Locked Laboratorios Hack Novato 1,2,3,4 y 5 (nuevo)

[skyblu]

Laboratorio 1 Hack Novato

Bueno, expongo esta primera parte de unos videos tutoriales para aquellos que deseen realizar este tipo de laboratorios bajo ambientes virtualizados.

 

Si desean que continuemos exponiendo a ustedes este tipo de material con gusto lo seguerimos haciendo, todo está en el interes que muestren

Como se daran cuentan son tutoriales de practicas realizadas de forma presencial, por eso se asumen que ya se cuenta con ciertos materiales que ustedes mismos pueden encontrar en la red o dado el caso se los habilitamos.

Las maquinas virtuales ya configuradas pesan entre 2 y 3.6 Gigas (por eso no las colgamos xd) pero lo mejor es que ustedes las creen

 

Este primer laboratorio hace referencia a la Identificacion de banners, que son del primeras cosas que debemos hacer antes de realizar un ataque a un objetivo especifico.

 

Como sabran, existen unos pasos que se deben tener en cuenta antes de realizar un ataque.

 

- Reconocimiento

- Escaneo

- Ejecucion del ataque

- Manteniendo el acceso

- Borrando las huellas

 

En este caso empezamos con el Reconocimiento, que involucra:

- la identificacion de banners

- enumeracion del objetivo (labs 2)

 

En los tutoriales podran observar el material que se usó y si desean ayuda para la crecion del ambiente con gusto le ayudamos.

Antes de empezar es bueno que visiten a nuestro amigo google para que se empapen sobre que tratra la idetificacion de banners.

 

 

consta de 3 videos tutoriales.

 

- Tuto 1.

 

En este tuto podran observer el método de importación de maquinas virtuales en VMWare Workstation 6, que nos permite utilizar maquinas virtuales de distintas versiones (no superiores) ya configuradas para realizar este tipo de laboratorios.

 

Name: tuto1.rar

Size: 14.9MB (15637766 bytes)

Modified: 2011-07-27 05:05:13

md5: 6aa6c56966a84b7cd3e651b19c5cf947

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 31-10-12

 

 

 

- Tuto 2

 

Aqui observaran como se creó el ambiente virutal para realizar la practica de identificacion de banners, los software utilizados y servicios instalados.

 

Name: tuto2.rar

Size: 16.7MB (17478925 bytes)

Modified: 2011-07-27 05:05:12

md5: 116a141519ea6d6172a85f68076eb0da

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 31-10-12

 

 

- Tuto 3

 

Aquí entramos en forma con algunas técnicas para obtener la info de la publicidad de los servicios denominadas identification banners

 

Name: tuto3.rar

Size: 15.5MB (16262405 bytes)

Modified: 2011-07-27 05:05:12

md5: e8ec3754b8949cf2043ed4758c9cc253

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 31-10-12

 

 

 

Saludos,

 

pd: Recuerden que se está empezando desde lo más básico.

 

 

------------------------------------------------------------------

 

 

Laboratorio 2 Hack Novato

 

 

 

 

Este Segundo laboratorio hace referencia a la Enumeración del Objetivo, otro de los pasos iniciales antes de un ataque debidamente estructurado.

 

El tutorial está conformado por dos videos, cada una con distintas formas o métodos de realizar la enumeración del objetivo.

 

La enumeración de objetivos, es la actividad mediante la cual podemos obtener, recolectar y organizar la información de máquinas, redes, aplicaciones, servicios y/o otras tecnológias disponibles y ofrecidas por el o los objetivos.

Realmente no se considera un ataque, púes solo pretende recopilar de manera organizada información disponible mediante consultas, con el fin de elaborar verdaderos ataques, basados en los resultados obtenidos mediante la enumeración.

Las herramientas y técnicas de enumeración están basadas en su mayoría en escaneos simples a la máquina objetivo, o en simples peticiones o consultas.

 

En este lab no se basó en conexiones nulas o anónimas ya que se requeriría de maquinas con windows 2000 o NT, que son las que poseen este tipo de vulnerabilidades, que actualmente se encuentran ya parchadas en el Windows XP.

 

 

- Tuto 1.

 

En el primer vídeo pueden observar la forma en que se deben configurar las maquinas virtuales, las configuraciones adopatas y que comandos usar para la enumeración del objetivo.

 

Name: tuto1_lab2.rar

Size: 36.2MB (37923264 bytes)

Modified: 2011-07-27 05:05:12

md5: a745467be6fcd7a492ecd6cddb6c7cb7

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 31-10-12

 

 

Saludos

 

------------------------------------------------------------------

 

 

Laboratorio 3 Hack Novato

 

Estos laboratorios los veremos paso por paso, así que si están interesados les iré montando manuales de lo que deben ir realizando, se responderán dudas a inquietudes y compartir experiencias.

 

El tema a tratar es la vulnerabilidad XSS y el temario sería el siguiente

 

1.conceptos generales

1.1 cross site scripting

1.2 cookies

1.3 Phishing

1.4 Virtualizacion

1.5 easyphp

1.6 javascript

 

2.Creando los ambientes

2.1 Servidor vulnerable

2.2 Hosting

2.3 Victima/Atacante

 

 

3.Desarrollo del Laboratorio

3.1 Comprobar vulnerabilidad

3.2 Saltando Filtros

3.2.1 Bloqueo del numero maximo de caracteres(maxlength)

3.2.2 Filtro Strip_Tags

3.2.3 Magic_quotes_gpc =on

3.2.4 Metodo Post (Url maligna)

3.3 Ataques Cross Site Scripting (XSS)

3.3.1 Algunos codigos maliciosos

3.3.2 XSS Persistente

3.3.3 Robo de Cookies por medio de vulnerabilidad XSS

3.3.3.1 Robo de cookie para almacenar en un .txt

3.3.3.2 Robo de cookie para almacenar en una Base de Datos

3.3.4 Ataque XSS reflejado usando tecnica de Phishing (obteniendo log y password

3.3.5 AtaqUE xss Persistente para infeccion con malware (usando tecnica de phishing)

 

Para acceder al archivo .pdf que contiene la totalidad del laboratorio, debe realizar la descarga desde el siguiente link:

 

Guia:

 

Name: Guia_XSS.pdf

Size: 3.6MB (3762235 bytes)

Modified: 2011-07-27 05:05:12

md5: 177fcae7e33e8cfcf0476552133281cd

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 31-10-12

 

 

Archivos Máquina virtual Hosting:

 

Name: Arch_Hosting.rar

Size: 167.7KB (171706 bytes)

Modified: 2011-07-27 05:05:13

md5: 24e8ed91e34dfcce963c8197ce43d677

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 31-10-12

 

 

Archivos Máquina virtual Servidor:

 

Name: serv.rar

Size: 6MB (6327140 bytes)

Modified: 2011-07-27 05:05:13

md5: e602c03cdf614ca9086cc7c40fc88b3c

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 31-10-12

 

------------------------------------------------------------------

 

 

Laboratorio 4 PIVOTING (Metasploit)

Los siguientes 3 videos tienen como fin mostrar una forma de ingresar a un servidor ubicado en la red Interna de una "empresa", cuando se compromete el servidor que está publicado a Internet, desde el equipo de cómputo del atacante, sin tener que instalar herramientas en el primer servidor comprometido.

 

La técnica utilizada se conoce como PIVOTING.

 

"Pivoting es una técnica que utiliza una única instancia que sea capaz de "mover" cualquier tipo de trafico en una red. (también conocida como 'plant' o 'foothold'). Básicamente utilizando el primer compromiso, por ejemplo, nos permite e incluso nos ayuda en la penetración de otros sistemas inaccesibles."

Fuente: Pivoting -

This is the hidden content, please

• Sign In
• or
• Sign Up

 

Video 1.: En este video se detalla el escenario en el que se desarrolla el ataque.

Name: escenario.zip

Size: 18.5MB (19403607 bytes)

Uploaded: 2012-03-11 19:39:23

md5: 9cf9b8a670b5419a1f7c2c9387602772

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 2012-08-25

 

Video 2.: En este video se detalla la forma en que se compromete el primer servidor, mediante el uso de la herramienta "armitage" de metasploit.

Name: compro1server.zip

Size: 27.9MB (29209507 bytes)

Uploaded: 2012-03-11 19:46:34

md5: 4db9405ed6ad6cf78b3f54023eb5653b

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 2012-08-25

 

Video 3.: En este video se detalla el uso de la técnica de PIVOTING, donde se compromete el segundo Servidor ubicado en la red Lan de la "empresa".

Name: pivoting.zip

Size: 35.3MB (36988812 bytes)

Uploaded: 2012-03-11 20:12:56

md5: 8d39399067a78d227be339a1d0ced16b

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 2012-08-25

 

------------------------------------------------------------------

 

 

Laboratorio 5 TEST DE INTRUSION

En esta ocasión deseo compartir un documento que elaboramos con BadCode, al momento de realizar un pentest en una maquina virtual conocida como Hackademic.RTB1, que pertenece a un proyecto que tiene como fin, crear un escenario muy real al estilo (CTF).

 

La pagina del autor es: Hackademic.RTB1 – (root this box) � Ghost in the Lab

 

Para los que se enfrentan por primera ves a este tipo de retos, les recomiendo que descarguen la maquina virtual y desarrollen la guia, con esto tendrán una idea de como enfrentar el mundo real y realizar un test de intrusión con buenos resultados.

 

En el documento se describe:

 

- Identificación del Objetivo.

- Etapa de Fingerprinting (conociendo el objetivo)

- Búsqueda de vulnerabilidades

- Explotación de la vulnerabilidad

- Mantener el acceso

- Escalar Privilegios

- Lograr el objetivo

 

Name: Document_test.doc

Size: 9.3MB (9754624 bytes)

Uploaded: 2012-06-23 10:03:41

md5: b6532c049761d2573550935a668208ed

URL:

This is the hidden content, please

• Sign In
• or
• Sign Up

Expires: 2012-08-25

 

saludos