Archives

Author Archive for: ‘Eduardo’

Obtención de información y enumeración a través de SNMP

Buenas a todos! En el post de hoy vamos a ver como durante un Test de Intrusión es posible sacar gran cantidad de información de un determinado sistema o red en caso de que alguno de los host tenga accesible y activo SNMP. Lo primero, para aquellos que no sepan que es SNMP vamos a ver una descripción del protocolo, …

Read More →

Hacking de servidores JBoss

Buenas a todos! En este nuevo post vamos a ver cómo sería posible acceder a un servidor de aplicaciones JBoss (uno de los más comunes) y que sería posible hacer con él para tomar el control del servidor. Lo primero de todo vamos a explicar un poco más en profundidad que es un servidor de aplicaciones JBoss y para ello …

Read More →

Accediendo a entornos BigData y Bases de Datos NoSQL – MongoDB

Buenas a todos! En el post de hoy vamos a ver como eso del BigData cada día esta creciendo mas, pero mucha gente lo instala y utiliza sin tomar ninguna medida de seguridad como se suele hacer con bases de datos tradicionales como las bases de datos relacionales que se suelen administrar desde MySQL, Postrgres, etc.   Pero… ¿Que es …

Read More →

Realizando un forense de logs con comandos de linux

Buenas a todos! En este nuevo post os voy a mostrar como podríamos realizar de forma muy sencilla un análisis forense de cualquier tipo de logs haciendo uso únicamente de un par de comandos en linux. Para poder hacer las pruebas he cogido el siguiente log de internet que estaba abierto y tiene bastantes datos para que podamos hacer las …

Read More →

LinkedIn Vulnerability – Bypass Premium Privileges

Buenas a todos! En este post os voy a explicar una vulnerabilidad en el diseño que encontré en LinkedIn, reporte al equipo de seguridad y actualmente ya esta solucionado (Tras algo mas de tres meses…). Básicamente la vulnerabilidad te permitía realizar una serie de acciones como contactar con gente externa a tu red y ver el perfil completo de gente externa …

Read More →

Centro de Entrenamiento en Seguridad y Hacking

Buenas a todos! En este nuevo post no voy a hablar de nada técnico, sino a presentar un nuevo proyecto que queremos llevar a cabo desde HighSec, el “Centro de Entrenamiento en Seguridad y Hacking”. La idea de este nuevo proyecto es sustituir a los CTF que veníamos realizando durante el ultima año por un nuevo concepto. En este caso …

Read More →

Impidiendo el borrado de ficheros o carpetas

Buenas a todos! En este nuevo post vamos a ver de forma muy rápida una manera para evitar que nuestros archivos sean borrados ya sea accidentalmente o en el caso de un pentest donde hemos conseguido acceso a un sistema, que los intente borrar el usuario afectado. Para ello vamos a hacer uso de dos comandos, “chattr” para cambiar los …

Read More →

Bastionado de dispositivos moviles – Android

Buenas a todos! En este nuevo post vamos a continuar con el tema de bastionado o aseguración de dispositivos móviles, en este caso le toca a Android. A diferencia del otro post, en este pueden variar los pasos dependiendo de la versión de Android y de si el OS es completamente Android o esta modificado como por ejemplo en las …

Read More →

Bastionado de dispositivos moviles – iOS

Buenas a todos! En el post de hoy os voy a explicar cómo es posible bastionar o asegurar un terminal iOS en su última versión (7.1). Bastionar un sistema para aquellos que no lo sepan consiste en fortificar o asegurar dicho sistema, en este caso nos vamos a centrar en el sistema operativo iOS y en el siguiente post le …

Read More →

HighSecCON III

Buenas a todos! En el post de hoy vengo a presentaros la nueva edición de la HighSecCON que se celebro por última vez a finales del 2013 y que tendrá lugar el próximo día 4 de Abril. HighSecCON pretende ser un evento de corta duración ya que únicamente son 4 horas durante una tarde (por ahora 😉 ), donde se …

Read More →
Page 2 of 8«12345»...Last »

    No Twitter Messages