|
453
|
Seguridad Informática / Criptografía / Re: descifrar payload
|
en: 5 Julio 2019, 05:46 am
|
Pues si, es un reto efectivamente pero solo me lo compartieron y quería compartirlo acá, a mis compañeros les hablé bien de esta sección y les dije.... si nadie lo ha sacado, de seguro que en el foro lo sacan xD Muchas gracias por la ayuda cpu2 y MCKSys se agradece mucho, ahora podré ir a presumir a mis amigos otraves sobre esta sección del foro xD
|
|
|
454
|
Foros Generales / Foro Libre / Re: Infierno en “casita de Dios”: curas violaban niños sordos ayudados por una monja
|
en: 30 Junio 2019, 21:24 pm
|
Eso pasa por dejar a cargo de una iglesia a alguien que no tiene una pisca de conciencia sobre la moral, el cristianismo y todo lo demás, esas personas jamás han vivido realmente una comunión con Dios, a demás, en ningun lado la biblia dice que el encargado de una iglesia no se puede casar o tener pareja, por lo contrario, es un requisito tener una pareja para ser lider de una iglesia. 1 timoteo 3:1-7 Palabra fiel es ésta : Si alguno aspira al cargo de obispo, buena obra desea hacer. 2 Un obispo debe ser, pues, irreprochable, marido de una sola mujer, sobrio, prudente, de conducta decorosa, hospitalario, apto para enseñar, 3 no dado a la bebida, no pendenciero, sino amable, no contencioso, no avaricioso. 4 Que gobierne bien su casa, teniendo a sus hijos sujetos con toda dignidad 5 (pues si un hombre no sabe cómo gobernar su propia casa, ¿cómo podrá cuidar de la iglesia de Dios?); 6 no un recién convertido, no sea que se envanezca y caiga en la condenación en que cayó el diablo. 7 Debe gozar también de una buena reputación entre los de afuera de la iglesia , para que no caiga en descrédito y en el lazo del diablo. A demás, la biblia condena a aquellas religiones que prohiben casarse o dar en matrimonio y no habla de manera generalizada: 1 timoteo 4:1-7 Pero el Espíritu dice claramente que en los últimos tiempos algunos apostatarán de la fe, prestando atención a espíritus engañadores y a doctrinas de demonios, 2 mediante la hipocresía de mentirosos que tienen cauterizada la conciencia; 3 prohibiendo casarse y mandando abstenerse de alimentos que Dios ha creado para que con acción de gracias participen de ellos los que creen y que han conocido la verdad Claramente una religión que saca de contexto la palabra y que enseña justamente lo contrario que recomienda la biblia no tendrá una actitud correcta y recta sino que saldrán a la luz cosas como las que se comentan en esta noticia. Mateo 7:15-17 Cuidaos de los falsos profetas, que vienen a vosotros con vestidos de ovejas, pero por dentro son lobos rapaces. 16 Por sus frutos los conoceréis. ¿Acaso se recogen uvas de los espinos o higos de los abrojos? 17 Así, todo árbol bueno da frutos buenos; pero el árbol malo da frutos malos O sea, la gente cae por ignorancia en este tipo de centros como el denunciado, porque no buscan ni leen ni quieren saber nada mas allá que solo ir a una iglesia los fin de semana para sentirse bien personalmente, en ves de buscar la verdad que está a la luz, tan solo a unas cuantas hojas y lineas de texto de distancia. Debido a casos como estos la gente rechaza y deja de creer en Dios creyendo que ser cristiano necesariamente significa ser católico o ser parte de una religión o estar encerrado en 4 paredes (aunque no quiero decir que ir a una iglesia sea malo, pero no a cualquier iglesia o religión).
|
|
|
455
|
Seguridad Informática / Hacking / Re: [Herramienta] Escaneador de subdominios
|
en: 28 Junio 2019, 05:26 am
|
Me faltan opciones a full que si puedo modificar directamente en el código pero no desde la interfaz. Le acabo de agregar una funcionalidad para ingresar argumentos y controlar los métodos entre otras cosas nuevas tales como un filtrado de resultados. He separado el núcleo de la app de los métodos de búsqueda y filtros para que sea mas facil añadir nuevas funcionalidades personalizadas. Por ejemplo, ahora tiene un filtro para buscar puertos abiertos en cada dirección ip encontrada del arbol de resultados o buscar servicios http y el título de las páginas, así hace mas rápido el trabajo de enumeración para un pentester. Mas adelante le agregaré nuevos argumentos para controlar la cantidad de threads, servidores ns, etc. Todos los cambios están descritos en el repositorio de github, en el archivo readme en español. Saludos.
|
|
|
456
|
Seguridad Informática / Hacking / Re: [Herramienta] Escaneador de subdominios
|
en: 24 Junio 2019, 06:00 am
|
Las faltas ortográficas están arregladas. La llave en el json también. El forzado a minúsculas también, tanto en el método como en el input.
Los DNS de google son los más estables que he encontrado hasta ahora, esta app la llevo usando durante varios años y he probado varios servidores, por ejemplo los de cloudflare tienen pérdida tanto por tcp como por udp, hay veces en que muestran registros inexistentes cuando realmente existen, especialmente cuando los sometes a estrés, en cambio los de google son muy fiables, nunca te dará un falso positivo, es más lento pero más efectivo. También he probado algunos dns latinos y de verdad que para fuerza bruta lo que mejor va sin saturaciones ni baneos ni falsos positivos es google. De todas maneras se pueden cambiar directamente desde el script, de hecho tiene otros servidores comentados, pero mas adelante le haré un argumento para poder utilizar servidores dns personalizados o un archivo de configuraciones. Los 100 threads son suficientes, más de 100 dan muchos errores y crea una cola de solicitudes muy grande y comienzan a crear falsos positivos, por eso hice que las conexiones fueran vía TCP y no UDP, por la saturación.
Lo de shodan lo pensé varias veces pero no ofrece algo directo para obtener subdominios y necesitas su api, la extracción es muy lenta, no es como google que puedes omitir los que ya vas encontrando, por eso lo descarté, pero talves algún día lo agregue (o talves alguien lo agregue haciendo un pull request).
Saludos.
|
|
|
460
|
Seguridad Informática / Hacking / Re: pentesting
|
en: 13 Junio 2019, 03:50 am
|
Hola, como estás, bienvenido al foro. Una persona que realiza un trabajo de pentesting no tiene una manera mecanizada de hacer las cosas ni herramientas que siempre utilice, todo dependerá de que tipo de sitio web necesites revisar. Yo tengo varios años de experiencia como pentester y rara ves hago uso de herramientas reconocidas por pentesters para hacking web. Si te puedo mencionar algunas herramientas tales como scripts de nmap, acunetix, sqlmap, etc, en Kali Linux hay muchas herramientas que te podrán ayudar a realizar un trabajo de pentesting, pero ojo, las herramientas no te harán ni la mitad de todo el trabajo. Un buen trabajo de un pentester web dependerá de la habilidad de la persona y no de sus herramientas, por ejemplo yo acostumbro muchisimo a utilizar netcat y sublime text para crear peticiones http de manera manual, también hago mucho uso de la pestaña de red de las herramientas de desarrollo de firefox para poder replicar envíos de solicitudes HTTP. Como verás, no hago uso de herramientas donde hagas un click y te digan que problemas tiene un sitio WEB y eso en la práctica no existe, si existen herramientas de apoyo como acunetix que te pueden dar no mas del 10% del estado real del sitio web en cuanto a vulnerabilidades. Por ejemplo, un software no es capaz de reconocer un dato como por ejemplo un DNI o un valor de dinero o un identificador, para el softwares son solo valores de un campo y ya, por lo cual no saben distinguir cuando encuentran por ejemplo la posibilidad de modificar un valor de un monto de dinero, eso es crítico para un sistema financiero por ejemplo, pero para el software es solo un valor que cambia y si no tiene xss o inyección sql entonces no es vulnerable. A demás, algunas herramientas tienen funcionalidades de crawler, esto quiere decir que ingresan a la pagina web, toman todos los enlaces y urls y las revisan, no son capaces de autenticarse o reconocer que no tienen que presionar el botón de eliminar una cuenta xD y ese tipo de cosas, por eso por lo general estas herramientas automatizadas son peligrosas y no deben utilizarse en ambientes productivos, puedes causar una denegación de servicios involuntaria y podrías llegar a afectar el negocio de una compañía y su continuidad operacional. En cuanto a la metodología, hay muchas, en internet puedes encontrar muchas metodologías (como por ejemplo: https://www.dragonjar.org/como-realizar-un-pentest.xhtml ), pero ¿sabes que?, eso te ayudará a iniciar en tu camino pero no te formará el criterio para poder encontrar las grandes brechas que puedan afectar a un sistema. Si realmente deseas tener buenas herramientas para ser un buen pentester, entonces busca conocimiento, el conocimiento es la mejor herramienta del mejor pentester y podrás encontrarla en cualquier comunidad de conocimiento libre como esta y otras más, sin pagar por certificaciones ni contenido. No te llenes con lectura o teorías, ve siempre al grano, a la práctica, aprende a utilizar la tecnología que vas a auditar, instala tus propios laboratorios, no dejes que otros lo hagan por ti y sabrás donde encontrar sus vulnerabilidades. Saludos.
|
|
|
|
|
|
|