The Social-Engineer Toolkit

The Social-Engineer Toolkit mas conocido como SET, es un conjunto de herramientas especialmente diseñadas para realizar ataques de Ingeniería Social en procesos de auditorias en seguridad, esta programado en Python por David Kennedy (ReL1K), quien hace poco publicó su versión 4.0 con grandes cambios y por esta razón, decidimos que era momento de dedicarle un articulo a esta excelente herramienta dentro de nuestra comunidad. En este articulo exploraremos las principales opciones del The Social-Engineer Toolkit, ademas de las nuevas características que se incorporaron al SET en su versión 4.0: Iniciando el The Social-Engineer Toolkit SET es multiplataforma, y solo necesitamos tener instalado el interprete de Python para ejecutarlo y ejecutarlo con ./set o Python set en la carpeta donde lo tengamos guardado (las dependencias que no tengas, las descargará automáticamente). Al iniciar el SET, lo primero que vemos es un menú que nos ofrece una gran cantidad de opciones para lanzar nuestro ataque de ingeniería social, desde la creación de correos fraudulentos, paginas que al visitarlas infecta tu maquina, archivos multimedia que permite obtener acceso al equipo de la víctima, la posibilidad de enviar correo masivo, crear un CD/DVD o memoria USB que infecte la maquina y hasta enviar mensajes de texto que nos ayude en nuestra tarea. Sistema de Phishing en el The Social-Engineer Toolkit El sistema de creación de phishing en el SET es bastante completo, nos permite generar automáticamente un sitio falso con el cual engañar a los destinatario o enviar enviar de forma masiva correos con adjuntos maliciosos que permiten el acceso remoto de su maquina. Vector de Ataque Web en el The Social-Engineer Toolkit SET también permite realizar ataques automáticos a un usuarios que ingrese (por medio de ingeniería social) a una dirección que tu le especifiques (ahora lograr esto es mucho mas fácil gracias a los acortadores de direcciones), SET se encarga de subir el servidor y realizar el ataque que le especifiques (un applet de java, ataques múltiples, o tabnabbing entre otros…) que te devolverá una shell en el equipo víctima. Creación de Medios Infectados en el The Social-Engineer Toolkit Permite crear un archivo que se conecte remotamente a nuestra maquina, ofreciéndonos una shell del sistema y se ejecute en el equipo remoto al introducirse una memoria/disco duro USB, o un disco DVD/CD aprovechando el “autorun” de windows . Generar ejecutable con Payload en el The Social-Engineer Toolkit SET también permite (con la ayuda de metasploit framework) generar un ejecutable que se conecte remotamente a nuestra maquina, una vez lo abran en la maquina víctima, permitiéndonos configurar una gran cantidad de shells, entre ellas la famosa meterpreter, shells ciegas de windows, shells...

Leer Más

Google por linea de comandos

Google siempre nos sorprende con sus nuevas herramientas, siempre tratando de ofrecernos todas las facilidades para utilizar sus servicios; Hoy les traigo una nueva utilidad de Google Llamada GoogleCL. Google CL, es una herramienta que permite utilizar todos los servicios de Google desde la linea de comandos, por ejemplo podemos postear artículos en Blogger, subir vídeos a Youtube, fotos a Picasa, realizar búsquedas, revisar contactos, etc.. todo sin salir de nuestra consola. Google CL esta escrito en Python y utiliza las librerías gdata-python-client library, es multiplataforma y también existe un paquete para Debian o sus deribados (ubuntu) con el que se puede instalar fácilmente. Agunos ejemplos de lo que podemos hacer con GoogleCL: Blogger $ google blogger post --title "GoogleCL" "escribiendo desde linea de comandos" Calendar $ google calendar add "Escribir Articulos para la Comunidad DragonJAR" Contacts $ google contacts list name,email > contactos.csv Docs $ google docs edit --title "Lista de tareas" Picasa $ google picasa create --album "Fotos Campus Party" ~/fotos/eventos/campus/*.jpg Youtube $ google youtube post --category Tecnología dragonjartvcap1.avi Seguro esta herramienta nos sera muy útil para automatizar tareas, realizar backups o cualquier otra cosa que se nos ocurra, ya que el script es bastante personalizable y fácil de entender. Para mas información visita la pagina oficial del GoogleCL en Google...

Leer Más

Curso de Python dictado por Google

Debido a que el curso sobre desarrollo seguro de aplicaciones web dictado por Google, fué tan bien recibido, me puse en la tarea de buscar mas contenidos similares y encontré un excelente curso de 2 días para aprender Python dictado por Google a sus desarrolladores. El curso de  Python dictado por Google es totalmente gratuito y se enfocada en personas con un poco de experiencia en programación que quieran aprender Python. Las clase incluye materiales escritos, vídeos de conferencias, y un montón de ejercicios para practicar el código Python. Estos materiales se utilizan en Google para introducir Python a personas que acaban de experimentar un poco de programación. Los primeros ejercicios de trabajo en los conceptos básicos de Python como cadenas y listas, hasta llegar a los ejercicios posteriores que se trata de programas completos archivos de texto, los procesos y las conexiones http. La clase está dirigida para personas que tienen un poco de experiencia en programación en algún lenguaje, lo suficiente para saber lo que es una “variable” o un “if” . Más allá de eso, no es necesario ser un programador experto para usar este material. 1.1 Introducción las cadenas 1.2 Listas de  y ordenamiento 1.3 Manejo de archivos 2.1 Expresiones Regulares 2.2 Utilidades 2.3 Utilidades (urllib) 2.4 Conclusiones El material mencionado en los videos, lo puedes encontrar en la pagina oficial del Curso de Python dictado por Google. Tambien te puede interesar: Documentación de Python en Español Aprender Python (excelente sitio para aprender python en...

Leer Más

MultiInjector – Herramienta Automática de Inyección SQL

MultiInjector es una herramienta para realizar automáticamente sql injection en un sitio especificado, al ingresarle una url o una serie de estas, automáticamente comprobara si es/son vulerable/s. Algunas Características de esta Herramienta son: Recibe una lista de URL como entrada Reconoce los parámetros URL de la lista Ejecución de comandos sobre el sistema operativo a distancia que permite xp_cmdshell en el servidor SQL, posteriormente, ejecutar cualquier comando introducido por el usuario sobre el sistema operativo Conexiones paralelas configurables para aumentar la velocidad del ataque Uso opcional de un proxy HTTP para ocultar el origen de los ataques Entre otras… Los Requisitos para ejecutarla… Python >= 2.4 Pycurl (compatible con la versión de Python) Psyco (compatible con la versión de Python) Puede descargar aquí MultiInjector de este enlace Para Mas Información click...

Leer Más

Iguna, Herramienta gratuita para realizar de pruebas de penetración

Inguma es una herramientas para realizar de prueba de penetración escrita enteramente en python. El framework incluye los módulos para descubrir los hosts, información sobre ellos, sacar nombres de usuario y las contraseñas por fuerza bruta y por supuesto exploits para muchos productos. Fue orientado inicialmente a atacar los sistemas Oracle pero puede ser utilizado para cualquier otro tipo. ¿Cuáles son los módulos que puedes pedir? Descubrir que los módulos están utilizados para detectar redes y el anfitrión; los módulos del frunce se utilizan para determinarse qué servicios están escuchando en el anfitrión, se está utilizando qué sistema operativo, qué paquete del servicio, etc… Tristemente actualmente no trabaja en todos los Win32, otra vez el problema con los RAW sockets y la biblioteca de Scapy no trabajará para Win32. Si estás usando Win2k puede ser que tengas menos problemas. Es una versión muy temprana del software y el desarrollo parece haber sido reservado últimamente, espero que más gente pueda contribuir a este proyecto y conseguirlo que se mueve otra vez. ¡Tiene futuro! Puedes descargar Inguma aquí: inguma0.0.2.tar.gz O entrar a la web oficial de iguma. Vía | Inguma – Penetration Testing...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES