Ya vimos que los servidores mal configurados que permiten realizar transferencias de zona sin restricciones desde cualquier IP son muchos. Para saber si un servidor DNS es “vulnerable” a este tipo de ataque usamos la herramienta dig, primero obtenemos los dns que estan asociados al dominio, para este ejemplo usaremos el dominio zerial.org. $ dig [...]
Búsqueda de servicios DNS con Transferencia de Zona abierta (AXFR)
Agosto 11th, 2011 · 6 Comentarios
Etiquetas: GNU/Linux · Hacking · Seguridad
simple-pytweet: El reemplazo de twitsh
Abril 23rd, 2011 · 1 Comentario
Hace un tiempo publiqué un script que servia para twittear de forma rapida y sin tener ninguna “aplicación” aparatosa, el script estaba escrito en bash y en ese tiempo usaba metodo de autenticación “plana” e “insegura”. Ahora reescribí el código en python y usando OAuth. El nuevo script se llama simple-pytweet y si usar Archlinux [...]
Etiquetas: GNU/Linux · Mis cosas · Proyectos
Script monitor de sistemas de archivos y particiones
Julio 14th, 2010 · 1 Comentario
Existen herramientas que nos permiten monitorear distintas cosas en un parque de servidores, como Zabbix, Nagios, etc. Pero hay veces que no es posible, ya sea por recursos o por tiempo, implementar una solución de monitoreo de alto nivel, por lo que recurrimos a los scrtips. Estoy seguro que bash, las llaves publicas y privadas [...]
Etiquetas: GNU/Linux · Programación · Tips
Imagenes y snapshots: Respaldo de servidores
Febrero 22nd, 2010 · 10 Comentarios
Mi propósito era crear imágenes de todos los servidores del datacenter para que, en caso de cualquier contingencia, levantar un nuevo servidor identico simplemente traspasando la imágen de respaldo hacia ese servidor. Los sistemas estaban instalados usando volumenes lógicos (LVM) por lo que sería mucho más fácil crear imágenes y snapshots de respaldos. En un [...]
Asaltando un sitio de series online
Febrero 15th, 2010 · 10 Comentarios
De aburridos, junto con E.A.S (o xwall), nos dedicamos a buscar un sitio que brinde el servicio de series de en linea para encontrar la forma de tomar prestadas todas las series alojadas en el servidor. Imaginense algo como YouTube, pero tan vulnerable que fuese posible extraer todos los videos que hay en la red. [...]
Etiquetas: Hacking · Seguridad
Script para escanear la red en busca de servidores y servicios
Febrero 10th, 2010 · 4 Comentarios
Hace un par de días tuve la necesidad de escanear 3 redes completas, mas de 50 direcciones ip, en busca de servicios que corrieran en ellas. Obviamente, no iba a ingresar a cada servidor y hacer un netstat o revisar uno por uno que servicios tenia instalado, si para eso existe nmap! Lo que hicste [...]
mpd-twitter: Publicar en twitter lo que estas escuchando
Enero 10th, 2010 · 6 Comentarios
Ultimamente he estado usando el Music Player Daemon (MPD) para escuchar música. Tambien me he dado cuenta que en Twitter hace varios días está de trending topic el hashtag #nowplaying, donde la gente publica lo que está escuchando. En base a ésto y a un poco de imaginación y tiempo libre, cree un script en [...]
Etiquetas: Documentacion · GNU/Linux · Programación
Ataque de fuerza bruta a WordPress
Diciembre 7th, 2009 · 5 Comentarios
Los ataques por fuerza bruta a instalaciones WordPress son un tanto faciles, ya que es muy sencillo determinar los usuarios del sistema y no tiene sistemas de protección de Throttling Login Attempts o límite de intentos de ingreso, lo cual nos permite hacer éste tipo de ataques. Determinar los nombres de usuarios es tan sencillo [...]
Etiquetas: Hacking · Seguridad
WP-Config Discover: Héchale un vistazo a todos los WordPress del servidor
Agosto 10th, 2009 · 5 Comentarios
WP-Config Discover es el nombre que le puse a un script/exploit en el que estuve trabajando durante la semana. Este script no se aprovecha de ninguna falla ni vulnerabilidad de wordpress ni de algun servicio en especifico, sino de algo que es completamente normal: Lectura para el usuario www-data sobre el fichero wp-config.php. Como todos [...]
Etiquetas: Hacking · Programación · Seguridad
