Metasploitable – Entorno de entrenamiento en seguridad

En el pasado ya hemos presentado sistemas de entrenamiento en seguridad informática, distribuciones linux vulnerables por defecto , aplicaciones web vulnerables, que nos ayudan a testear nuestros conocimientos sin necesidad de meternos en problemas legales. En esta ocasión les traigo la ultima creación de Metasploit (creadores del famoso Metasploit Framework) llamada Metasploitable; una imagen de VMware (versión 6.5) que contiene un sistema Ubuntu 8.04 con mas de 15 servicios vulnerables los cuales pueden ser explotados usando metasploit. Metasploitable esta pensado para testear todas las opciones que nos ofrece Metasploit, te dejo el listado de servicios y configuraciones que incluye Metasploitable, los cuales seguro nos darán varias horas de diversión garantizada. System credentials: ------------------- msfadmin:msfadmin user:user service:service postgres:postgres klog:123456789 Discovery: ------------- ftp 21/tcp ssh 22/tcp telnet 23/tcp smtp 25/tcp dns 53/tcp dns 53/udp http 80/tcp netbios 137/udp smb 139/tcp smb 445/tcp mysql 3306/tcp distccd 3632/tcp postgres 5432/tcp http 8180/tcp Bruteforce: ----------- smb Anonymous ssh 6 sessions telnet 6 sessions bind n/a apache 2 web apps (twiki and tikiwik) postgres db compromise (postgres:postgres) mysql db compromise (root:root) tomcat 5.5 shelled (tomcat:tomcat) Exploits: --------- distcc Excellent 1 session on all ranking levels tomcat_mgr_deploy Excellent requires credentials tikiwiki_graph_formula Excellent 1 session on all ranking levels twiki Excellent information disclosure mysql_yassl_getname Good triggers crash, but not working Para utilizar Metasploitable, solo necesitas tener el VMware Player (gratuito y multiplataforma), descargar vía torrent la imagen del Metasploitable e iniciar la maquina virtual. Más Información: Introducing Metasploitable [sam_ad...

Leer Más

COMBAT Training v2.0 en Colombia

El COMBAT Training ya se realizó en la ciudad de Bogotá y la de Medellín, si quieres ver qué paso en cada una de estas ediciones, puedes entrar a: Así fue el COMBAT Training en Bogotá Así fue el COMBAT Training en Medellín ————————– _ ————————– _ ————————– La Comunidad DragonJAR y BASE4 Security traerán a colombia el COMBAT Training, una de las mas completas capacitaciones en seguridad informática, dictadas en español. Durante este curso de 5 días, el asistente aprenderá como comprometer la seguridad de toda una organización utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales. Este es un curso altamente práctico, donde el asistente se enfrentará a diferentes desafíos que deberá superar, y que luego serán explicados en detalle. De esta forma, el asistente aprenderá del instructor, de sus colegas, y de sus propios errores y aciertos. MODALIDAD DEL CURSO El COMBAT training es un curso 90% práctico – 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor. A cada asistente se le proveerá una máquina virtual con BACKTRACK, una distribución de Linux diseñada para Penetration Testers, desde donde se realizarán la mayoría de los laboratorios. También se proveerá una placa Wireless para ser usada durante los laboratorios de Wireless Hacking. QUIEN DEBERÍA ASISTIR Penetration Testers, Ethical Hackers, Consultores y Auditores que necesiten tener un mayor conocimiento técnico, Estudiantes de Sistemas, todos aquel los interesados en aprender como descubrir vulnerabilidades en las redes de su organización. FECHA, LUGAR Y COSTO Las fechas y las ciudades donde se realizarán las 2 capacitaciones son: BOGOTÁ: 5,6,7,8 y 9 de Abril de 9am a 6pm. MEDELLÍN: 12,13,14,15 y 16 de Abril de 9am a 6pm. El costo es de 999USD (el mismo entrenamiento en argentina tiene un costo de 1200USD) e incluye una entrada gratuita a la EKO Party de este año, certificación del training, almuerzos, refrigerios, memoria y participación el el Capture The Flag al final del curso, cuyos premios son: Espadas, dagas y estrellas ninja FORMAS DE PAGO: Realizar una consignacion bancaria en cualquier Citibank de tu ciudad a la cuenta de ahorros 1000793929 a nombre de Jaime Andrés Restrepo (despues de esto envias una copia escaneada de la consignación Sol Argento <[email protected]>). Otra forma de pago es enviar desde cualquier agente de Wester Union el dinero a nombre de Luis Alberto Cruz, Capital Federal, Argentina y remitir el numero de control de envio de dinero (MTCN) y los datos del remitente o pagador al siguiente email Sol Argento <[email protected]>. Pagar en linea con tarjeta de crédito, mediante la siguiente dirección >>http://www.base4sec.com/HyNCT2.0-colombia.html Si no tienes todo el dinero...

Leer Más

Confirmado el COMBAT Training en Colombia

Es un placer para La Comunidad DragonJAR y Base 4 Security anunciar las fechas en las que se llevará a cabo el primer COMBAT Training realizado en Colombia, debido a la gran acogida que ha tenido esta capacitación en seguridad informática, decidimos realizarlo en 2 de las principales ciudades de nuestro país, Bogotá y Medellín, en las cuales se encuentran la mayoría de los pre-inscritos. Las fechas en las que se realizarán las 2 capacitaciones son: BOGOTÁ: 5,6,7,8 y 9 de Abril de 9am a 6pm. MEDELLÍN: 12,13,14,15 y 16 de Abril de 9am a 6pm. Si apenas te enteras del COMBAT Training, te recomiendo que leas el anuncio realizado en la comunidad o descargues este documento en PDF con toda la información. Recuerden que para mantener la calidad de cada entrenamiento el numero máximo de asistentes en cada ciudad es de 20 personas, por eso es recomendable que si estas pre-inscrito, confirmes tu asistencia realizando el pago del training por alguno de estos medios, si no estas pre-inscrito pero estas interesado en asistir al entrenamiento, puedes llenar el siguiente formulario para realizar tu pre-inscripción. Es la primera vez que una capacitación en seguridad de este tipo se realiza en Colombia (al menos de forma publica), !NO te la puedes perder¡, si tienes alguna duda puedes publicarla en los comentarios, o hacerla llegar a cualquiera de estos correos sargento (arroba) base4sec.com o dragon (arroba) dragonjar.org Mas Información: COMBAT Training v2.0 en Colombia Capacitaciones Base4 Security Formas de Pago...

Leer Más

Tercer Encuentro Internacional de Seguridad Informática – Día II

Seguimos con el reporte día a día del Encuentro Internacional de Seguridad Informática (EISI), realizado en la Universidad de Manizales, en el segundo día (jueves 8 de octubre) nos encontramos con charlas tan técnicas como la de David Batanero sobre análisis forense de móviles o tan innovadoras como la de Martín Rubio sobre Biohacking. Análisis forense en terminales móviles  –  David Batanero Gómez El  dia empezó con la charla de David Batanero sobre Análisis forense en terminales móviles, en la que nos muestra como podemos hacer un análisis forense a los dispositivos móviles a diferentes niveles, también recalca lo resistentes de estos dispositivos y como es posible recuperar información de ellos aunque los demos por “inservibles”. Descargar charla de David Batanero sobre Análisis Forense de Móviles El Juez de control de garantía frente al tratamiento de datos personales  –  Alexander Díaz García En la siguiente charla Alexander Díaz García nos habla sobre la ley de habeas data y como un Juez de control de garantía debe reaccionar frente al tratamiento de datos personales, estamos a la espera que alexander nos envié las memorias de su charla para publicarla a nuestros visitantes. Laboratorios de entrenamiento en seguridad informática – David Moreno Después David Moreno, mas conocido como 4v4t4r co-administrador de nuestra comunidad y encargado de los laboratorios en ella dio una charla sobre Laboratorios de entrenamiento en seguridad informática y aprovechó el espacio para hacer publico el proyecto Sec-Track.com un repositorio de recursos relacionados con la implementación y desarrollo de laboratorios  de entrenamiento e investigación sobre Seguridad Informática. Descargar charla de David Moreno sobre Laboratorios de Entrenamiento en Seguridad Obteniendo información de seguridad de nuestro sistema.  –  Gunnar Eyal Wolf En la siguiente charla, la del mexicano Gunnar Eyal Wolf, nos muestra como Obtener información de seguridad de nuestro sistema utilizando herramientas de monitoreo de redes como munin, una excelente herramienta que todos los administradores de redes y sistemas deberían conocer. Descargar charla de Gunnar Wolf sobre Monitoreo de Redes con Munin Tómate en serio la seguridad  –  José María (Chema) Alonso El famoso Jose Maria (Chema) Alonso nos mostraba en su charla Tómate en serio la seguridad la delicada informacion que se incluye en los metadatos de los archivos, nos enseña con ejemplos la informacion sensible publicada en paginas como las del FBI y otras instituciones de estados unidos, y nos presento la FOCA una herramienta que automatiza el proceso de extracción de meta datos y nos la organiza para un análisis mas ameno. Descargar charla de Jose Maria (Chema Alonso) sobre Tomate en Serio la Seguridad Análisis Forense de Malware  –  Oscar Ruiz Oscar Eduardo Ruiz nos da...

Leer Más

Damn Vulnerable Web App

Ryan Dewhurst desarrollador del DVWA (Damn Vulnerable Web App) ha liberado hoy una nueva versión (1.0.5), de esta excelente herramienta para testear diferentes vulnerabilidades web. 4v4t4r ya nos había comentado sobre esta aplicación que tiene como finalidad ofrecer a los profesionales, estudiantes e investigadores en seguridad informática un conjunto de utilidades con las cuales podemos exploter y entender un amplio grupo de vulnerabilidades web. Algunos cambios en esta nueva versión: Se re escribió completamente el codigo. Se rediseño completamente el aspecto de la aplicación. Se agrego la vulnerabilidad CSRF. Ahora las vulnerabilidades XSS se almacenan. Se agrego la vulnerabilidad Full Path Disclosure. Cuenta con un nuevo sistema de logueo. Ahora tiene manejo de secciones. Algunos bugs arreglados. Se implemento el PHPIDS. y muchas cosas mas… Si te intereso la pasada versión del Damn Vulnerable Web App, no dudes en descargar esta nueva versión los dejo en compañía de este vídeo tutorial de instalación de Damn Vulnerable Web App. Descargar Damn Vulnerable Web App Mas Información: Sitio Oficial de Damn Vulnerable Web...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES