¿Cómo se realiza un Pentest?
mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más
Auditando routers corriendo RouterOS de MikroTik
dic02

Auditando routers corriendo RouterOS de MikroTik

Es posible que en medio de un proyectodepentesting, puedas encontrarte con los puertos 8291/TCP (Winbox) y 8728/TCP (API) y es aquí donde tenemos un nuevo vector de ataque. Debido a que en el puerto 8291/TCP solo es posible autenticarse mediante la herramienta Winbox (al menos por ahora), surgió la idea de hacer una herramienta para hacer ataques por diccionario al puerto 8728/TCP, esto le permite al pentester tener una opción mas para intentar ganar acceso. ATAQUE BASADO EN DICCIONARIO MKBRUTUS es una herramienta desarrollada en Python 3 que efectúa ataques de fuerza bruta (basado en diccionarios) contra sistemas RouterOS que tengan el port 8728/TCP abierto. De momento cuenta con las funcionalidades básicas de toda tool que haga ataques por diccionario, pero en el futuro planeamos incorporarle otras opciones. Algunos screenshots: Opciones de uso: Llevando a cabo un ataque existoso: INSTALACION El proyecto esta disponible en GitHub y es tan simple de instalar como ejecutar: # git clone https://github.com/mkbrutusproject/MKBRUTUS.git Es necesario contar con Python 3.x instalado. En Kali Linux fué probado exitosamente, previa instalación de Py3 (apt-get install python3). AUTORES: Ramiro Caire (@rcaire) Federico Massa (@fgmassa) Articulo escrito por Ramiro Caire para La Comunidad DragonJAR Ramiro Caire es un profesional de TI y Consultor de Seguridad. Sus áreas de interés principal van desde consultoría a pentest, incluyendo evaluación de la vulnerabilidad, Diseño de Redes e Infraestructuras. Actualmente está centrado en la evaluación de seguridad, estrategias de planificación y de investigación de Seguridad Cibernética. (ramiro.caire (arroba) gmail.com); Twitter:...

Leer Más

Fuzzing, encontrando cosas olvidadas

Hace unos días en DragonJAR publicábamos un artículo sobre Dirb, para hacer fuzzing sobre servidores web. En el artículo explicábamos que con el fuzzing llegábamos a descubrir directorios ocultos entre otros cosas. Vamos a ver un ejemplo práctico, pero hoy no usaremos Dirb, pasaremos a usar Wfuzz. Página de acceso. Tenemos la típica pagina de acceso a un recurso interno de una corporación. La página de acceso es algo así como: https://paginadeacceso.acceso.dragonjar.org Cuando los clientes o proveedores externos entran a esa páginas son redireccionados hacia otra página donde han de introducir su usuario y password para acceder al recurso interno. La URL a donde redireccionaba era algo así como: https://acceso.dragonjar.org/acceso_1/index.php El usuario era redirigido con un código 302. Lo primero que haremos con curl, es ver como se comporta, así que lo hacemos. darkmac:~ marc$ curl -I https://paginadeacceso.acceso.dragonjar.org HTTP/1.1 302 Found Location: https://acceso.dragonjar.org/acceso_1/index.php Vi que siempre hacía el mismo 302 a el mismo sitio, así que lo más sencillo es lanzar un fuzzer para ver si hay más páginas. ¿Donde colocar el Fuzzer? Pues el fuzzer lo podemos colocar en múltiples sitios, pero en este caso en concreto, lo colocaremos donde tenemos marcado el texto con negrita. https://acceso.dragonjar.org/acceso_1/index.php Vamos a generar un diccionario para que el fuzzer  pruebe distintas posibilidades. Para generar el diccionario podemos tirar de bash, algo tan sencillo como: for (( i=0; i<1000; i++ )) do echo $i done Una vez generada la lista que vamos a probar la lanzamos con Wfuzz, algo así como: python wfuzz.py -c -z file,lista.txt –hc 404 -o html https://acceso.dragonjar.org/acceso_FUZZ/index.php 2> report.html Ya hemos lanzado el fuzzer, una vez acabe guardará los resultados en un report que tendrá el siguiente aspecto: A la izquierda tendremos el código de respuesta, como veis hemos encontrado varios códigos 200, por oq ue hay mas de una página de acceso. Estarán...

Leer Más

Dirb, fuzz en servidores webs

Una de las técnicas que se usan para descrubrir directorios con información sensible es hacer ataques del tipo fuzzing. El objetivo de estos ataques es el de tratar de descubrir directorios que el administrador se ha dejado descuidados o simplemente para tratar de hacerse una idea de la estructura web del servidor web. En el artículo de hoy hablamos de dirá. Esta aplicación es de sobras conocido pues tiene ya bastantes añitos. Pero no he encontrado ninguna que pueda decir que haga su trabajo mejor ;). A dirb se le pasa como parámetro la web a escanear y el diccionario con el que haremos fuzzing. Ejecutamos dirb desde la linea de comandos. —————– DIRB v2.04 By The Dark Raver —————– ./dirb <url_base> [<wordlist_file(s)>] [options] ========================= NOTES ========================= <url_base> : Base URL to scan. (Use -resume for session resuming) <wordlist_file(s)> : List of wordfiles. (wordfile1,wordfile2,wordfile3…) ======================== HOTKEYS ======================== ‘n’ -> Go to next directory. ‘q’ -> Stop scan. (Saving state for resume) ======================== OPTIONS ======================== -a <agent_string> : Specify your custom USER_AGENT. -c <cookie_string> : Set a cookie for the HTTP request. -f : Fine tunning of NOT_FOUND (404) detection. -H <header_string> : Add a custom header to the HTTP request. -i : Use case-insensitive search. -l : Print “Location” header when found. -N <nf_code>: Ignore responses with this HTTP code. -o <output_file> : Save output to disk. -p <proxy[:port]> : Use this proxy. (Default port is 1080) -P <proxy_username:proxy_password> : Proxy Authentication. -r : Don’t search recursively. -R : Interactive recursion. (Asks for each directory) -S : Silent Mode. Don’t show tested words. (For dumb terminals) -t : Don’t force an ending ‘/’ on URLs. -u <username:password> : HTTP Authentication. -v : Show also NOT_FOUND pages. -w : Don’t stop on WARNING messages. -X <extensions> / -x <exts_file> : Append each word with this extensions. -z <milisecs> : Add a miliseconds delay to not cause excessive Flood. ======================== EXAMPLES ======================= ./dirb http://url/directory/ (Simple Test) ./dirb http://url/ -X .html (Test files with ‘.html’ extension) ./dirb http://url/ wordlists/vulns/apache.txt (Test with apache.txt wordlist) ./dirb https://secure_url/ (Simple Test with SSL) Es sencillo ¿verdad? Lanzamos sobre un servidor web y vamos viendo los resultados. darkmac:vulns marc$ dirb http://www.ub.edu ../general/big.txt —————– DIRB v2.04 By The Dark Raver —————– START_TIME: Mon May 20 00:23:14 2013 URL_BASE: http://www.ub.edu/ WORDLIST_FILES: ../general/big.txt —————– GENERATED WORDS: 3024 —- Scanning URL: http://www.ub.edu/ —- + http://www.ub.edu/agenda/ ==> DIRECTORY + http://www.ub.edu/ajuda/ ==> DIRECTORY + http://www.ub.edu/asd/ ==> DIRECTORY + http://www.ub.edu/business/ ==> DIRECTORY + http://www.ub.edu/carpeta/ ==> DIRECTORY + http://www.ub.edu/cataleg/ ==> DIRECTORY + http://www.ub.edu/cerca/ ==> DIRECTORY + http://www.ub.edu/cgi-bin/ (FOUND: 403 [Forbidden] – Size: 7007) + http://www.ub.edu/chat (FOUND: 403 [Forbidden] – Size: 325) + http://www.ub.edu/config/ ==> DIRECTORY...

Leer Más
Dispositivos Android como herramientas para test de penetración
ene25

Dispositivos Android como herramientas para test de penetración

Conozco personas que prefieren no salir, a salir sin su teléfono móvil, lo cierto es que cada vez son mas los conocidos que toman ese tipo de decisiones y no se si es por el entorno en que me muevo y lo “geeks” de mis conocidos o realmente es un indicador de lo dependientes que nos hemos vuelto de estos dispositivos. La verdad es que se han convertido en parte importante de nuestra vida cotidiana, desde ellos hacemos todo tipo de actividades, recreativas, académicas y cada vez mas… laborales. Era de esperarse que empezaran proliferar las herramientas que nos permitieran trabajar desde equipos móviles, la capacidad de computo en ellos ha aumentado rápidamente los últimos años, superando incluso algunas configuraciones de equipos portátiles, son pequeños, fáciles de transportar y siempre los tenemos a la mano para reaccionar frente a cualquier incidente rápidamente. En el mundo de la seguridad informática trabajar desde estos dispositivos tiene un plus agregado y es el de poder pasar desapercibido en situaciones donde sea necesario (por ejemplo cuando el personal de una empresa ha sido avisado previamente que se van a realizar pruebas de penetración en la organización), dejando a un lado el extendido estereotipo del hacker con gorro, portátil lleno de calcomanías y pelo largo (tenia que poner esta foto jejeje), seguro lograría que los empleados de una empresa actúen de forma diferente a la habitual (cosas que no queremos). Ya hemos visto como existe una gran cantidad de herramientas para entornos iOS que nos permiten realizar muchas de las labores de un pentest desde dispositivos con el sistema operativo de Apple, ahora el turno es para Android quien también amplio abanico de herramientas para realizar pentest. Herramientas de Pentest desde Android Android Network Toolkit – zAnti Iniciaremos con las herramientas que agrupan varias utilidades en una y después pasaremos por las mas puntuales, una de las que ha dado que hablar bastante últimamente es zAnti una herramienta que vio la luz por primera vez en el 2011 durante DEFCON y que integra una gran variedad de utilidades para auditar una organización en una sola aplicación, ha sido motivo de criticas ya que por su modelo de negocios capa o elimina muchas de las funcionalidades interesantes como los ataques MITM o la explotación de fallos de seguridad, a cambio de créditos que se van consumiendo con cada uso. Pagina Oficial – Enlace del APK dSploit – Android Network Penetration Suite La siguiente aplicación se llama dSploit incluye muchas de las herramientas que trae zAnti sin restricciones o pedir créditos por ello, tiene un escáner de puertos, una herramienta para fuerza bruta, un creador de...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"