¿Cómo se realiza un Pentest?
Mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más
Backtrack 5 Tutorial / Curso en Español
May21

Backtrack 5 Tutorial / Curso en Español

Backtrack 5 Tutorial, gracias a p0pc0rninj4 usuario de nuestra comunidad, me entero de una iniciativa de la OMHE (Organización Mexicana de Hackers Éticos) dirigida por Héctor López en la que pretenden documentar las funcionalidades del nuevo Backtrack 5 en español y por medio de video tutoriales. Backtrack 5 Tutorial, los video tutoriales son bastante claros y muy introductorios para quienes desean aprender a manejar esta excelente distribución enfocada en la seguridad informática. De momento se han publicado algunos Backtrack 5 Tutorial, video tutoriales del Curso Backtrack 5 Online en español, mostrando las herramientas, algunos conceptos básicos y con cada actualización el nivel se irá incrementando. En este capítulo 1 de Backtrack 5 Tutorial veremos: Básicos de Linux Backtrack 5 Tool Overview Networking VMware Armitage Setup Postgresql Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 2 de Backtrack 5 Tutorial veremos: Linux Networking (ifconfig,dhclient,arp,route) Whois, DNS,Zenmap (Obtener objetivos) Google Hacking Wireshark para puertos conocidos (80,21,22,23,443) Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 3 de Backtrack 5 Tutorial veremos: Wireshark para puertos conocidos (80,21,22,23,443) NMap varios. -sS -Pn Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 4 de Backtrack 5 Tutorial veremos: IP’s y puertos Sockets Netcat Cryptcat Ncat Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 5 de Backtrack 5 Tutorial veremos: Exploit Payload Shell Metasploit Metasploitable Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 6 de Backtrack 5 Tutorial veremos: Defensa Buscador de rootkits Malware Tricks Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 7 de Backtrack 5 Tutorial veremos: Malware Trojans Bind & Reverse Procesos y Memoria Rootkit DEMO Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 8 de Backtrack 5 Tutorial veremos: SET Reverse Meterpreter Bypass Antivirus Invisibilidad de un backdoor Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 9 de Backtrack 5 Tutorial veremos: Evilgrade Dual ARP spoofing, el truco .sh Whireshark analisis de DNS Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil En este capítulo 10 de Kali Linux y Backtrack 5 Tutorial veremos: Evolucion de Backtrack Websploit Java Exploit Yersenia DNS Spoof para inyectar un payload DHCP Attacks Descargar Capítulo (Click Derecho/Guardar Como….) o visualizar desde tu dispositivo móvil x Tan pronto publiquen nuevos Backtrack 5 Tutorial, actualizaré esta entrada. Mas Información de los Backtrack 5 Tutorial: Anuncio de p0pc0rninj4 en nuestra comunidad Anuncio en la pagina de la...

Leer Más
Manual en PDF de Creación de Exploits en Español
Oct04

Manual en PDF de Creación de Exploits en Español

Gracias a Blackploit me entero que Iv¡N$0n de CrackingVenezolano ha realizado la traducción al español de la genial guía sobre creación de exploits de Peter Van Eeckhoutte (@corelanc0d3r) reconocido profesional en el mundo de la ingeniería inversa con un excelente Bootcamp sobre desarrollo de exploits en vivo. Ya que nos gusta compartir buen material, les dejo las 10 entregas de este excelente manual en PDF de Creación de Exploits en Español, para ver online o descargar a tu PC. Creación de Exploits 1: Desbordamiento de Stack por corelanc0d3r traducido por Ivinson Creación de Exploits 2: Desbordamiento de Stack por corelanc0d3r traducido por Ivinson Creación de Exploits 3: SEH por corelanc0d3r traducido por Ivinson Creación de Exploits 3b: SEH por corelanc0d3r traducido por Ivinson Creación de Exploits 4: De Exploit a Metasploit por corelanc0d3r traducido por Ivinson Creación de Exploits 5: Acelerar el Proceso con Plugins y módulos por corelanc0d3r traducido por Ivinson Exploits Evitando SEHOP por SYSDREAM IT Security Services traducido por Ivinson Creación de Exploits 6: Cookies del Stack SafeSEH, SEHOP, HW DEP y ASLR por corelanc0d3r traducido por Ivinson Creación de Exploits 7: Unicode – De 0×00410041 a la Calc por corelanc0d3r traducido por Ivinson Creación de Exploits 8: Cacería de Huevos en Win32 por corelanc0d3r traducido por Ivinson Creación de Exploits 9: Introducción al Shellcoding en Win32 por corelanc0d3r traducido por Ivinson Creación de Exploits 10: Uniendo DEP con ROP – El Cubo de Rubik [TM] por corelanc0d3r traducido por Ivinson. Si prefieres descargar a tu PC los archivos PDF, puedes hacerlo desde este enlace, espero que disfrutes de este material proporcionado por Peter Van Eeckhoutte y traducido por...

Leer Más

Manual NO Oficial de la FOCA Forensic

La FOCA Forensic es una nueva herramienta de la suite “FOCA” (ya tenemos la FOCA Classic, La FOCA Forensic y pronto la Evil FOCA) que los chicos de informatica64 crearon para facilitarle la vida a los investigadores forenses a la hora de extraer y analizar los meta datos de un conjunto de documentos. Analizar grandes cantidades de documentos sin un sistema de automatización que nos ayude es algo complicado y que requiere de mucho tiempo en una investigación forense digital, por eso una herramienta como la FOCA Forensic es tan útil en estos casos, con este texto se pretende crear un manual NO OFICIAL de esta herramienta, para sacar el máximo provecho de ella y extender su utilización. Lo primero que nos encontramos al abrir la herramienta (una vez descargado el archivo de licencia especifico para tu equipo) es el asistente que nos guiará paso a paso en el proceso de crear un nuevo proyecto. En el solo debemos poner el nombre del nuevo proyecto, la fecha y una nota opcional para referenciar mejor el proyecto que estamos iniciando, si ya tenemos un proyecto creado y deseamos continuar trabajando con el, debemos darle al botón “Skip”, pero como no es nuestro caso, damos a “Next” y continuamos. Después de definir el nombre del nuevo proyecto, pasamos a darle la ruta donde deseamos buscar los documentos a los que la FOCA Forensic puede extraerles información, aquí podemos definir una carpeta en especial como “Mis Documentos” o una partición entera como “C:\”. La herramienta es capaz de analizar los metadatos de una larga lista de formatos que podemos ver a continuación aunque en su interface solo cite los .doc y docx o los .jpg y .svg: Microsoft Office 2007 y posterior (.docx, .xlsx, .pptx, .ppsx) Microsoft Office 97 al 2003 (.doc, .xls, .ppt, .pps) OpenOffice (.odt, .ods, .odg, .odp, .sxw, .sxc, .sxi) Documentos PDF Información EXIF de imágenes JPG WordPerfect (.wpd) Imágenes SVG Documentos de InDesign (.indd) Después de elegir los archivos que deseamos buscar en el equipo, el asistente nos pregunta con que tipo de hash deseamos “firmar” cada uno de estos archivos encontrados. Finalmente y antes de mostrarnos la interface principal de la herramienta nos pregunta si deseamos realizar una búsqueda recursiva, es decir, si queremos que si encuentra una carpeta, dentro de la carpeta que seleccionamos, realice una búsqueda también dentro de ella, es recomendable darle a esta opción de forma positiva ya que lo que necesitamos es la mayor cantidad de documentos para poder sacar información que nos sea útil de ellos. Cuando podemos acceder a el modo de visualización por defecto de la Foca Forensic nos...

Leer Más

Man in The Middle, Ataque y Detección

A mis manos ha caído un documento realizado por David Galisteo y Raul Moya, de la Universidad de Jaén en España, donde se detallan paso a paso como realizar un ataque Man in The Middle (Hombre en el Medio) en diferentes sistemas operativos y con las herramientas mas populares en cada uno de ellos, aparte de esto Galisteo y Moya, nos muestran como detectar y protegernos de este tipo de ataques. Los dejo con el índice del documento, su enlace de descarga y la opción de visualizarlo online desde nuestra comunidad: Introducción Conceptos clave Plataformas Linux Software Explicación Ataques de ejemplo Dispositivos móviles Mensajería instantánea Redes sociales y UJAEN Plataformas Windows Software Ataques de ejemplo Dispositivos Móviles DNS Spoofing Detección del ataque Acceso a la máquina Prueba de ICMP Prueba de ARP Aplicaciones para detectar sniffers Protección frente a Sniffers Conclusión Referencias Descargar en PDF Man in The Middle, Ataque y Detección Se les agradece la inclusión de la comunidad DragonJAR en las referencias del documento, espero que cualquier información publicada les fuera de...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"