PENTESTING

    Generador de imágenes Docker para infosec

    Docker Image Creator

    Este es un proyecto que llevaba tiempo dándole vueltas con Fran y que por fin he encontrado algo de tiempo para dedicarle.

    La idea es muy sencilla, básicamente es el crear una imagen Docker con ciertas herramientas sin tener que tener conocimientos de cómo crear una imagen Docker o de cómo instalar dichas herramientas.

    Por ejemplo, supongamos que queremos lanzar sqlmap contra una aplicación web, y en ese momento no tenemos a mano nuestra querida Kali, y tampoco queremos buscar sqlmap e instalarla en nuestro sistema. Una forma muy conveniente y limpia sería ejecutarla desde de un contenedor Docker, y cuando terminemos nos deshacemos del contendor y listo. Nuestro sistema se queda “intacto”. Para esto, uno tendría que crear un fichero Dockerfile, añadir los comandos necesarios para instalar sqlmap, y por último construir la imagen Docker, o buscar una imagen ya creada con sqlmap y usar dicha imagen, etc.

    Apr 12, 2020
    seguridaddocker

    Curso de pentesting sobre aplicaciones Android

    diva_pentesting.png

    DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android.

    Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada.

    El curso esta compuesto por 13 vídeos disponibles de forma gratuita:

    Feb 29, 2016
    HackingSeguridadAndroid

    Kali Linux 2.0

    kali-linux-2-0-released.png

    Hoy ha sido lanzada la nueva versión de Kali Linux. Este es sin duda el sistema más usado en auditorias de seguridad. No necesita presentación alguna y todas sus novedades las podéis encontrar en su blog oficial.

    Las diferentes imágenes de descarga las tenéis aquí, aunque se recomienda el uso de torrents para no saturar el servidor.

    Aquí os dejo el vídeo de presentación:

    Aug 11, 2015
    LinuxHackingSeguridad

    Colección de herramientas de "pentesting" para entornos Windows

    matrix11.jpg

    Cuando hablamos sobre auditar un sistema o sistemas, una de las primeras cosas que quizás haga uno sea armarse con una distribución Kali Linux, pero no sólo de Linux vive el pentester, de hecho un buen pentester debe ir más allá del simple uso de ciertas herramientas o sistema operativo.

    Si te enfrentas a una auditoría y todo de lo que dispones es de un sistema Windows, quizás esta colección de herramientas llamada Pentest Box te venga como anillo al dedo.

    Jun 4, 2015
    MicrosoftSeguridadHacking

    Web for pentester II, curso sobre penetración en aplicaciones web

    web_for_pentester_II.png

    Los chicos de PentesterLab.com han vuelto con un nuevo curso sobre penetración en aplicaciones web: Web for pentester II. En éste tocan la base de datos MongoDB, una de esas bases de datos denominadas NoSQL y que están tan de moda actualmente. También tratan con problemas de autenticación, más inyección de SQL, Captchas, autorización, aleatoriedad y asignaciones masivas.

    Como de costumbre, el curso está basado en una máquina virtual (32 o 64 bits - mirror a la iso de 64 bits) y un PDF que sirve de guía.

    Jul 16, 2013
    SeguridadHacking

    Ataques Man-In-The-Middle y otras pruebas pentesting usando hardware barato

    updated-wifi-pineapple

    Foto: Penturalabs

    Este proyecto utiliza un router modelo TP-LINK TL-WR703N  (21€, que entre otras características es portátil y puede funcionar como punto de acceso WiFi) ó el TP-LINK TL-MR3020 (27€, es un poco más grande que el anterior) para crear un sistema de ataques tipo Man-In-The-Middle desde hardware que puedes llevarte a cualquier parte. El sistema que se instala en el dispositivo es un viejo amigo que ya conocemos, OpenWrt.

    El objetivo es construir un sistema de pentesting parecido al WiFi Pineapple (de hecho utiliza el mismo firmware), el cual es un poco más caro (100$ dólares USA la versión standard) pero es más profesional (si puedes permitírtelo, no lo dudes, el WiFi Pineapple es realmente una máquina espectacular). Pero si quieres algo parecido mucho más barato, esta podría ser una opción.

    Apr 30, 2013
    HardwareSeguridadRedes

    Más explotación web

    web_for_pentester.png

    Los chicos de Pentesterlab.com nos vuelven a deleitar con otro curso guiado sobre penetración web.

    Web for pentester es un curso para principiantes donde podrás aprender los siguientes conceptos:

    • Basics of Web
    • Basics of HTTP
    • Detection of common web vulnerabilities:
      • Cross-Site Scripting
      • SQL injections
      • Directory traversal
      • Command injection
      • Code injection
      • XML attacks
      • LDAP attacks
      • File upload
    • Basics of fingerprinting
    El curso viene acompañado de un documento PDF con 106 páginas, más una máquina virtual especialmente preparada para seguir el documento anteriormente mencionado.

    Las máquinas virtuales las tienes en su versión de 32 y 64 bits.

    Mar 25, 2013
    Hacking

    Kali Linux 1.0 ya disponible

    kali-home-large-slider2.jpg

    Ya os contamos que Backtrack iba pasar a llamarse Kali Linux. Pues bien, ya es una realidad. Se acaba de lanzar oficialmente Kali Linux.

    Las novedades con respecto a Backtrack son:

    • Las actualizaciones vienen de los repositorios de Debian (4 veces al día).
    • Las herramientas de Kali son empaquetadas de acuerdo a la "normativa" Debian.
    • Algunas de las herramientas son actualizadas a su última versión (no necesariamente a su versión estable, night builds).
    • Facilitan la  creación de tu propia distribución basada en Kali (Bootstrap) .
    • Automatización de la instalación de Kali.
    • Desarrollo de Kali sobre architecturas ARM.
    • Fexibilidad a la hora de elegir tu escritorio favorito (KDE, LXDE, XFCE, etc).
    • Posibilidad de actualizar Kali a nuevas versiones, sin tener que que reinstalar.
    Puedes descargar la vaersión 1.0 desde aquí.
    Mar 13, 2013
    HackingLinux

    Plataforma de pentesting sobre 3G

    sheevaplug3g.png

    Bueno, esto sí que tiene buena pinta. ¿Os acordáis cuando hablamos del SheevaPlug o el GuruPlug? Pues ahora tenemos el PWN Plug 3G.

    El PWN Plug 3G es un dispositivo como el que ves en la foto. Realmente es un ordenador dentro de una caja del tamaño de una fuente de alimentación. Lo nuevo de este aparato es que viene con conectividad 3G, es decir, que si tienes cobertura 3G dónde lo tengas enchufado, tienes conexión a Internet.

    Jul 2, 2011
    LinuxHardwareSeguridadHacking

    Convierte tu teléfono Android en una plataforma de pentesting

    DNmxp

    Ribadeo es una distribución linux basada en gentoo, preparada para correr sobre la plataforma Android. Dicha distribución está orientada al pentesting o auditorías de seguridad.

    Ribadeo tiene joyas como Metasploit, nmap o w3af, además de muchas otras herramientas de este tipo e intérpretes como Ruby, python o perl.

    Todo lo que necesitas es tener tu terminal rooted, es decir, debes tener control total sobre el sistema y ser capaz de ejecutar aplicaciones como root. Además de ésto, también necesitas una aplicación de terminal (ConnectBot) y Scripting Layer for Android.

    Sep 12, 2010
    SeguridadAndroidHacking