro proceso.

El resultado es: 1836 = 72C


Una vez convertido el dígito, nos dirigimos al PID “72C” desde LordPe y nos encontramos con que la ruta del falso lsass.exe es otra totalmente distinta a la original, ya que el de Microsoft se aloja de forma predeterminada en la carpeta “C:/Windows/System32” y este misteriosamente lo hace en “C:/Windows/Security”.



Al pinchar con el botón derecho y hacer un Dump Full, se copiará el archivo que corre en memoria, para así tenerlo más a mano. Una vez dumpeado se guarda en el escritorio y se enviará a un Scanner Online con 39 Antivirus, veamos el resultado del Scanner.



Algo no encaja... es seguro que este archivo está infectado y ¿los antivirus no nos alarman? ¡Pues nada! A seguir con la investigación.

¡Preguntemos a Google que lo sabe todo! Menos salir de la crisis claro... Al introducir la ruta “C:/Windows/Security/lsass.exe” encontré mucha información sobre varios foros que afirmaban sobre un muy posible malware escondido en esa carpeta, aunque posiblemente mutaciones, encriptaciones o diferente tipo de archivo malicioso, podría ser el culpable de tanta noticia.

Aprovechando que LordPE seguía abierto, me dispuse a dumpear los dos archivos lsass, el de la carpeta original y el sospechoso, claramente como se vé en la imagen tenían notables diferencias en versiones, peso y código.



¿Como se ejecutará este malware? Si lo hace de forma automatizada sin intervención del usuario... pues me voy a ejecutar un msconfig a ver que pasa.

En la pestaña de inicio nos encontramos con lo siguiente:




Ahora ya si me decidí a entrar en la misteriosa carpeta para identificar de manera visual a mi contrincante xD!!

Observando el archivo vemos que está de forma oculta de solo lectura y pesa 3,05MB.



¡Algo rápido! presiono “Contrl + Alt + Supr”, saco el administrador de tareas y ¡me lo cargo! ¿pero? me salta para mi información que es un proceso critico! ¿¿Wtf??



El tipo que se codeó este bichejo, se mata a proteger su malware y deja las cosas más simples a la vista, reinicio, F8 y veamos que pasa en modo seguro.



Una vez dentro del sistema saco de nuevo el LordPE para contemplar que proceso lsass.exe es el que se está ejecutando.



Viendo que el ejecutable que corre es el original y el malware permanece dormido, vuelvo a las claves de registro y a eliminar el archivo de la carpeta Security.

[

Una vez terminado con el ejecutable, reiniciaré el sistema y entraré en como siempre a la sesión del usuario de mi compañero.

Una vez dentro, al observar nuevamente el administrador de tareas, veo que ya solo corre el de sistema.



Volveré de nuevo a consola para ver si se muestran las anteriores conexiones.



Quedó bien limpito de conexiones
Dicen que la curiosidad mató al gato, si no me mata la ceguera lo hará el asesino de gatos sin duda... así que mientras tanto voy a mirar un poco más sobre este bichejo.

Intrigado por saber que tipo de malware era, envié el ejecutable al Scanner de Anubis, el cual me mostró lo siguiente.



De todos estos archivos el que más me llamó la atención fue logins.txt ¿Para que quiere un archivo plagado de palabras?

Bien recopilemos información:

Las IP a las que conecta son iguales, únicamente varía su último número de forma incremental “+1”, así que barría todas las direcciones comprendidas dentro de un rango que encontrase a su paso, el puerto de conexión utilizado era el 22, siendo este el de serie para las conexiones desde el protocolo SSH, (conexión a shell remota segura), además de crear dos archivos aleatorios llamados “Sshbx?.exe”, tenemos un “logins.txt” con una burrada de palabras para ataque de diccionarios como Admin Admin.- Root Root - User User…

Mi conclusión clara es que nos encontramos con un Robot, el controlador de la Botnet, nos usa de máquina Zombie para realizar ataques fortuitos por “Ssh” a todas las direcciones de IP que se encuentre por su paso mediante fuerza bruta con diccionario, cuando una de estas sea acertada se le enviará todo a nuestro pequeño delincuente, que conseguirá acceso total a otros servidores además del nuestro.

Podríamos seguir con el tema, incluso utilizar herramientas más complejas para la resolución de este problema y su detección, pero aveces la resolución más simple es la más acertada.

Bueno espero que les sirva.  

¡Qué onda!

Bueno, aunque SYSTEM sea para mí el colega más majo, también me considero amigo íntimo de root, si además me ponen cerca de una Backtrack, me guste o no, tengo que ser buen amigo a las buenas o a las malas.

¿Como una distribución dedicada a la seguridad informática no iba a trabajar como superusuario?

El siguiente tema no es más que una crítica constructiva a lo que algunos software, llaman seguridad, pues me parece bien que se pongan medios para que el territorio malware no afecte a los usuarios privilegiados de un equipo y cada vez se pongan más trabas para su ejecución, como la conocida UAC de Windows o en Linux un chmod para dar permisos y sudo para llamar al superusuario.

Me considero un tipo ajetreado con bastante prisa en mi vida diaria, que aunque no hago grandes cosas, nunca me gusta dejarlas a medias. Pero como el día solo tiene 24 horas de las que, 7 te pasas durmiendo, 8 trabajando más extras, 6 de preparatoria, comida y necesidades existenciales, tan solo me quedan 3 horas para leer el reader, pasarme por foros, pensar que puedo redactar que a mis chicos les parezca al menos algo guay para salir del paso y como no, pararme en cada línea que redacto para depurar el alto contenido en sensualidad derrochada, que suelen salir de estas manitas.

Se me ocurrió la idea de instalarme una herramienta bastante popular, para aquello del control remoto ¡Nadie se imagina el tiempo que se desperdicia en el trono! Así que no dude en bajarme la última versión de TeamViewer, así instalármela en mi fabuloso BackTrack 5 R1.

No me ocurrió otra cosa que al ejecutar el binario con doble clic, ya podía esperar dos días sentado elhacker.net, que de ahí no se movería ni un pixel para abrir la chusma de ventana de TeamViewer. Ya que dicen los linuxeros que la terminal de Linux es la leche, habría que hacerles caso y despegarme de la del señor Gates, así que me dirigí hasta su carpeta de binarios y ejecuté desde la Shell el script “teamviewer”.



El mensaje de error que se puede leer en la última línea, no es otro que “Teamviewer must not be executed as root!” ¡Vaya por dios! ¿Seguro que root tiene más privilegios que la de invitado?

Me sentía totalmente violado, así que no dudé un momento en ver el contenido del script para encontrarme con lo siguiente.



Hoy en día sacan montones de aplicaciones para Linux, cosa que ni te enteras de que siguen siendo ejecutables de Windows los que corren gracias a Wine, pero no desvariemos pues en dicho archivo se encuentra una variable que llama a otro fichero en el directorio, así que sigamos la pista.

Entramos en wrapper y en una de las últimas líneas, nos encontramos lo siguiente.



La variable $userid es igual a 0 y dentro del if, veremos el texto de error que nos devolvió al ejecutarlo en consola.

La id del usuario root es 0, probando la variable en la segunda línea en la ejecución, confirma el funcionamiento del script ¿Pero que devolvería si la id es elhacker.net?



¡Perfecto! Vim, i, elhacker.net y :wq.



Ejecutamos el script y al llegar al if, seguiremos como root y ya podremos disfrutarlo en nuestras distros como superusuario.



Todo el chollo se nos termina cuando las cosas dejan de ser gratuitas, rápidos nos volvemos locos con la inversa, o simplemente buscando cracks en Google...

No tendremos muchos quebraderos de cabeza, si Teamviewer nos detecta como uso comercial, aunque seamos de esos usuarios amistosos que nos encanta mostrar nuestros progresos a la gente de los foros mediante esta herramienta.

Como dije anteriormente, este software utiliza Wine para su ejecución, así que sí somos capaces de crackearlo en uno de los sistemas, matamos posiblemente 4 pájaros de un tiro, o tantos sistemas este sea compatible. He leído al respecto mucha documentación de auténticos hackers que cambian su mac, su ip y casi llegan a formatear el ordenador por eliminar un par de entradas de registro en el intento de saltarse las medidas de protección de Teamviewer, para que aun apareciendo la siguiente ventana de aviso, el software no se cierre a los 5 minutos de uso... ¡Qué feo es dar soporte con una desconexión continua y una espera para la nueva!



¿Por qué en mi mismo pc si ejecuto el software en el perfil soporte me detectan y en el de usuario no?

¡Fácil! Un fichero log guardado en la carpeta del usuario, identifica la cantidad de conexiones que hacemos con este, si son demasiadas... ¡Tú eres una empresa no un usuario doméstico!

Ok... borremos el directorio y que cada vez que ejecutemos Teamviewer, lo cree de nuevo con un log vacio y ya tendremos nuestro crack.



Espero de esto no se aprovechen empresas, si no aquellos que simplemente lo utilizan en sus casas para uso privado y tengan la mala suerte de que los cazen sin motivo muajaja xD

Bueno espero que les sirva.

Hola,

Amigos, quisiera que me hecharan una mano con esto, Soy un poco novatillo  por lo que quiero adentrarme más en la inyeccion de sitios.
Descubrí una Vulnerabilidad en mi Apache 2.2, y estoy parchando mi sitio.

/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=1::/index.php?option=com_pcchess&Itemid=84&page=showgame&game_id=1+and+1=2
(Ojo no se cunfundan es una cadena, no dos.)

Y bueno, al tratar el parametro en sqlmap me arroja un error que el parametro option no es inyectable.
Y la verdad no se como inyectar algunos parametros. En ellos esta el de option. 

Bueno, amigos espero que respondan gracias 

Hola,

Amigos, Soy nuevo en este blog, y bueno, nunca hago preguntas de Seguridad Informatica pero no hay de otra, me baso en seguridad informática. Y pues como dice el titulo pendrive. Bien, mi hermano manipulo mi sistema operativo fedora y me borro el sistema modificando algunos datos de la BIOS y en ello daño mi USB. Y pues como no tenia de otra, tengo un DVD de Windows 7 y lo instalé en mi equipo. Que me da verguenza tenerlo.

En ello repare mi USB y con win32diskimager-v0.8-binary le metí Kali Linux. El problema fue que me daño realmente la USB, y pues tenía un plan B usar HDDLLF.4.25. Y ya iba en un 68 % cuando se travo y retire por una pend....ada mia el USB. Y la cage, mi pc no reconoce mi USB en discos, ni en pc o Dolphin, como gusten llamarle, Entonces me la reconoce en Administrador de Equipo como  "Disco 1 (E)  No hay medios " y pues bueno, investigue como 7 horas y nada, muchos post, y encontre este programa que no me sirvió DtMPTool_V1.67B.7.0, que me lo reconoce como XXXXXXXXU167Controller.  Mi Ordenador si me lodetecta, más no me lo detecta como disco extraible, solo me dice que no hay medios. Y la verdad no se que hacer, si irme a fedora a recomponerlo, no se si sea posible, o denme un consejo para aquellos que fueron al extremo y lo Consiguierón.

Bueno, Amigos, de antemano. Gracias y por favor escriban.

Hola,

Amigos, Soy nuevo en este blog, y bueno, nunca hago preguntas de Seguridad Informatica pero no hay de otra, me baso en seguridad informática. Y pues como dice el titulo pendrive. Bien, mi hermano manipulo mi sistema operativo fedora y me borro el sistema modificando algunos datos de la BIOS y en ello daño mi USB. Y pues como no tenia de otra, tengo un DVD de Windows 7 y lo instalé en mi equipo. Que me da verguenza tenerlo.

En ello repare mi USB y con win32diskimager-v0.8-binary le metí Kali Linux. El problema fue que me daño realmente la USB, y pues tenía un plan B usar HDDLLF.4.25. Y ya iba en un 68 % cuando se travo y retire por una pend....ada mia el USB. Y la cage, mi pc no reconoce mi USB en discos, ni en pc o Dolphin, como gusten llamarle, Entonces me la reconoce en Administrador de Equipo como  "Disco 1 (E)  No hay medios " y pues bueno, investigue como 7 horas y nada, muchos post, y encontre este programa que no me sirvió DtMPTool_V1.67B.7.0, que me lo reconoce como XXXXXXXXU167Controller. Y la verdad no se que hacer, si irme a fedora a recomponerlo, no se si sea posible, o denme un consejo para aquellos que fueron al extremo y lo Consiguierón.

Bueno, Amigos, de antemano. Gracias y por favor escriban.