El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Página 36 de 51

Testing de calidad a las empresas de hosting y desarrollo web en Chile

agosto 21, 2009 /

Binary Code AbstractHace un tiempo comencé con la idea de exponer públicamente una lista, semanal, de sitios vulnerables.
Ahora, mi propósito será realizar un análisis de seguridad a las empresas de desarrollo web y hosting en Chile, exponiendo todas sus debilidades y fortalezas para generar un poco de conciencia respecto a la seguridad tanto como en las empresas como en los clientes o usuarios, quienes hacen uso de estos servicios.

Analizaré tanto los servidores de las empresas como sus sitios web, al igual que los sitios web de sus clientes.

Explotando una vulnerabilidad Full Path Disclosure+Directory Transversal

agosto 21, 2009 /

Antes de mostar cualquier cosa quiero dejar en claro que todo lo que leerán de aquí en adelante es sólo con fines educativos, si tu eres un hacker malo que le encanta hacer cosas feas a los sitios con este tipo de fallas tan estúpidas comunes, este documento no es para ti, asi que vete maldito delincuente hacker inescrupuloso.

directory-trans

Habien dicho todo esto, llego el momento de la acción. Wanna rock?

Seguir leyendo

Algo así como un asesino a sueldo

agosto 19, 2009 /

espia_asesinoUltimamente me ha contactado harta gente para hackear cuentas de correo a cambio de dinero, independiente de mi respuesta, esto me hace sentir como un “asesino a sueldo”. Muchas veces las personas confunden, por ignorancia, los terminos y las habilidades de una persona respecto a los computadores.

Los sistemas de correo usados comunmente son GMail, Hotmail, Yahoo, entre otros no tienen fallas conocidas como para que una persona pueda obtener la password de un usuario tan facilmente, ni romper un sistema de autentificación, ni acceder a los servidores, etc. Para lograr obtener acceso a una cuenta ajena se puede lograr de varias formas, crackeando o hackeando otros servicios donde esta persona es parte o bien “adivinando” la contraseña de la víctima, pero para esto, hace falta tiempo y no se logra de 1 día para otro. Muchas veces basta con un poco de ingenieria social y no hace falta ser un experto gurú de la informática.

Tip: Migración de servidores a Xen

agosto 12, 2009 /

xen_tipsEste es el segundo post del día relacionado con Xen ya que he estado jugando con Xen, hace tiempo que no probaba cosas. Este post se trata de un tip para poder mgirar cualquier servidor hacia Xen, no importa si está virtualizado con VMWare, si es una máquina fisica, Xen, etc etc, es una forma bastante sencilla que no tiene ninguna ciencia.

La teoría
Copiar todos los archivos (por red) de una máquina a otra manteniendo los permisos e integridad de cada fichero.

La práctica
Lo haremos en 4 sencillos pasos y haciendo uso de la herramienta rsync

Seguir leyendo

Instalar CentOS con Xen en Debian

agosto 12, 2009 /

Luego de intentar varias maneras de instalar CentOS sobre Xen y luego de varios intentos fallidos, puedo resumir todo en 5 sensillos pasos para no morir en el intento.

  1. Descargar las imágenes

    2. Descargar las siguientes imágenes (checkear si existen más nuevas):
    * https://mirror.centos.org/centos/5.3/os/i386/images/xen/vmlinuz
    * https://mirror.centos.org/centos/5.3/os/i386/images/xen/initrd.img

    Por ejemplo, dejemoslo en /tmp/

    wget https://mirror.centos.org/centos/5.3/os/i386/images/xen/vmlinuz -O /tmp/
    wget https://mirror.centos.org/centos/5.3/os/i386/images/xen/initrd.img -O /tmp/

  2. Configuración de la máquina virtual

    3. El fichero de configuración de la máquina debe ser algo como: (//modificar según requerimientos//)

    kernel=’/tmp/vmlinuz’
    ramdisk=’/tmp/initrd.img’
    extra=’text’
    maxmem=’3072′
    memory=’2048′
    vcpus=2

    disk=[
    ‘file:/vm/cpanel/root.img,hda,w’,
    ‘file:/vm/cpanel/home.img,hdb,w’,
    ‘file:/vm/cpanel/tmp_swap.img,hdc,w’,
    ]

    name=’cpanel’
    vif=[ ‘ip=200.55.200.126,mac=00:1B:CC:C3:B3:33,bridge=xenbr1’ ]

    on_poweroff = ‘destroy’
    on_reboot = ‘restart’
    on_crash = ‘restart’

  3. Preparación de discos

    4. root será nuestra partición que montaremos en /
    en home vamos a montar nuestro /home y
    tmp_swap la usaremos para montar /tmp y la swap del sistema.

    Creamos los discos:
    dd if=/dev/zero of=root.img bs=1M count=10240 #10Gb
    dd if=/dev/zero of=home.img bs=1M count=40960 #40Gb
    dd if=/dev/zero of=tmp_swap.img bs=1M count=2048 #2Gb

  4. Instalación

    5. Iniciamos la máquina virtual:
    xm create -c configuration.cfg

    Seguimos paso a paso la instalación y finalizamos.

  5. Booteo

    6. Para bootear debemos hacer una modificacion en el fichero de configuración de la máquina, la dejamos así:

    bootloader = ‘/usr/lib/xen-3.2-1/bin/pygrub’ #El path depende de la version
    extra=’text’
    maxmem=’3072′
    memory=’2048′
    vcpus=2

    disk=[
    ‘file:/vm/cpanel/root.img,hda,w’,
    ‘file:/vm/cpanel/home.img,hdb,w’,
    ‘file:/vm/cpanel/tmp_swap.img,hdc,w’,
    ]

    name=’cpanel’
    vif=[ ‘ip=200.55.200.126,mac=00:1B:CC:C3:B3:33,bridge=xenbr1’ ]

    on_poweroff = ‘destroy’
    on_reboot = ‘restart’
    on_crash = ‘restart’

    Luego iniciamos la maquina:
    xm create configuration.cfg -c

Vulnerabilidades CRíTICAS en sitio web del Ministerio de Ciencia, Tecnología e Innovación Productiva (MinCyT – Argentina)

agosto 10, 2009 /

Hace un par de semanas descubrí varias vulnerabilidades críticas en el sitio web del ministerio de ciencia y tecnología de Argentina, me comuniqué con gente de .ar para que intentara comunicarse con gente encargada para solucionar los problemas pero no obtuvo respuesta, por lo que decido hacerlas públicas.

mincyt-ar

Las vulnerabilidades encontradas corresponden a las del tipo Local File Include (LFI), Remote File Include (RFI) y Remote Code Execution (RCE)

Seguir leyendo

« Anteriores entradas Siguientes entradas »

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑