HTTP Traceroute
Nov03

HTTP Traceroute

La parte de fingerprint es la primera fase de un proceso de pentesting, es por eso que es bueno contar con un arsenal de herramientas para obtener información sobre el target que auditaremos. Aquí en DragonJAR se han presentado varias herramientas para realizar un proceso de fingerprinting, hoy os traigo otra que me ha parecido bastante útil. La herramienta está desarrollada en Ruby y nos puede servir para obtener un primer vistazo del target que queremos auditar. Ponemos un caso en el que estamos lanzando un crawler para distintas URL’s y algunas de estas URL el path del dominio es www otros sin www por lo que algunos crawler fallan porque el servidor le arroja un 301 y no siguen las redirecciones. Si ya tenemos ese resultado extraído es mas fácil enfocar los escaneos posteriores. Esta y otras funcionalidades       [email protected]:~/Downloads/http_traceroute$ ruby http_traceroute.rb http://dragonjar.org http_traceroute 1.0 Robin Wood ([email protected]) (http://digi.ninja) ************************************************************ Starting at: http://dragonjar.org ************************************************************ Requesting: http://dragonjar.org Response code: 301 ======= Headers ======= date: Mon, 03 Nov 2014 14:58:26 GMT content-type: text/html; charset=UTF-8 transfer-encoding: chunked connection: close set-cookie: __cfduid=d2a960f9f0279784f8e5ec548504161311415026706383; expires=Mon, 23-Dec-2019 23:50:00 GMT; path=/; domain=.dragonjar.org; HttpOnly x-powered-by: PHP/5.2.17 x-cf-powered-by: WP 1.3.14 x-pingback: http://www.dragonjar.org/xmlrpc.php location: http://www.dragonjar.org/ vary: Accept-Encoding,User-Agent server: cloudflare-nginx cf-ray: 18396e12e73a0bff-AMS ======= Cookies ======= __cfduid ; d2a960f9f0279784f8e5ec548504161311415026706383 ; .dragonjar.org ; / ; ; httpOnly ; 2019-12-24 00:50:00 +0100 =========== Redirecting =========== Location: http://www.dragonjar.org/ Redirecting to: http://www.dragonjar.org/ ************************************************************ Requesting: http://www.dragonjar.org/ Sending cookies: __cfduid=d2a960f9f0279784f8e5ec548504161311415026706383 Response code: 200 ======= Headers ======= date: Mon, 03 Nov 2014 14:58:28 GMT content-type: text/html; charset=UTF-8 transfer-encoding: chunked connection: close x-powered-by: PHP/5.2.17 x-cf-powered-by: WP 1.3.14 x-pingback: http://www.dragonjar.org/xmlrpc.php vary: Accept-Encoding,User-Agent server: cloudflare-nginx cf-ray: 18396e16b4780bff-AMS ======= Cookies ======= =============== End of the line =============== Podemos ver cosas interesantes como que vemos si la página tiene una redirección: =========== Redirecting =========== Location: http://www.dragonjar.org/ Redirecting to: http://www.dragonjar.org Tenemos toda la parte de headers del servidor, con eso podemos saber si se trata de un Apache ISS etc.. Otra de la información que puede ser de utilidad para la gente de sistemas es por ejemplo cuando haces implementaciones de incorporar HTTPOnly   ======= Headers ======= pragma: no-cache x-frame-options: DENY cache-control: private, no-cache, no-store, must-revalidate expires: Sat, 01 Jan 2000 00:00:00 GMT x-xss-protection: 0 x-content-type-options: nosniff p3p: CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p" set-cookie: datr=4ZhXVO5DaHn37mMZ2vMLkTjt; expires=Wed, 02-Nov-2016 15:01:53 GMT; Max-Age=63072000; path=/; domain=.facebook.com; httponly set-cookie: reg_ext_ref=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; Max-Age=0; path=/; domain=.facebook.com set-cookie: reg_fb_ref=https%3A%2F%2Fwww.facebook.com%2F; path=/; domain=.facebook.com set-cookie: reg_fb_gate=https%3A%2F%2Fwww.facebook.com%2F; path=/; domain=.facebook.com content-type: text/html; charset=utf-8 x-fb-debug: UgolsD+XVFe4c1lBIEm3QxznoMDth6sg5e6Gub7QqS81V2eDFLZNl/mSAmUv1wgl3hNMwyJFXNTtjavz4mNqhQ== date: Mon, 03 Nov 2014 15:01:53 GMT connection: close Podemos ver como Facebook establece que no usa P3P y tiene marcado aspectos como HttpOnly Otro de los aspectos que se pueden...

Leer Más

Cursos Hacking en Bogotá – Pentesting con Backtrack

Ofrecemos servicios de capacitación integral dirigida a entusiastas, estudiantes y profesionales de manera que puedan adquirir y/o fortalecer sus competencias en las diferentes temáticas y herramientas cruciales para desempeñarse adecuadamente en el mundo de la seguridad informática. Contamos con entornos propios que te harán experimentar situaciones reales para enfrentarte al mundo laboral de la seguridad informática.   Si te interesa este tipo capacitaciones altamente practicas y online no dejes de revisar nuestra iniciativa De 0 a Ninja, donde encontraras un buen listado de capacitaciones a muy buenos...

Leer Más

Nos vemos en Medellin!!

El Hacking Day ya pasó por Manizales y Bogotá dejando un buen sabor de boca entre sus asistentes y ahora le toca el turno de disfrutar el Hacking Day a los paisas de Medellín, el pasado sábado 11 de Junio Jhon Cesar Arango enseñó a los asistentes de “Pentesting con Backtrack”, como utilizar este sistema operativo para realizar un pentesting. Como si fuera poco este fin de semana (Sábado 25 de Junio) estaré dictando el taller de Seguridad Wireless, donde aprenderas de forma práctica, a configurar tu entorno de trabajo y tarjetas inalámbricas, para auditar redes inalámbricas, aprenderemos los cifrados WiFi utilizados actualmente, distintas técnicas para vulnerar estos cifrados, inyectaremos trafico, falsificaremos certificados, generaremos falsos AP, capturaremos información con ingeniería social, ingresaremos a los routers y aprenderemos los riesgos de tenerlos configurados por defecto, ademas de aprender a proteger nuestra red para que no hagan lo mismo con ella. Si estas interesado/a en alguna de las capacitaciones que hacen parte del proyecto Hacking Day, no dudes en inscribirte usando el siguiente formulario Puedes ver como fue el Hacking Day en Medellín sobre Pentesting con Backtrack...

Leer Más

Así fue el Hacking Day en Medellín – Pentesting con Backtrack

Esta historia comienza con una anecdota especial de un profesor llamado “POCHO”, quien sin conocernos en persona, “Recomendó” a sus alumnos la asistencia a el Hacking Day, si no querian ver su nota como una variable aleatoria, “Mil gracias al profesor POCHO, esperamos tener sus comentarios en esta reseña”. Un grupo de excelentes personas, nos acompañó en las diferentes temáticas tratadas en el taller de Pentesting con Backtrack, dejando las bases necesarias para profundizar más en los temas y poder tomar los futuros talleres. Se destacó el trabajo en grupo y el trabajo en “comunidad” el cual se demostró con los aportes de los asistentes. 8 horas no fueron suficientes para tocar lo temas, lo cual se hizo en 10 pero el tutor estaba dispuesto y los asistentes mucho más, cerrando con éxito la jornada, que se vieron reflejada en la observaciones hechas al curso. Y se tuvo la oportunidad de tratar sobre los futuros talleres que se lanzaran en el mes de Agosto, entre los que se destacan: MetaSploit en  Profundidad Hardering en Servidores Linux Hardering en Servidores Windows Taller de Malware Seguridad en Aplicaciones Web Entre otros…. No queda más que agradecer a los asistentes y al personal del Hotel Plaza Rosa por su calor humano y sentido de colaboración y a Juan Fernando Jaramillo que no nos puedo acompañar en esta ocasión, por ayudarnos con la logística del lugar e invitarlos a nuestro próximo “The Hacking Day – Taller de Seguridad Wireless” que realizara el 18 de Junio en la Ciudad de Medellín. Si estas interesado/a en alguna de las capacitaciones que hacen parte del proyecto Hacking Day, no dudes en inscribirte usando el siguiente formulario Espero que realmente disfrutaran esta capacitación y dejen sus comentarios abajo para que los nuevos interesados sepan de primera mano que esperar en un Hacking Day. Artículo escrito por Jhon Cesar Arango (@jcaitf) para La Comunidad...

Leer Más

Así fue el Hacking Day en Manizales

Tras una agitado día, un nuevo grupo de BackTrackers fue liberado y ahora están en la calle poniendo a prueba sus nuevas habilidades… Así fue el Hacking Day  que el pasado 30 de abril se llevó a cabo en la ciudad de Manizales, donde de la mano de Jhon Cesar Arango, un extraordinario grupo humano conformado por personas de varias ciudades (Bogotá, Armenia, Pereira y por supuesto Manizales) se capacitó para realizar auditorias de seguridad (pentesting) con la distribución por excelencia en seguridad BackTrack. Acompañados de un delicioso cafe colombiano, se recorrieron todas las faces de un Pentesting, desde la enumeración por medios pasivos (geolocalización, metadatos, google hacking, etc..) y activos (DNS, Trazado de Rutas, NMap,  etc…), análisis de infraestructura, vulnerabilidades y redes inalámbricas, explotación de fallos, y generación de reportes entre otros. Como pueden ver muchas temáticas fueron tratadas en tan solo 8 horas, que terminaron siendo 10 gracias a la buena aceptación de la capacitación por los asistentes y la disposición de Jhon Cesar Arango para continuar, pero como podrán imaginarse es necesario profundizar en temáticas especificas, que por si solas se llevarían un curso entero. Es por eso que tenemos programadas capacitaciones como la del próximo sábado 14 de Mayo en Bogotá (Seguridad en Redes Inalámbricas) o implementación de un Firewall con IPTables y las próximas a implementarse sobre Análisis Forense en entornos Windows, Seguridad en Aplicaciones Web y Metasploit a Fondo, entre otros. Si estas interesado/a en alguna de las capacitaciones que hacen parte del proyecto Hacking Day, no dudes en inscribirte usando el siguiente formulario Para mas información sobre precios y descripción de las capacitaciones ofertadas, te invito a visitar este enlace. PD. Nos gustaría tener un feedback de los asistentes a la capacitación “Pentesting con Backtrack” realizada en Manizales, para tener de primera mano su opinión sobre la...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos correo basura.

Aprende de la mano de Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo del HACKING, con ventajas como las siguientes:

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Te entregamos un diploma de certificación por cada curso

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices