28 de nov. de 2011

[Video Metasploit] Ataque DoS en Window 7


Bueno, este video lo posteo para que practiquen con Metasploit y de manera "entretenida", es muy fácil de llevar a cabo. Y trata esencialmente de una vulnerabilidad para "dejar pegado" Windows 7.

Este módulo se aprovecha de una falla de denegación de servicio en el cliente SMB de Windows 7 y Windows Server 2008 R2. Para provocar este error, este módulo se ejecuta como un servicio y fuerza a un cliente vulnerable a acceder a la IP de este sistema como un servidor SMB. Esto se puede lograr mediante la incorporación de una ruta UNC (\HOST\share\something) en una página web. La víctima tiene que acceder a la URL entregada por Metasploit usando Internet Explorer, o un documento Word.

18 de nov. de 2011

[Video Metasploit] Troyanizando un paquete *.deb

Quiero postear este video que lo encontré bastante interesante y útil ya que una de las formas más faciles de acceder a un sistema es simplemente enviando un archivo infectado con cualquier tipo de malware (Troyano, keylogger, backdoor, etc...) a nuestra victima y que mejor forma para infectar un Linux que hacerle creer a la víctima que está instalando un simple paquete *.deb con un regalito dentro, a continuación el video y la explicación:

14 de nov. de 2011

[GoLISMERO] Simplificando tus Auditorías Webs


Hace poco me entero de una gran iniciativa en www.iniqua.com el cual me ha gustado, GoLISMERO creado por Dani, que consta principalmente de un spiders de urls que ayuda bastante para encontrar posibles SQLi y más. Los dejo con la info:

¿Qué es GoLISMERO?

GoLISMERO es un spider web capaz de detectar vulnerabilidades y formatear los resultados de forma muy útil cuando se afronta una auditoría web.

¿Para qué sirve?

GoLISMERO está pensado para ser un primer paso cuando comenzamos una auditoría de seguridad web.

Cada vez que nos enfrentamos a una nueva URL, ¿no sería genial poder disponer de forma sencilla y rápida de todos los enlaces, formularios con sus parámetros, detectar posibles URL vulnerables y que además de que se presentasen de manera que nos permita hacernos una idea de la todos los puntos de entrada donde podríamos lanzar ataques? GoLISMERO nos permite hacer todo esto.

7 de nov. de 2011

[Video Metasploit] Microsoft Office 2007 Excel .xlb Buffer Overflow

Descripción:
Este módulo se aprovecha de una vulnerabilidad en Excel de Microsoft Office 2007. Mediante el suministro de un archivo con formato incorrecto *.xlb, un atacante puede controlar el contenido (código) de una rutina de memcpy, y el número de bytes a copiar, causando un stack- based buffer overflow. Esto da como resultado la ejecución de código arbitrario.

3 de nov. de 2011

Presentaciones y Videos OWASP AppSes USA 2011

Paseándome por la red me encuentro con que se han publicado las presentaciones y videos de la OWASP AppSes USA 2011, y la verdad es que me gusta mucho la iniciativa OWASP que es un proyecto de código abierto dedicado al seguridad de aplicaciones Web. Si bien la documentación está en ingles, igual les dejo la noticia ya que están muy buenas.

El pasado 20 al 23 de septiembre se realizó en Minneapolis la OWASP AppSes USA 2011, la conferencia más grande de seguridad en aplicaciones y desarrollo de software. Ya se encuentran disponibles las presentaciones y videos para descarga: