Completo curso de Metasploit en Vídeo
Mar29

Completo curso de Metasploit en Vídeo

Metasploit es un framework de seguridad que se ha sabido ganar un buen espacio en la caja de herramientas de todo pentester o analista, y no es para menos, ya que tiene bastantes bondades como podemos ver: Es gratuito y de código abierto Se actualiza constantemente (algunas veces agregan exploits a las horas de salir el full-disclosure) Es altamente modificable, (con un código en ruby bastante sencillo de entender) Multiplataforma (corre en los sistemas operativos mas populares) Gran base de datos de exploits y auxiliares Como puedes ver las bondades del Metasploit no son pocas (y no las he comentado todas), es por eso que al encontrar recursos como el Metasploit Megaprimer en securitytube no puedo dejarlo pasar por alto y compartirlo con todos ustedes. El Metasploit Megaprimer de Securitytube es una iniciativa que surgió en esa comunidad (El YouTube de la Seguridad Informática), con el fin de documentar en vídeo, la mayor cantidad de características posibles del Metasploit, la verdad es que han realizado un excelente trabajo y me he tomado el tiempo para recopilarlo en un solo articulo, de esta forma todos tendremos un fácil acceso a esta información. Los dejo con los vídeos que hasta el momento han salido de esta iniciativa (a medida que saquen mas, los iré agregando): MetasploitMegaprimer (Exploitation Basics and need for Metasploit) Part 1 MetasploitMegaprimer (Getting Started with Metasploit) Part 2 MetasploitMegaprimer Part 3 (Meterpreter Basics and using Stdapi) MetasploitMegaprimer Part 4 (Meterpreter Extensions Stdapi and Priv) MetasploitMegaprimer Part 5 (Understanding Windows Tokens and Meterpreter Incognito) MetasploitMegaprimer Part 6 (Espia and Sniffer Extensions with Meterpreter Scripts) MetasploitMegaprimer Part 7 (Metasploit Database Integration and Automating Exploitation) MetasploitMegaprimer Part 8 (Post Exploitation Kung Fu) MetasploitMegaprimer Part 9 (Post Exploitation Privilege Escalation) MetasploitMegaprimer Part 10 (Post Exploitation Log Deletion and AV Killing) MetasploitMegaprimer (Post Exploitation and Stealing Data) Part 11 MetasploitMegaprimer Part 12 (Post Exploitation Backdoors and Rootkits) MetasploitMegaprimer Part 13 (Post Exploitation Pivoting and Port Forwarding) MetasploitMegaprimer Part 14 (Backdooring Executables) MetasploitMegaprimer Part 15 (Auxiliary Modules) MetasploitMegaprimer Part 16 (Pass the Hash Attack) MetasploitMegaprimer Part 17 (Scenario Based Hacking) Metasploit Megaprimer Part 18 (Railgun Adding Functions) Metasploit Megaprimer Part 19 (Railgun Adding New Dlls) Metasploit Megaprimer Part 19a (Railgun Adding New Dlls On Windows 7) Metasploit Megaprimer Part 20 (Resource Scripts) Metasploit Megaprimer Part 21 (Database Support) Metasploit Megaprimer Part 22 (Using Plugins) Metasploit Megaprimer Part 23 (Meterpreter Api Basics) Metasploit Megaprimer Part 24 (Meterpreter Scripting Migrate Clone) Metasploit Megaprimer Part 25 (Meterpreter Scripting Process Name...

Leer Más
Metasploitable 2 – Guía en Video
Nov08

Metasploitable 2 – Guía en Video

Hace un tiempo en DragonJAR había visto el Metasploitable, la primera versión del entorno de entrenamiento que nos permite realizar pruebas con nuestra herramientas de seguridad sin problemas, la nueva versión de Metasploitable (2.0) cuenta con aun mas aplicaciones vulnerables para nuestro entretenimiento. Aunque rapid7 ya ha publicado una completa guía paso a paso sobre como explotar los fallos de Metasploitable 2, me puse en la tarea de realizar vídeo tutoriales en vídeo resolviendo este gran entorno, solo espero que les sea de utilidad. Episodio 1 – Exploiting vsftpd 2.3.4 backdoored version Episodio 2 – UnrealIRCD 3.2.8.1 backdoored – CVE 2010-2075 Episode 3 – PHP CGI Argument Injection (CVE 2012-1823) Episode 4 – DRuby Distributed Ruby Code Execution Episode 5 – Java RMI Server – Java Code Execution Episode 6 – NFS Misconfiguration – Access via SSH Episode 7 – Samba “username map script” Remote Command Execution Cualquier duda al respecto déjame un comentario que estaré pasando para leerlo… espero que los disfruten Articulo escrito por José Antonio Pérez @Japtron para La Comunidad DragonJAR [sam_ad...

Leer Más

Video Tutorial SET (Social Engineering Toolkit)

La ingeniería social es una de las puertas de acceso mas utilizadas por los delincuentes, para robar tu información personal o infiltrarse en una empresa. Por este motivo cada pentest que realicemos a una organización, siempre debe incluirse técnicas de ingeniería social, para ver que tan vulnerable es la empresa a este tipo de ataques y tomar las medidas correspondientes. SET (Social Engineering Toolkit) es un kit de herramientas que nos ayudara en la tarea de realizar ataques de ingeniería social, nos permite suplantar fácilmente la identidad de un sitio determinado, o enviar ataques por mail a las cuentas de correo de la compañía, infectar memorias usb o cds/dvds infectados, todo esto perfectamente integrado con el grandioso Metasploit Framework. A continuación, les dejo una serie de vídeo tutoriales para aprender a utilizar correctamente este kit de herramientas, espero que lo disfruten: Parte 1 – Introducción Parte 2 – Credential Harvester Parte 3 – Ataque JAVA Applet Parte 4 – Creando Phishing Client-Side Exploitation – JavaScript Obfuscation/AV Evasion Social-Engineer Toolkit Teensy HID USB Attack Vector The Social-Engineer Toolkit – Metasploit DLL Hijack Zero Day Mas Información: Social-Engineering...

Leer Más

Taller de Leonardo Pigñer en el ACK Security Conference

Para quien no lo conozca Leonardo Pigñer es Director de Servicios Profesionales de BASE4 Security (www.base4sec.com), empresa líder que provee servicios de seguridad de la información para Latinoamérica. Durante sus mas de 10 años en el campo de la seguridad, Leonardo se ha especializado en Penetration Testing y Network Forensics, obteniendo certificaciones como CEH “Certified Ethical Hacker” de Ec-Council, GPEN “GIAC Penetration Tester” de SANS y EnCE “EnCase Certified Examiner” de Guidance Software. Leonardo ha sido orador en conferencias como Segurinfo, ekoparty, PampaSeg, SSHNEA, ADACSI, Campus Party Colombia, Montevideo Valley, entre muchas otras. Leonardo volverá a Colombia (Ya ha participado realizado varias capacitaciones como el Combat Training de Bogotá y Medellin, además de la Campus Party 2010), en el ACK Security Conference participara como conferencista, con una novedosa charla y por supuesto un taller de 2 días en el que cualquier personas que este interesado en adquirir conocimientos de pentester, podrá conocer a fondo el funcionamiento de Metasploit Framework en solo 16 horas, con el taller Metasploit For Penetration Testers, les dejo mas información y el formulario de inscripción al mismo. Taller Metasploit For Penetration Testers DESCRIPCIÓN: En el 2003, HD Moore creo el “Metasploit Project”, con el objetivo de proveer a la comunidad de recursos para el desarrollo de exploits. Este proyecto evolucionó al ”Metasploit Framework”, una plataforma open source para el desarrollo de herramientas de seguridad y exploits, que en la actualidad, es la más utilizada por penetration testers alrededor del mundo. DURANTE EL DIA 1, Atacaremos la red LAN. Veremos como buscar e identificar a la víctima, realizaremos una análisis de vulnerabilidades, y luego explotaremos los bugs encontrados. Una vez que hayamos tomado control del sistema, escalaremos privilegios, instalaremos un backdoor, haremos pivoting hacia otros segmentos de red, y programaremos nuestros propios scripts para automatizar las acciones. También, realizaremos diferentes ataques de red, con el objetivo de capturar información confidencial, como passwords de redes sociales o homebanking. Terminaremos el día, realizando un fuzzing para descubrir una vulnerabilidad en un servicio, y escribir nuestro propio exploit para Metasploit. DURANTE EL DIA 2, Atacaremos desde Internet. Comenzaremos buscando información de las víctimas, para luego atacar a estos con ingeniería social, archivos maliciosos y dispositivos removibles como USB, CD/DVD. Intentaremos evadir la detección de los AntiVirus con varias técnicas, y automatizaremos muchos ataques con el framework SET “Social-Engineer Toolkit”. Luego levantaremos sitios Web falsos, para atacar los navegadores de las víctimas, con diferentes vectores de ataque; y para finalizar, atacaremos sitios Web, con módulos y frameworks integrados a Metasploit, como XSSF “Cross-Site Scripting Framework”, Sqlmap y w3af. CONOCIMIENTOS NECESARIOS: Conocimientos básicos sobre programación y seguridad. Ganas de aprender. TEMARIO:...

Leer Más

DLL Hijacking con Metasploit

Aunque no es algo nuevo, últimamente se habla mucho sobre DLL Hijacking o suplantación de librerías DLL, gracias al reciente fallo de los  sistemas Microsoft Windows que permite ejecutar código malicioso, colocando la dll a suplantar en la misma carpeta del programa ejecutable, descubierto hace poco por HD Moore y explicado a fondo en su articuloExploiting DLL Hijacking Flaws, también ha publicado un kit, para buscar aplicaciones que puedan ser vulnerables a este tipo de ataque DLLHijaAuditKit. Precisamente en esta ocasión les traigo un vídeo de Offensive Security, donde nos enseñan como aprovechar este fallo en Microsoft Office 2007 utilizando el Metasploit Framework. Microsoft ha publicado una solución temporal al fallo (catalogado como critico), pero la solución es que los desarrolladores empiecen a utilizar metodologías de desarrollo seguras, para evitar que sus aplicaciones sean vulnerables. [sam_ad...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES