mDrive – Sincroniza y comparte tus ficheros con cualquier PC
mDrive es un nuevo proyecto que he programado que permite mantener sincronizados y accesibles tus archivos en cualquier PC. Imagina que tienes varios ordenadores y en todos ellos quieres mantener...
View ArticlePentesting: SQL Injection – Curso de SQLmap a fondo – Parte 1
Las inyecciones de SQL llevan siendo desde hace años el top de vulnerabilidades Web ya que es fácil cometer un error al validar una entrada, bien por despiste del programador o por desconocimiento....
View ArticleNueva versión de mDrive 0.6.2.6
Hace unos días os presentaba mDrive, un nuevo proyecto que estoy realizando para sincronziar ficheros entre dispositivos de forma automática. Hoy os traigo una actualización del programa que trae las...
View ArticleCurso de SQLmap a fondo – Parte 2 – Vulnerabilidades en variables POST,...
Si habéis seguido el post inicial del curso os habréis dado cuenta de que SQLmap es una potente herramienta, mucho mas que un simple detector de SQLinjection es un potente framwork para la explotación...
View ArticleIngeniería social mediante solicitudes HTTP remotas – Un ejemplo de phishing
Hoy quiero compartir un método de ingeniería social que nunca he visto documentado, pero muy creíble y eficaz que se apoya de la propiedad que tienen muchas aplicaciones (Web o de escritorio) de...
View ArticleTécnicas de evasión frente antivirus o cómo burlar un antivirus – Parte 2.1 –...
Hace un tiempo vimos las diferentes formas en las que un antivirus detectan las amenazas, centrándonos en el análisis de firmas y vimos una forma básica de burlarlo. En esta entrada (2.1) y en la...
View ArticleCurso de programación en Windows Phone (Parte I): Introducción al SDK
Sin duda la programación para dispositivos móviles es uno de los aspectos que mas está evolucionando y valorándose en los últimos años, por lo que conocer las diferentes plataformas es muy importante,...
View ArticleCurso de programación en Windows Phone (Parte 2): Interactuando con los...
Como vimos en la entrada anterior, generar una interfaz para Windows Phone es bastante sencillo gracias a Visual Studio, que nos crea la mayoría de código XAML y nos lo muestra de forma que podamos...
View ArticleTapacoches – La aplicación de Forocoches para Windows Phone
Hacía tiempo que no os presentaba ninguno de mis proyectos, hoy os traigo este que empezó mas como una forma de afianzar conocimientos sobre programación para este sistema operativo que otra cosa,...
View ArticleTapacoches es la aplicación mejor valorada de la Tienda de Windows Phone y...
Hace algo mas de un mes os presenté Tapacoches, no ha pasado mucho tiempo desde que lo publiqué pero ya ha vivido momentos buenos y algo caóticos, no obstante hoy os escribo para comentaros uno de esos...
View ArticleTécnicas de pivoting con Metasploit: route, portfwd, socks4a y proxychains
Una de las principales dudas que nos surgen cuando hacemos una auditoría de pentesting y vulnerar un sistema es qué hacer ahora que estamos dentro. Bien, el procedimiento dice que tenemos que volver al...
View ArticleMétodos de bypass en la subida de ficheros Web
A menudo nos encontramos formularios en Web que nos permiten subir un fichero, como por ejemplo los servidores para subida de imágenes, redes sociales o foros. Un error muy común en este tipo de...
View ArticlePivoting por SSH & proxychains
Hace pocos días vimos un completo post sobre técnicas de pivoting con Metasploit, en el que además de explicar las técnicas en sí, vimos qué es el pivoting y el por qué es necesario en nuestras...
View ArticleEmbeber ejecutables en macros de Word/Excel (1 de 2)
Una de las particularidades de muchos sistemas de correo es el filtrado por extensiones. Estos sistemas suelen filtrar archivos con extensiones consideradas peligrosas (exe, vbs, bat, python, etc.). de...
View ArticleEmbeber ejecutables en macros de Word/Excel (2 de 2)
Tal y como vimos en la entrada anterior es posible -y sencillo- embeber ficheros .exe y ejecutarlos desde las macros de excel. Esta es una técnica efectiva para ataques de ingeniería social ya que los...
View ArticleHacer indetectables los exploits de navegador de Metasploit (y otros)
Cuando realizamos una auditoría de seguridad y llevamos a cabo una prueba de penetración gastamos una gran cantidad de tiempo y esfuerzo haciendo una correcta recopilación de información y búsqueda de...
View ArticleAuditorías Web con OWASP ZAP – Introducción y ejemplos de uso
OWASP Zap es una herramienta disponible para Linux, Windows y Mac desarrollada dentro del Open Web Application Security Project. Dentro de esta fundación se han desarrollado varias herramientas, entre...
View ArticleQué es HSTS y cuáles son sus vectores de ataque
Últimamente veo en gran cantidad de foros y grupos de Telegram gente que empieza con las auditorías de red a aprender técnicas de MitM y a jugar con herramientas como sslstrip2 que se fustran al ver...
View ArticlePoC: Explotando Zero Day de Word CVE-2017-0199 Handler HTA
El pasado día 8 FireEye anunció haber encontrado una vulnerabilidad en Word que permitía a un usuario ejecutar código VBScript mediante un fichero RTF que contiene un exploit, dicho documento...
View ArticlePoC: Explotando CVE-2017-010 con Eternalblue y Doublepulsar desde Metasploit
Hace algunas semanas se filtró un leak con un arsenal de exploits y herramientas usadas por la NSA. Dicho arsenal incluía entre otras utilidades una serie de herramientas para explotar la...
View Article