Herramientas, tácticas y procedimientos de post-explotación

  • July 12, 2015
  • tuxotron
    • pwnwiki.jpg

    Recolectas la información de tu objetivo (recon), aprovechas alguna vulnerabilidad y comprometes el sistema, y ¿ahora qué? ¿Qué haces en el sistema? ¿Cómo te mueves por él? ¿Qué ficheros deberías buscar? ¿Cómo puedes dejar el sistema abierto para tu propio beneficio de forma persistente? ¿Es este el sistema objetivo o tienes que empezar a pivotar o moverte por la red interna? ¿Tengo el acceso que necesito o necesito escalar privilegios?

    Respuesta a todas esas preguntas las puedes encontrar en Pwnwiki.io.

    En ese sitio web recolectan herramientas, tácticas y procedimientos, así como otros recursos, mayormente enfocados a la post-explotación, o el qué hacer una vez has comprometido un sistema.

    Cómo suele ocurrir con este tipo de proyectos, está en continuo desarrollo o actualización. También puedes descargar el wiki completo en formato .zip o hacer una copia del repositorio en Github.

    Si lo descargas de una forma u otra, todo lo que tienes que hacer es abrir desde al navegador el fichero index.html. Los navegadores modernos puede que te den algún problema accediendo al wiki de esta forma. Tu otra opción es poner dentro de un servidor web, quizás el más simple sea:

    python -m SimpleHTTPServer

Herramientas para jugar y aprender criptografía

  • July 11, 2015
  • tuxotron
    • metadecryptor.png

    Criptografía es una de esas ciencias que sin una buena base en matemáticas es dura de aprender. Por ello, desde mi punto de vista, cualquier herramienta o utilidad que nos facilite su aprendizaje es bien recibido.

    Una de las herramientas bien conocida por cualquiera que haya jugado un poco con este tema es Cryptool 1 y/ó 2, pero esta entrada no es para hablaros de Cryptool, sino de Metadecryptor.

    Metadecryptor es un conjunto de herramientas escritas en python cuya finalidad es la decodificación, desencriptado, criptoanálisis y finalmente el aprendizaje de esta ciencia.

    Entre sus utilidades tenemos: de/codificadores (hexadecimal, base64, morse, etc), manipulación de cadenas de texto, criptografía moderna, conversores, etc.

    Puedes descargar su código desde Github. Aquí tienes algunos ejemplos de uso.

Recursos para el desarrollo de aplicaciones seguras

  • July 6, 2015
  • tuxotron
    • appsec.jpg

    No importa que tipo de aplicación escribas o que lenguaje uses, la cruda realidad es que tus aplicaciones tendrán vulnerabilidades. Cuantas más líneas de código escribas, más errores cometerás.

    La importancia de tomarse muy en serio la seguridad de una aplicación es crucial en los tiempos que corren. Ya lo dicen muchos expertos: hay dos tipos de empresas, las han sido comprometidas y las que todavía no lo saben.

    A la hora de escribir aplicaciones seguras, es como el uso de patrones de diseño, no reinventes la rueda y sigue las prácticas recomendadas por expertos que han sido establecidas y probadas por muchos y por mucho tiempo.

    Existe un repositorio en Github llamado Awesome AppSec que recopila una gran cantidad de recursos (libros, artículos, clases, etc) relacionados con la seguridad de aplicaciones.

    La lista de recursos tiene un apartado General y luego un apartado para varios de los lenguajes de programación más usados actualmente:

    Echo en falta la presencia de Objective-C o iOS, pero estos son listas en continuo mantenimiento, así que posiblemente aparezcan pronto.

    Como nota extra, este proyecto es parte de un proyecto más grande llamado Awesome, el cual contiene una enorme lista agrupada por distintos temas y cada uno recopila una lista de recursos relacionados con el mismo.

    Esto sin duda alguna es un enlace para tener a mano en cualquier momento.

Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces