PDF-Parser, tratando documentos PDF
Ene26

PDF-Parser, tratando documentos PDF

Para revisar rápidamente un documento PDF, por ejemplo por si quieres saber si es malicioso o no, no hace falta que lancemos el documento a una sandbox, esperar los resultados.. o Usar herramientas como PeePDF para analizar el archivo a fondo. Hay herramientas con 5,6 u 7 opciones que cumplen perfectamente su propósito. La herramienta se llama PDF-Parser y está desarrollada por Didier Stevens. La descargamos y la ejecutamos: Usage: pdf-parser.py [options] pdf-file|zip-file|url pdf-parser, use it to parse a PDF document &nbsp; Options: --version             show program's version number and exit -h, --help            show this help message and exit -s SEARCH, --search=SEARCH string to search in indirect objects (except streams) -f, --filter          pass stream object through filters (FlateDecode, ASCIIHexDecode, ASCII85Decode, LZWDecode and RunLengthDecode only) -o OBJECT, --object=OBJECT id of indirect object to select (version independent) -r REFERENCE, --reference=REFERENCE id of indirect object being referenced (version independent) -e ELEMENTS, --elements=ELEMENTS type of elements to select (cxtsi) -w, --raw             raw output for data and filters -a, --stats           display stats for pdf document -t TYPE, --type=TYPE  type of indirect object to select -v, --verbose         display malformed PDF elements -x EXTRACT, --extract=EXTRACT filename to extract malformed content to -H, --hash            display hash of objects -n, --nocanonicalizedoutput do not canonicalize the output -d DUMP, --dump=DUMP  filename to dump stream content to -D, --debug           display debug info -c, --content         display the content for objects without streams or with streams without filters --searchstream=SEARCHSTREAM string to search in streams --unfiltered          search in unfiltered streams --casesensitive       case sensitive search in streams --regex               use regex to search in streams &nbsp; pdf-parser, use it to parse a PDF document Source code put in the public domain by Didier Stevens, no Copyright Use at your own risk https://DidierStevens.com Como veis no tiene tantas opciones como podría tener una herramienta como PeePDF, pero nos servirá perfectamente para nuestro propósito. Una de las cosas útiles es la búsqueda de strings dentro del PDF obj 1 0 Type: /Page Referencing: 3 0 R, 5 0 R &nbsp; << /MediaBox [0 0 1 1] /Type /Page /Contents 3 0 R /Parent 5 0 R >> &nbsp; &nbsp; obj 21 0 Type: Referencing: 20 0 R, 8 0 R &nbsp; << /DA ( /Helv 0 Tf 0 g ) /Fields [20 0 R] /XFA 8 0 R >> &nbsp;...

Leer Más

Detectando defensas en los servidores web

No tenía muy claro que título colocar en esta entrada. Llevo varios días jugando con la herramienta whatweb. ¿Que es whatweb? Pues que mejor que ir a la web del desarrollador y ver como él mismo la describe! “WhatWeb identifies websites. Its goal is to answer the question, “What is that Website?”. WhatWeb recognises web technologies including content management systems (CMS), blogging platforms, statistic/analytics packages, JavaScript libraries, web servers, and embedded devices. WhatWeb has over 900 plugins, each to recognise something different. WhatWeb also identifies version numbers, email addresses, account IDs, web framework modules, SQL errors, and more.” Se está convirtiendo en una de mis herramientas preferidas y es que además te permite ver de manera muy rápida que hay detrás de un dominio web. Identificando sistemas del tipo caching Una de las cosas que están de moda después de todos los ataques de denegación de servicio que hay es utilizar sistemas de caching. Para mi los dos mas famosos son Akamai y Cloudfare. ¿Como funciona Cloudfare, por ejemplo? Queda bastante ilustrado ¿no? Antes de pensar en lanzar un ataque de denegación de servicio sería bueno poder revisar si el dominio está usando caching de Cloudfare o no :D. Con WhatWeb podemos identificar que dominios están detrás de un sistema del tipo Cloudfare. darkmac:WhatWeb marc$ ./whatweb www.series.ly http://www.series.ly [301] Cookies[__cfduid], Country[EUROPEAN UNION][EU], HTTPServer[cloudflare-nginx], IP[141.101.117.51], RedirectLocation[http://series.ly/], Title[301 Moved Permanently], UncommonHeaders[cf-ray], cloudflare Este es un ejemplo de la web de series.ly, que usa Cloudfare Podéis  ver como sale identificado Cloudfare. Otro ejemplo: darkmac:WhatWeb marc$ ./whatweb 4chan.com http://4chan.com [200] Cookies[__cfduid,parkinglot], Frame, HTTPServer[cloudflare-nginx], IP[190.93.244.20], Script, Title[4chan.com], UncommonHeaders[cf-ray], cloudflare La famosa web de 4CHAN, seguro que han recibido mas de un ataque. Así que está detrás de un sistema Cloudfare. El otro sistema de caching conocido es Akamai. El concepto es parecido al que usa Cloudfare. Conozco algunos de los sitios que se que están detrás de akamai, pero con WhatWeb no he podido sacar ese dato. En cambio en otros hosts, si. Hay sitios en Internet que deberían de ser una referencia en seguridad. Es decir, que sus sistemas estuvieran muy bien bastionados y que desde fuera se pudiera sacar la menos información posible. Pues para mi uno de estos sitios son los bancos. Vamos a ver un ejemplo de un banco español. </pre> darkmac:WhatWeb marc$ ./whatweb https://www.bancosantander.es https://www.bancosantander.es [301] Akamai-Global-Host, Country[EUROPEAN UNION][EU], HTTPServer[AkamaiGHost], IP[95.100.120.113], RedirectLocation[/cssa/Satellite?pagename=SantanderComercial/Page/SAN_Index] https://www.bancosantander.es/cssa/Satellite?pagename=SantanderComercial/Page/SAN_Index [200] Adobe-Flash, Country[EUROPEAN UNION][EU], FatWire-Content-Server[5.5.2], HTTPServer[IBM_HTTP_Server], IBM-HTTP-Server, IP[95.100.120.113], Object[application/x-shockwave-flash], Title[Banca Online, Cuentas, Nominas, Planes de Pensiones, Hipotecas... en el Banco Santander], UncommonHeaders[host_service] <pre> Aquí hemos podido identificar que esta web está protegida por Akamai. ¿Como identificar un dominio cacheado si no obtenemos información? Me ha pasado...

Leer Más
Nuestros Retos Forenses
Feb22

Nuestros Retos Forenses

ACTUALIZADO 22/02/2013: Arreglados enlaces rotos y añadida nueva fuente para el reto 2 de la ekoparty. ACTUALIZADO: En el preámbulo del Diplomado Profesional en Investigación Digital que se realizará en Bogotá este Martes muchas personas me han pedido el favor de re-subir las imágenes de nuestros retos forenses, ya que algunos enlaces se encontraban rotos o los servicios de alojamiento utilizados ya no estaban disponibles y quieren practicar con estos entornos antes de realizar la capacitación. ACTUALIZADO: Hemos vuelto a subir los retos y he añadido alguna información sobre el Reto Forense Campus Party Colombia 2011 (lo que se podía) y sobre el reto forense realizado en la ekoparty 2011 en Argentina. En la comunidad desde hace un tiempo, hemos estado publicando una serie de retos forenses, los cuales han tenido gran acogida entre nuestros visitantes y miembros, realizamos retos para nuestra Comunidad, la Campus Party Colombia y la EKOparty en Argentina, pero algunos de las imágenes publicadas en servicios de alojamientos de archivos han dejado de funcionar, razón por la que muchas personas me pidan al correo que vuelva a subir las mismas. La razón de este post no es solo enumerar nuestros retos publicados, sino anunciar que se han vuelto a subir todas las imágenes para que puedan ser descargadas y usadas como objeto de estudio en sus procesos de aprendizaje. Primer Reto Forense de La Comunidad DragonJAR Primera versión de nuestro reto forense, totalmente online y con gran cantidad de participantes, un puno de partida para muchas personas que querían empezar con el tema forense dentro de nuestra comunidad, logrando motivar a muchos a estudíar esta rama de la seguridad informática. Planteamiento del Reto y Participantes Resultado del Reto y Comentarios a Participantes Segundo Reto Forense de La Comunidad DragonJAR Reto exclusivo en primera instancia para los asistentes a la Campus Party Colombia 2010 y evento principal de la nueva zona de “Seguridad”, después publicado para resolver de forma online. Planteamiento del Reto, Imágenes y Vídeo de Presentación Resultado del Reto, Ganadores e Informes Aprovecho para anunciar que desde ya estamos confirmados para realizar el reto forense de La Campus Party Colombia 2011…. prepárate 😉 Tercer Reto Forense de La Comunidad DragonJAR Reto desarrollado en el transcurso de la EKO Party 2010, donde fuimos un poco mas allá y creamos toda una escena del crimen para que los analistas (quienes tenían solo día y medio para resolver el reto), pusieran a prueba sus habilidades en un entorno mucho mas realista, esto llamo mucho la atención de los asistentes y participantes quienes quedaron muy satisfechos con este reto. Planteamiento del Reto, Reglas y Vídeo de Presentación Resultado...

Leer Más

HackArmoury herramientas de seguridad siempre disponibles

Seguramente a muchos nos ha pasado, estamos realizando una auditoria de seguridad en una red empresarial y llegamos a un punto en el que no podemos subir nuestras herramientas a un nuevo host por que tiene muchas limitaciones, después de buscar mucho nos damos cuenta que con los permisos que tenemos, solo podemos usar X servicio para acceder a nuestras herramientas, entonces realizamos la tediosa tarea de montar un servidor para pasar nuestras tools a esa maquina por ese servicio… Este proceso por lo visto es bastante común y por este motivo varios investigadores de seguridad se han unido para crear el repositorio de herramientas de seguridad HackArmoury. HackArmoury es un proyecto creado por pentesters para pentesters, que permite acceder a diferentes herramientas utilizadas en un proceso de auditoria en seguridad, utilizando múltiples protocolos como Samba, TFTP, FTP, RSync, SVN y por supuesto HTTP con o sin SSL. De momento la lista de herramientas es algo corta, pero podemos añadir herramientas y colaborar en el proyecto, ademas siempre nos será útil en esos momentos en los que requerimos un archivo por un protocolo en especial y no deseamos o no podemos montar nuestro propio servidor para proporcionarlo. HackArmoury ademas de estar disponible vía Samba, TFTP, FTP, RSync, SVN, HTTP/S, también cuenta con una ISO donde están almacenadas todas las herramientas ordenadas por categorías, ideal para ir complementando nuestra caja de herramientas y conocer nuevas aplicaciones que puedan sernos de utilidad en nuestros procesos de pentesting. No conozco los autores de este repositorio, por tanto les recomiendo que verifiquen cada ejecutable que vayan a usar, antes de comenzar a utilizar este servicio en un entorno real, ya saben que es mejor prevenir que lamentar. Ingresar a HackArmoury, repositorio de herramientas con múltiples...

Leer Más

Documentación y herramienta para inyección de código

Las inyecciones de código son las vulnerabilidades mas comunes encontradas en las aplicaciones web, estos problemas de seguridad llevan muchos años con nosotros, pero son tan recurrentes que por muchos años han ocupado el primer puesto en el TOP 10 Fallos de Seguridad en Aplicaciones Web que realiza OWASP. En esta ocasión les traigo dos aportes relacionados con este tipo de inyecciones, el primero es un documento escrito por Lod Epsylon, donde nos explica diferentes técnicas de inyección de código como XSS,XSF,CSRF,XFS,XZS,XAS,XRS y XSSDoS entre otras. Descargar Documento El segundo aporte es un framework llamado XSSer para automatizar las inyecciones de código que detallan en el documento, fué creado tambien por Lod Epsylon y entre sus principales funciones se encuentran: Automatización de inyección de código Evasión de filtros Carga de payloads para distintos navegadores Interface grafica y por linea de comandos Buena documentación Los dejo en compañía de un video explicativo de XSSer Para mas información: Pagina oficial del XSSer y la...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices