En Java no necesitas iteraciones para hacer eso, puedes utilizar lambda.

Hola, talves te interese conocer un poco más de estos enlaces:

https://blog.elhacker.net/2010/05/canal-irc-de-elhackernet.html
https://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/canal_de_irc_elhackernet_oficial_en_irchispano-t252609.0.html
https://foro.elhacker.net/foro_libre/irccanal_no_oficial_elhackerchat-t421255.0.html
https://foro.elhacker.net/chats_irc_y_messengers/grupo_telegram_elhackernet-t485594.0.html

Siempre han habido propuestas pero nadie entra, sale mas facil hacer un grupo de telegram y ya.

Pues si, es un reto efectivamente pero solo me lo compartieron y quería compartirlo acá, a mis compañeros les hablé bien de esta sección y les dije.... si nadie lo ha sacado, de seguro que en el foro lo sacan xD

Muchas gracias por la ayuda cpu2 y MCKSys se agradece mucho, ahora podré ir a presumir a mis amigos otraves sobre esta sección del foro xD

Eso pasa por dejar a cargo de una iglesia a alguien que no tiene una pisca de conciencia sobre la moral, el cristianismo y todo lo demás, esas personas jamás han vivido realmente una comunión con Dios, a demás, en ningun lado la biblia dice que el encargado de una iglesia no se puede casar o tener pareja, por lo contrario, es un requisito tener una pareja para ser lider de una iglesia.

1 timoteo 3:1-7

A demás, la biblia condena a aquellas religiones que prohiben casarse o dar en matrimonio y no habla de manera generalizada:

1 timoteo 4:1-7

Claramente una religión que saca de contexto la palabra y que enseña justamente lo contrario que recomienda la biblia no tendrá una actitud correcta y recta sino que saldrán a la luz cosas como las que se comentan en esta noticia.

Mateo 7:15-17

O sea, la gente cae por ignorancia en este tipo de centros como el denunciado, porque no buscan ni leen ni quieren saber nada mas allá que solo ir a una iglesia los fin de semana para sentirse bien personalmente, en ves de buscar la verdad que está a la luz, tan solo a unas cuantas hojas y lineas de texto de distancia.

Debido a casos como estos la gente rechaza y deja de creer en Dios creyendo que ser cristiano necesariamente significa ser católico o ser parte de una religión o estar encerrado en 4 paredes (aunque no quiero decir que ir a una iglesia sea malo, pero no a cualquier iglesia o religión).

Le acabo de agregar una funcionalidad para ingresar argumentos y controlar los métodos entre otras cosas nuevas tales como un filtrado de resultados.

He separado el núcleo de la app de los métodos de búsqueda y filtros para que sea mas facil añadir nuevas funcionalidades personalizadas. Por ejemplo, ahora tiene un filtro para buscar puertos abiertos en cada dirección ip encontrada del arbol de resultados o buscar servicios http y el título de las páginas, así hace mas rápido el trabajo de enumeración para un pentester.

Mas adelante le agregaré nuevos argumentos para controlar la cantidad de threads, servidores ns, etc.

Todos los cambios están descritos en el repositorio de github, en el archivo readme en español.

Saludos.

Las faltas ortográficas están arregladas.
La llave en el json también.
El forzado a minúsculas también, tanto en el método como en el input.

Los DNS de google son los más estables que he encontrado hasta ahora, esta app la llevo usando durante varios años y he probado varios servidores, por ejemplo los de cloudflare tienen pérdida tanto por tcp como por udp, hay veces en que muestran registros inexistentes cuando realmente existen, especialmente cuando los sometes a estrés, en cambio los de google son muy fiables, nunca te dará un falso positivo, es más lento pero más efectivo. También he probado algunos dns latinos y de verdad que para fuerza bruta lo que mejor va sin saturaciones ni baneos ni falsos positivos es google. De todas maneras se pueden cambiar directamente desde el script, de hecho tiene otros servidores comentados, pero mas adelante le haré un argumento para poder utilizar servidores dns personalizados o un archivo de configuraciones. Los 100 threads son suficientes, más de 100 dan muchos errores y crea una cola de solicitudes muy grande y comienzan a crear falsos positivos, por eso hice que las conexiones fueran vía TCP y no UDP, por la saturación.

Lo de shodan lo pensé varias veces pero no ofrece algo directo para obtener subdominios y necesitas su api, la extracción es muy lenta, no es como google que puedes omitir los que ya vas encontrando, por eso lo descarté, pero talves algún día lo agregue (o talves alguien lo agregue haciendo un pull request).

Saludos.

Genial! se agradece mucho el comentario, a la noche haré las correcciones y le implementaré un escaneador básico de puertos y reconocimiento de servicio web vía title tag.

Acá un ejemplo de salida de un dominio escaneado: https://gist.github.com/WHK102/00901926378e917c30a8886e1b98f97d

Hay muchos subdominios que no aparecen en ninguna base de datos pública debido al uso de la obtención en tiempo real de los diccionarios entre otros, solo en procesar todos los diccionarios tardé casi 4 horas.

Saludos.

Hola, como están todos, hoy he publicado una herramienta que había hecho hace ya un par de años, se trata de un escaneador de subdominios hecho en python3.

Acá va la URL: https://github.com/WHK102/wss

Cualquier sugerencia es bienvenida

saludos.

Hola, existe un identificador de vulnerabilidades nacional llamado CVE, asi que puedes buscar los CVE asociados a wordpress y encontrarás vulnerabilidades ya encontradas en sus diferentes versiones.

https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/Wordpress-Wordpress.html

Pero ojo, esto no abarca las vulnerabilidades de los diferentes plugins que han existido.

Saludos.

Hola, como estás, bienvenido al foro.

Una persona que realiza un trabajo de pentesting no tiene una manera mecanizada de hacer las cosas ni herramientas que siempre utilice, todo dependerá de que tipo de sitio web necesites revisar.

Yo tengo varios años de experiencia como pentester y rara ves hago uso de herramientas reconocidas por pentesters para hacking web.

Si te puedo mencionar algunas herramientas tales como scripts de nmap, acunetix, sqlmap, etc, en Kali Linux hay muchas herramientas que te podrán ayudar a realizar un trabajo de pentesting, pero ojo, las herramientas no te harán ni la mitad de todo el trabajo.

Un buen trabajo de un pentester web dependerá de la habilidad de la persona y no de sus herramientas, por ejemplo yo acostumbro muchisimo a utilizar netcat y sublime text para crear peticiones http de manera manual, también hago mucho uso de la pestaña de red de las herramientas de desarrollo de firefox para poder replicar envíos de solicitudes HTTP. Como verás, no hago uso de herramientas donde hagas un click y te digan que problemas tiene un sitio WEB y eso en la práctica no existe, si existen herramientas de apoyo como acunetix que te pueden dar no mas del 10% del estado real del sitio web en cuanto a vulnerabilidades.

Por ejemplo, un software no es capaz de reconocer un dato como por ejemplo un DNI o un valor de dinero o un identificador, para el softwares son solo valores de un campo y ya, por lo cual no saben distinguir cuando encuentran por ejemplo la posibilidad de modificar un valor de un monto de dinero, eso es crítico para un sistema financiero por ejemplo, pero para el software es solo un valor que cambia y si no tiene xss o inyección sql entonces no es vulnerable. A demás, algunas herramientas tienen funcionalidades de crawler, esto quiere decir que ingresan a la pagina web, toman todos los enlaces y urls y las revisan, no son capaces de autenticarse o reconocer que no tienen que presionar el botón de eliminar una cuenta xD y ese tipo de cosas, por eso por lo general estas herramientas automatizadas son peligrosas y no deben utilizarse en ambientes productivos, puedes causar una denegación de servicios involuntaria y podrías llegar a afectar el negocio de una compañía y su continuidad operacional.

En cuanto a la metodología, hay muchas, en internet puedes encontrar muchas metodologías (como por ejemplo: https://www.dragonjar.org/como-realizar-un-pentest.xhtml ), pero ¿sabes que?, eso te ayudará a iniciar en tu camino pero no te formará el criterio para poder encontrar las grandes brechas que puedan afectar a un sistema.

Si realmente deseas tener buenas herramientas para ser un buen pentester, entonces busca conocimiento, el conocimiento es la mejor herramienta del mejor pentester y podrás encontrarla en cualquier comunidad de conocimiento libre como esta y otras más, sin pagar por certificaciones ni contenido. No te llenes con lectura o teorías, ve siempre al grano, a la práctica, aprende a utilizar la tecnología que vas a auditar, instala tus propios laboratorios, no dejes que otros lo hagan por ti y sabrás donde encontrar sus vulnerabilidades.

Saludos.