Archive for November 2012

Coqueteando con Metasploit: Módulo psnuffle

  Este es el primero(pese a que anteriormente ya se ha tocado el tema 😉 ) de lo que es seguramente será una serie de post sobre Metasploit y herramientas asociadas a éste (Msfencode, MSFpayload…) con la finalidad  tener en el blog una guía de referencia de las posibilidades que dichas aplicaciones ofrecen. Cada entrada tendrá distinta longitud y tocará desde  POC comunes como ataques sobre un XP SP2 a secciones menos conocidas o comentadas como son algunos módulos auxiliares.

  Con esta pequeña introducción ya tenemos lo necesario para empezar con lo divertido, el módulo de Metasploit psnuffle :D.

 Psnuffle es un sniffer que permite, de forma sencilla capturar datos de los protocolos POP3, IMAP, FTP y HTTP (solo peticiones GET y no HTTPS). Para acceder a él basta con:

use auxiliary/sniffer/psnuffle

La información de este módulo es accesible mediante

info 

y permite configurar parámetros como filtros, la interfaz para capturar tráfico o los protocolos a utilizar entre otros.

 Una vez realizadas las configuraciones pertinentes (no son necesarias para su funcionamiento, solo para obtener más precisión el la captura) para iniciar el sniffer es tan simple como escribir

run

  Conforme se vayan capturando datos de los distintos protocolos se irán mostrando por pantalla:

  En resumen, un módulo simple que no llega a los niveles de otros sniffer más potentes como Wireshark Ettercap pero puede ser útil para determinados momentos.

 Para completar el contenido de la entrada el siguiente  vídeo del desarrollador muestra las funcionalidades del módulo:

Además de estos enlaces a modo de fuente e información extra:

Metasploit Unleashed => https://www.offensive-security.com/metasploit-unleashed/Password_Sniffing 

MAX’s blog (blog del desarrollador)
 => http://remote-exploit.blogspot.com.es/2009/08/psnuffle-password-sniffer-for.html

Con todo esto es hora despedirse, nos leemos en breve 😉

Leer artículo original: Coqueteando con Metasploit: Módulo psnuffle

Tips: recibir mensajes SMS online

Desde hace tiempo, la mayoría de los sites requieren una dirección de email válida para poder registrar un usuario, a la cual envían un código de confirmación para terminar la validación. Si bien esto sigue siendo igual en la mayoría de los casos, cada vez más sitios empiezan a requerir algo más… un número de celular. Estos sites envían al número ingresado un código de confirmación, el cual hay que ingresar para validar al usuario.

En diferentes sites el número de celular es opcional y permite autenticación de dos vías, lo cual refuerza el sistema de autenticación, pero en otros es mandatorio colocar el número.
Los paranoicos como yo (o los usuarios que todavía desean poseer un mínimo de privacidad), no deseamos colocar el condenado número para que después la página pueda, como mínimo, enviarnos SPAM. Por ello me puse a buscar alguna alternativa que me permita recibir mensajes en un número online. Así fue como llegué al excelente artículo How to receive SMS online to bypass SMS verification? 
El artículo resume cuáles páginas permiten la recepción de SMSs online. Las mismas proveen una serie de números, controlados por ellos, los cuales están aptos para recibir SMSs internacionales. Cuando se recibe un mensaje, el mismo es agregado en la web para que pueda ser leído.
Las alternativas más simples de utilizar (digo simples porque no necesitan creación de usuario) son Receive-SMS-Online y ReceiveSMSOnline. De estas, la que a mi me funcionó es la primera, utilizando los números de Noruega. En el resto de los números no pude recibir mensajes. La ventaja adicional de la primera es que separa los SMS recibidos en cada número en páginas diferentes.
La tercer página citada en el artículo es Pinger, la cual pintaba bien en su descripción, pero tampoco pude recibir mensajes. La cuarta requiere justamente lo que no quería originalmente, un número de celular. No se por qué el autor colocó ésta en la lista, siendo que no es la idea del artículo. La última citada es para recibir faxes y mensajes de voz, ya alejandose de los SMS, así que no la probé.
Adicionalmente a las del articulo, encontré Receive-SMS, similar a ReceiveSMSOnline en la cual se muestran los mensajes de todos los números en una misma págna.
Estas páginas son de mucha utilidad, pero no siempre servirán, dado que los sites no son tontos (bueno, no todos) y muchos controlan los números de cel que ya validaron códigos y no permiten que sean utilizados nuevamente.
Me pareció interesante listar estas páginas porque, si bien existen cientos de páginas para el envío de mensajes online, no existen muchas para recibirlos.

Leer artículo original: Tips: recibir mensajes SMS online

Mi Tesis en LaTeX ¿Porque LaTeX y no Office ?

¿Porque LaTeX y no Office?
Esta es la pregunta que me lleva a escribir este post, mas de una persona me anda molestando, preguntando o simplemente me dice loco!! asi tal cual :'( para todo aquel que me pregunto o me ataco de buena o mala manera aquí les va la respuesta.
El Enamoramiento con LaTeX!!!
Mas o menos hace 1 año y medio es que comenze a trabajar con LaTeX, por sugerencia de mi amiga y tutora Mish, indicandome en ese momento, cuales eras las ventajas de poder trabajar en el como siempre a la primera me anime.
Mis tomos de la tesis :$

Comenze con hacer una búsqueda aptitude search latex me acuerdo que me salieron varios paquetes  y yo wTf! ahora cual es para instalar  asi que procedi e instale, googleando un poco viendo cada paquete para que era en ese tiempo andaba con mi sepsi Ubuntu 10.10 el cual me llevo por un largo camino, la primera texteada por asi decirlo que realize fue el clasico hola mundo.

Desde ese dia comenzo la pelea para poder realizar los trabajos en LaTeX la curva e aprendizaje con ello no es tan complicada mas bien, se aprende rapido se tiene un sin fin de documentación.
No es que me considere un geek o sea un enfermo al haber realizado mi tesis en LaTeX pero al ver lo excelente que salio me  encanto a ver luchado por  esto es verdad que si lo hubiese echo en Office, talvez mas rapido ya que todos los cambios que hubiese realizado llegaran a ser visualizados al momento, pero al realizarlo en LaTeX el cambio es mayor, las imagenes se acomodan solas el pie de pagina del mismo modo, tengo un control perfecto del mismo si es mas que claro que aveces bueno casi siempre uno se encuentra con problemas especificos en el paginado lo cual es engorroso realizar ir viendo cada uno ver que la imagen a55 se encuentra en la pagina 87 del anexo X y tiene una referencia en el Indice, o bien la bibliografia que es todo un completo dolor de cabeza  tener las referencias exactas y que cumplan cierto formato en mi caso nos hicieron que este con APA, en LaTeX es una excelente manera de  poder automatizar todo ese proceso con ayuda de Bibtex.
Por ello desde que la conocí me enamore las presentaciones que realizo las hago con ello y ayuda de Beamer, la presentación para el DESEIN del dia de mañana la ando haciendo justamente en LaTeX, mañana me espera un agetrado día, se viene el acto de colación al fin me diran tienes derecho a meter la pata… 
Hasta mañana 😀

Leer artículo original: Mi Tesis en LaTeX ¿Porque LaTeX y no Office ?

Chile Trabajos expone todos los curriculums y direcciones de correo de sus usuarios

ChileTrabajos.cl es una plataforma que permite ofrecer y encontrar trabajos a cualquier tipo de personas, donde las personas generan un curroiculum con el cual pueden postular a distintos tipos de trabajos. Este sitio tiene un problema de privacidad que afecta a todos sus usuarios.

Segun sus políticas de privacidad, ellos han adoptado medidas de seguridad y sólo entregaran información vía judicial, sin embargo, es posible acceder a todos los curriculums y correos de sus usuarios sin siquiera estar registrado en el portal.

Extracto Politica de Privacidad - ChileTrabajos.cl

Extracto Politica de Privacidad – ChileTrabajos.cl

Las personas confían en este tipo de plataformas y en la seguridad/privacidad que les ofrecen, sin embargo, no siempre saben a lo que estan realmente expuestos.

Nos enteramos por @cokefig mediante twitter que Google indexa todos los curriculums asociados a una dirección de correo electrónico, pudiendo acceder a la información de todas esas personas

Busqueda en Google - ChileTrabajos.cl

Busqueda en Google – ChileTrabajos.cl

La busqueda la puedes realizar mediante el dork site:http://chiletrabajos.cl/cv/c.php?id o site:www.chiletrabajos.cl inurl:upload_files.

En twitter, la cuenta de @ChileTrabajos asegura que sólo pasa cuando el usuario decide hacer su perfil publico o visible en internet

Sin embargo, nosotros hicimos la prueba y nos registramos en el portal, creamos un perfil y un curriculum falso, y cuando fuimos a relizar la descarga mediante www.chiletrabajos.cl/cv/c.php?id=nuestro@correo.org, el archivo fue descargado, pero con un mensaje que decia que la información es privada.

Pero el problema es otro…

Aun cuando el usuario decida o no hacer publico su perfil, esta información no debe indexarla ningun motor de busqueda. Por ejemplo, si un usuario decide hacer su perfil privado, su información ya estará indexada y disponible desde los motores de busqueda.

Esto no es todo. Como en todo portal de trabajos, a las personas les gusta subir sus fotos de presentación adjuntas a sus CVs, en este caso, ChileTrabajos tiene habilitado el Directory Listing, permitiendo listar TODAS las imagenes subidas por sus usuarios

ChileTrabajos.cl - Index of /upload_files/images/thumbs

ChileTrabajos.cl – Index of /upload_files/images/thumbs

El listado de imagenes se puede acceder desde http://www.chiletrabajos.cl/upload_files/images/thumbs/, demorará un poco en cargar puesto que son milesde líneas.

Se pueden encontrar fotografías con nombres completos y RUT de las personas

Nombre y RUT censurados por SECURELESS para proteger la privacidad.

Nombre y RUT censurados por SECURELESS para proteger la privacidad.

Y tambien otro tipo de fotos como por ejemplo:

http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdece93311b2e0a8b1a8ace6363a5b6.jpg

http://www.chiletrabajos.cl/upload_files/images/thumbs/ffec176b77449d2025b3991df833a5e5.jpg

http://www.chiletrabajos.cl/upload_files/images/thumbs/ffdcf76e8f2ff080109eaf16e41e7753.jpg

http://www.chiletrabajos.cl/upload_files/images/thumbs/0a2d3b955c5158e9c6ef5e9f8425031c.jpg

Si por un lado ChileTrabajos dice que a esta información sólo se puede acceder si el usuario configuró su perfil público, todos sabemos que el acceso directo a las imagenes no maneja sesiones ni cookies, por lo que es posible acceder directamente sin ningun tipo de control.

Leer artículo original: Chile Trabajos expone todos los curriculums y direcciones de correo de sus usuarios

Estafas por correo electrónico [Parte II]

Saludos,

   Últimamente estoy poco creativo, y entre que tengo que hacer varios trabajos para la uni antes de que acabe el cuatrimestre y que estoy viciadete al Chivalry: Medieval Warfare, no se me ocurre sobre qué escribir. Asi que he mirado el correo del blog a ver si nos habían enviado alguna estafa más, y sí, una nueva.

    En este caso nos ha tocado la de la chica soltera que quiere cambiarse de país, y quiere conocernos. Tristemente no ha sido la típica rusa pechugona, como alguien mencionó en el anterior post. Aquí el correo:

My Dear

How is everything over there in your country and the day, i believe you are having a nice moment and that the atmosphere over there in your country is very nice today? Mine is a little bit warm over here in Burkina-faso .

My name is Miss yak ruth i am 24 years old but age doesn’t matter in a real relationship. I am from Liberia in west Africa, I’m 5.8ft tall, light in complexion, very attractive, single, (never married) and presently living in the refugee camp here in Burkina-faso as a result of the untimely death of my beloved parents by rebels. My hobbies are tennis,swimming, reading and homemaking.

My late father Dr.Johnson Abbe who was the chairman managing director of ABBE’S COCOA INDUSTRY LTD, in Monrovia , he was also the personal adviser to the former head of state, before the rebels attacked our house one early morning and killed my mother and my father in cold blood. It was only me that is alive now and I managed to make my way to a near by country Burkina-faso where i am leaving now as a refugee under a Reverend father’s care an i am using his computer to send these message to you. I will plead with the Reverend Pastor of the church to allow me receive calls from you so that i can give you the telephone number of the church to call me so that we can talk more about ourselves.

I would like to know more about you. Your likes and dislikes your hobbies and what you are doing presently. I will tell you more about myself in my next mail with my picture attach. Hoping to hear from you soonest.

Your’s forever,

Miss yak ruth.

No sé si contestar al correo para que me mande una foto de google, o no.  Sería divertido empezar a investigar y tirar del hilo de todas estas estafas, a ver qué aprendemos. De todas formas, señores que se dedican a las estafas: España está en crisis. Nadie quiere venir aquí, no lo pongais en los correos.

   Por otra parte a mi correo personal (parece que se ha filtrado alguna DB) me está llegando día sí y día también un correo desde una empresa, diciendo que ha visto mi CV en una web y quiere contactarme. Todo eso con un sospechoso archivo adjunto. Yo no sé nada de malware ni de binarios, pero si a alguien le gusta este tema y quiere el archivo para destriparlo que me avise y le reenvío el correo.

Leer artículo original: Estafas por correo electrónico [Parte II]

¿Quieres aprender Android? selección de Libros para aprender a programar….

Android, el boom que apareció en los últimos años  y ultimamente todos queremos aprender a desarrollar en ello, del mismo modo en el blog andamos con entradas semanales referentes a este mundo aprenderemos de apoco pero si eres de las personas que  les gusta ir a su propio ritmo y avanzar, esta entrada esta especialmente para ti, por ello traigo de la Biblioteca todos los libros, y vídeos  que llega a postear los cuales solo vi uno de Salvador Gomez lo basico no pude avanzar  mas 🙁 por falta de tiempo ademas de ello que  no llevo control de las cosas que tengo que hacer como siempre olvidadizo y demas pero ha eso no viene el post 😛 asi que  pueden descargarlo mas abajo.
Ademas recuerden que ya se viene la segunda entrada de Android en la primera se abordo como instalar el SDK y demas trajes, ademas  de ello CATDROID lo cual trae eclipse listo para trabajar…

La entrada iremos actualizando si hay nuevos libros o bien, creando una nueva 🙂

       

Leer artículo original: ¿Quieres aprender Android? selección de Libros para aprender a programar….