Curso Gratuito ONLINE, de Introducción a Metasploit
May06

Curso Gratuito ONLINE, de Introducción a Metasploit

Como lo prometimos en el webinario anterior, que por cierto si aún no has visto has click acá, iniciaremos una serie de webinarios gratuitos online, de diferentes herramientas muy usadas por los profesionales de la seguridad informática. En esta oportunidad te invitamos al webinario que tendremos el próximo jueves 7 de mayo a las 7:30 hora Colombia (GMT -5) de Introducción a Metasploit, en el podremos ver desde cómo está compuesto el framework, conceptos fundamentales para el uso adecuado de la herramienta, demostraciones de los diferentes usos que le podemos dar más allá del típico lanzamiento de exploits. Recuerda que solo tenemos 100 cupos disponibles y nuestros webinarios siempre se llenan y en esta ocasión tenemos un anuncio importante que hacerles, por tanto te recomendamos dejar tus datos o actualizarlos en el siguiente formulario, para que recibas las información de primera mamo REGISTRATE O ACTUALIZA TUS DATOS PARA ACCEDER AL...

Leer Más
¿Cómo se realiza un Pentest?
Mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más
Curso Gratuito ONLINE, de Introducción al Pentesting
Mar11

Curso Gratuito ONLINE, de Introducción al Pentesting

En todos estos años involucrados de manera activa en seguridad informática, hemos visto muchas cosas que hubiésemos preferido no haber visto nunca de un “colega”, desde el cliente que nos muestra el informe del último pentest recibido y se nota a simple vista que es sacado de Nessus, maquillado, traducido al español y lastimosamente con los sellos y firmas de “reconocidas” empresas o consultoras nacionales e internacionales, pasando por el auditor que “colecciona” certificaciones [principalmente “por que la empresa paga”] pero a la hora de la verdad tiene un desempeño que no tiene coherencia con sus cartones por no decir otra cosa o la empresa que se dice “de seguridad informática” pero al solicitar su historial de contrataciones a la Cámara de Comercio sus contratos públicos son por “compra, venta y transformación de caucho” o “reparación y mantenimiento de equipos de computo”, pero tal vez el caso que se ve más frecuentemente es el de el “pentester” que se lanza “al ruedo” o inicia un trabajo sin seguir una metodología clara sobre lo que va a hacer [aunque en la propuesta enviada a la empresa que lo contrató especificaba “seguir estándares y metodologías avaladas internacionalmente”]. Esta última situación en particular nos incomoda mucho la verdad, tal vez sea por que en la empresa llevamos de la mano tanto la seguridad ofensiva y defensiva como el análisis forense digital donde se debe tener un gran respeto por las metodologías y los pasos específicos a seguir para llevar a buen termino un trabajo o por que nuestra segunda linea de negocio sea la de capacitar las futuras generaciones de consultores y profesionales de la seguridad informática, ya sea en programas tradicionales con reconocidas Universidades o en programas prácticos online como los ofrecidos en la linea De 0 a Ninja. Sea cual sea el caso hemos decidido aportar una solución y compartir con toda la comunidad nuestra visión de “como se debe hacer un pentesting” regalando un curso en linea sobre el tema, que se realizará el próximo martes 24 de Marzo de 2015 a las 7:30PM Hora Colombiana [GMT -5]; La finalidad de este curso gratuito es guiar a las nuevas generaciones por el camino correcto del Ethical Hacking, darles los lineamientos para que se conviertan en verdaderos profesionales que es lo que realmente necesita nuestro gremio. Para participar solo debes hacer click en la siguiente imagen y llenar el formulario de...

Leer Más
De 0 a Ninja con Nmap
Feb23

De 0 a Ninja con Nmap

Nmap es una herramienta indispensable para el administrador de sistemas o el profesional de la seguridad informática, que permite la enumeración de equipos y redes pero que hace mucho tiempo paso de ser solo un simple escáner de equipos y puertos para ser una completa y versátil herramienta con una comunidad dinámica (que siempre esta disponible a colaborar y aportar) y con scripts para casi todas las etapas que se realizan en un pentest. Si bien es cierto que existe mucha documentación sobre Nmap disponible en la red, también es cierto que cuando nos explican paso a paso un procedimiento, de forma ordenada, metódica y basado en la experiencia del uso diario se logra acortar muchísimo la curva de aprendizaje, logrando convertir lo que te tardaría meses o semanas en aprender de forma autodidacta a unas pocas horas cuando alguien nos guía en el proceso. Con esta mentalidad nacen los procesos de capacitación de DragonJAR, capacitaciones que buscan la transmisión de conocimientos y experiencias previas vividas por los docentes (altamente calificados) con el fin de que una vez finalizado el taller puedas aplicar rápidamente los conocimientos adquiridos sin repetir los tropiezos y desvíos que conllevan el auto aprendizaje. Si estas interesado/a en participar en el curso de 0 a ninja con Nmap, te dejo la siguiente información: Temario del Curso De 0 a Ninja con Nmap Introducción a Nmap Instalando Nmap & Conceptos Fundamentales Nmap para todos los días, los mejores tips para sysadmin Sacando el MÁXIMO de Nmap usando su Motor de Scripts (NSE) Realizando un pentest con Nmap (Recopilación, Enumeración, Análisis, Explotación, Documentación) Construyendo Nuestros Propios Scripts y más… Generación de Reportes y modelado de informes… ¿Que incluye el curso? Cuando confirmes tu participación al curso podrás acceder a 5 clases de 2 horas cada una en los siguientes días y horarios (GMT -5). 9 de Marzo de 2015 7:30 pm (GMT -5). 10 de Marzo de 2015 7:30 pm (GMT -5). 11 de Marzo de 2015 7:30 pm (GMT -5). 12 de Marzo de 2015 7:30 pm (GMT -5). 13 de Marzo de 2015 7:30 pm (GMT -5). Acceso a la documentación ofrecida por el docente, maquinas virtuales para que puedas validar tus conocimientos en clase, podrás acceder a las grabaciones de las clases si no alcanzas a estar en vivo por algún motivo, tendrás un certificado digital al finalizar la capacitación y acceso por 4 semanas a nuestro entorno de entrenamiento en linea y acceso de por vía a un foro VIP de alumnos y ex-alumnos donde se comparte contenido de gran valor para continuar tu aprendizaje. Pero además en esta oportunidad, todos los alumnos...

Leer Más
Desarrollo de módulos auxiliares HTTP en Metasploit – Vulnerabilidad Highlight Joomla
Feb03

Desarrollo de módulos auxiliares HTTP en Metasploit – Vulnerabilidad Highlight Joomla

Continuando con los tutoriales para la construcción de módulos auxiliares en metasploit (Click aquí para ver la primera entrega), el siguiente tutorial ilustra la construcción de un módulo para explotar una vulnerabilidad de Joomla versiones anteriores a 2.5.8 o 3.0.2. Estas versiones del CMS Joomla no validan correctamente el parámetro hightligth, el luego el valor de este parámetro se pasa a la función unserialize El peligro de utilizar la función unserialize es que permite la instancia de clases, esto quiere decir que si como parámetro enviamos el nombre de una clase, esta función internamente crea la instancia de la clase y ejecuta sus funciones de construcción y destrucción. Para mayor información sobre los peligros del método unserialize de PHP favor remitirse a los siguientes enlaces. http://www.sied.com.ar/2014/02/la-explotacion-de-los-insectos-exoticos-unserialize-el-post.html El investigador Marcin “redeemer” Probola público un script realizado en Python, el cual aprovecha la vulnerabilidad y el cual vamos a utilizar como base para la creación de nuestro módulo en Metasploit. Marcin “redeemer” Probola hace uso de una clase en Joomla que se llama JStream esta clase cuenta con las características necesarias para invocarla desde la función unserialize y cuenta con un método adicional llamado close el cual se invoca una vez se llama el método destructor de la clase JStream. El script de redeemer se utiliza para crear una conexión ftp con un servidor que pasamos por parámetro y la función close como es invocada al destruir la clase permite ampliar lo que es una petición normal http a una ftp con comando de escritura de permisos. Lo cual es aprovechado para hacer denegación de servicio (DOS) del servicio http. Vamos a empezar a crear nuestro modulo en metasploit y como siempre lo primero es la definición y los parámetros: Nombre, descripción, autor …… Y como parámetro la url del Joomla, dado que a veces es utilizado como un sub-sitio. Las dos primeras funciones son funciones auxiliares que nos van ayudar a definir los valores de las variables de la url de joomla y el protocolo. Si requieren más información de esta asignación pueden remitirse al primer tutorial de Desarrollo de Módulos Metasploit http://www.dragonjar.org/desarrollo-de-modulos-auxiliares-http-en-metasploit.xhtml Vamos a centrarnos en las funciones run_host y una función creada para el ataque do_request La función run_host es la que se llama por defecto cuando ejecutamos el comando run desde la consola de Metasploit. Como el ataque es de Denegación de servicio, el siguiente código realiza dos ciclos, uno de 1 a 15 y el otro de 0 a 9, esto con el fin de generar 150 peticiones. A su vez utilizo la función framework.threads.spawn para generar los hilos y que las peticiones sean en paralelo...

Leer Más
NSEarch (Nmap Script Engine Search)
Ene22

NSEarch (Nmap Script Engine Search)

NSEarch nace de una necesidad generada por mis actividades diarias como Pentester e Instructor de los cursos De 0 a Ninja en DragonJAR S.A.S, específicamente el curso De 0 a Ninja con Nmap, ya que como sabemos todos, para sacarle el máximo provecho a NMap en su uso diario es fundamental utilizar los scripts que incluyen esta gran herramienta, es en este punto en el cual me encontré repitiendo procesos que a mi parecer son poco ágiles, estoy hablando de la búsqueda de scripts, aunque nmap cuenta con pocos scripts si lo comparamos con proyectos como metasploit, 470 scripts en su versión 6.47 y un archivo script.db que contiene el nombre y las categorías a las que pertenece el script, lo tedioso surge cuando no tenemos muy claro el nombre del script o la función que desempeña, otras veces simplemente tenemos parte del nombre y nuestra memoria no da más. ¿Qué hacía yo en estos casos?, tenía varias opciones: Buscar en la carpeta “nmap/scripts” un script con un nombre similar, esto lo hacia por medio de un comando en bash y me solucionaba la necesidad, después utilice el archivo script.db, en este punto tenia solucionado el problema de la búsqueda, pero me encontré con otra situación, no todos los scripts funcionan de la misma forma, algunos requieren argumentos y otros no, nmap cuenta con un argumento “- – script-help” que nos muestra la ayuda de uno o varios scripts, para un script es una buena opción, pero en el caso de necesitar información de 10 scripts se debe encadenar la búsqueda con los nombres de los scripts seguidos de comas, es funcional, pero la salida puede ser un poco enredada, ya que no se discrimina de una forma clara la salida por script. Otra opción puede ser buscar en la documentación oficial de los scripts y navegar por cada uno scripts y leer la ayuda. Desde que se lanzaron los Cursos de 0 a ninja en DragonJAR S.A.S, hemos estado creando y adicionando material exclusivo constantemente, fue el caso del curso de 0 a ninja con nmap, (el cual será lanzado nuevamente en pocos días), me encontré otra vez con un proceso repetitivo y tedioso, preparando los laboratorios y las practicas surgió la necesidad de saber cuales eran los scripts incluidos en determinada categoría, nuevamente recurrí a mis modestas habilidades de programación y desarrolle un script que me buscara en el archivo scritp.db cuales eran los scripts en X categoría, claro que esta nunca fue mi primera opción, esta fue la de buscar en la documentación oficial de los scripts de nmap cuáles eran las categorías y cuales los...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices