WordPress Exploit FrameWork (WPXF) – Instalación, comandos y uso con ejemplo de explotación

WordPress Exploit FrameWork (WPXF) – Instalación, comandos y uso con ejemplo de explotación

WordPress Exploit FrameWork es una herramienta que sirve de ayuda a los auditores de aplicaciones web a la hora realizar pruebas de seguridad sobre sitios webs basados en el conocido gestor de contenidos (CMS) WordPress, está desarrollado en Ruby y está orientado al uso y desarrollo de módulos, exploits y payloads, algo similar al conocido […]

Metasploitable3: Crea una máquina vulnerable para probar tus ataques

Metasploitable3: Crea una máquina vulnerable para probar tus ataques

  ¿Qué es Metasploitable3 y porqué usarlo?   Metasploitable3 es una máquina virtual gratuita de Windows Server 2008 que cuenta con varias vulnerabilidades listas para ser explotadas y practicar nuestras técnicas de hacking o simular ataques, Metasploitable3 ha sido desarrollado por Rapid7, los mismos desarrolladores del conocido Framework MetaSploit. Es usado por gran parte de […]

Script PowerShell para comprobar vulnerabilidad MS17-010

Script PowerShell para comprobar vulnerabilidad MS17-010

  Buenas a todos, después de estar mucho tiempo sin escribir en el blog, me gustaría compartir con vosotros un script que he creado en PowerShell para comprobar la vulnerabilidad MS17-010 explotada por el ransomware WannaCry. Este script debe de ser ejecutado desde el controlador de dominio para comprobar que equipos aún no cuentan con las […]

Explotación de vulnerabilidad CVE-2011-0762 con Metasploit en VSFTPD v2.3.4

Explotación de vulnerabilidad CVE-2011-0762 con Metasploit en VSFTPD v2.3.4

En esta ocasión, os muestro como podemos explotar una vulnerabilidad con el Framework de seguridad Metasploit. En concreto explotaremos la vulnerabilidad CVE-2011-0762 en el servicio VSFTPD v2.3.4 para conseguir una shell e interactuar con el servidor vulnerado. Está vulnerabilidad tiene ya 5 años y es muy antigua, aunque nos podemos seguir encontrando algún servidor que nos […]

XXE (Xml eXternal Entity) – “El Nuevo SQLi”

XXE (Xml eXternal Entity) – “El Nuevo SQLi”

XXE (Xml eXternal Entity) es un tipo de vulnerabilidad que se produce en aplicaciones que hacen uso de “parsers” XML. Es decir aplicaciones que reciben como entrada un documento XML y para procesarlo hacen uso de alguna librería de parseo como LibXML, Xerces, MiniDOM, SAX etc. El atacante entonces puede aprovechar esta vulnerabilidad y enviar […]

Accediendo al sistema de control de las gasolineras

Accediendo al sistema de control de las gasolineras

Ayer por la noche estaba leyendo un articulo de Amador Aparicio de la Fuente en el que aseguraba que los conversores de serie a Ethernet del tipo GC-NET2 32-DTE que utilizan las gasolineras españolas para controlar los tanques de combustible eran vulnerables (más que vulnerables, mala securización), nada más leer el artículo algo me decía que ya […]

IP-Box: Dispositivo para crackear claves de iPhone

IP-Box: Dispositivo para crackear claves de iPhone

IP-BOX permite por menos de 200€ obtener la contraseña de 4 dígitos de cualquier iPhone con iOS 8 o inferior. Realiza un ataque de fuerza bruta (efectivo en menos de 17 horas) y probablemente se aprovecha de la vulnerabilidad CVE-2014-4451 que afecta a todos los iOS anteriores a 8.1.1 que no controlan adecuadamente el límite […]