Auditando routers corriendo RouterOS de MikroTik
dic02

Auditando routers corriendo RouterOS de MikroTik

Es posible que en medio de un proyectodepentesting, puedas encontrarte con los puertos 8291/TCP (Winbox) y 8728/TCP (API) y es aquí donde tenemos un nuevo vector de ataque. Debido a que en el puerto 8291/TCP solo es posible autenticarse mediante la herramienta Winbox (al menos por ahora), surgió la idea de hacer una herramienta para hacer ataques por diccionario al puerto 8728/TCP, esto le permite al pentester tener una opción mas...

Leer Más

Fuzzing, encontrando cosas olvidadas

Hace unos días en DragonJAR publicábamos un artículo sobre Dirb, para hacer fuzzing sobre servidores web. En el artículo explicábamos que con el fuzzing llegábamos a descubrir directorios ocultos entre otros cosas. Vamos a ver un ejemplo práctico, pero hoy no usaremos Dirb, pasaremos a usar Wfuzz. Página de acceso. Tenemos la típica pagina de acceso a un recurso interno de una corporación. La página de acceso es algo así como:...

Leer Más

Dirb, fuzz en servidores webs

Una de las técnicas que se usan para descrubrir directorios con información sensible es hacer ataques del tipo fuzzing. El objetivo de estos ataques es el de tratar de descubrir directorios que el administrador se ha dejado descuidados o simplemente para tratar de hacerse una idea de la estructura web del servidor web. En el artículo de hoy hablamos de dirá. Esta aplicación es de sobras conocido pues tiene ya bastantes añitos. Pero no...

Leer Más
Dispositivos Android como herramientas para test de penetración
ene25

Dispositivos Android como herramientas para test de penetración

Conozco personas que prefieren no salir, a salir sin su teléfono móvil, lo cierto es que cada vez son mas los conocidos que toman ese tipo de decisiones y no se si es por el entorno en que me muevo y lo “geeks” de mis conocidos o realmente es un indicador de lo dependientes que nos hemos vuelto de estos dispositivos. La verdad es que se han convertido en parte importante de nuestra vida cotidiana, desde ellos hacemos todo...

Leer Más

Ejemplo Reporte de PenTest

Ejemplo Reporte de PenTest, gracias a Daniel Rodríguez (@dvirus), me entero que Ofensive Security (los creadores de BackTrack), han liberado un ejemplo de reporte que utilizan en sus test de penetración, a mi parecer esta bien estructurado y contiene los elementos justos que se deben mostrar en un reporte de este tipo. Es muy común escuchar entre los profesionales de la seguridad informática, las quejas a la hora de hacer el reporte...

Leer Más