Bienvenidos a la primera entrega de hackpuntes newsletter, semanalmente, iremos publicando todos los lunes recursos valiosos para pentesters y bug bounty hunters.
Este newsletter cubre la semana del 30 de septiembre al 6 de octubre de 2019.
🧰 Herramienta
Es una shell reversa capaz de ejecutar servidores HTTP/HTTPS con generación de certificados SSL «sobre la marcha», permite la configuración de proxy en el cliente y es fácilmente extensible. Ha sido desarrollado con Flask y es multiplataforma, muy buena herramienta para nuestras tareas de post-explotación.
📝 Writeup
Archivo GIF en WhatsApp permite la ejecución remota de código
Un investigador de seguridad llamado Awakened ha aprovechado un bug en WhatsApp que permite la ejecución remota de código a través de un archivo GIF, esta vulnerabilidad ha sido asociada al CVE-2019-11932 y afecta a todas las versiones de WhatsApp inferiores a la 2.19.244 para la plataforma Android
🎬 Video
LIVE Bug bounty en Yahoo con @Hahamsec y @TheCyberMentor
@Hahamsec y @TheCyberMentor nos muestran como realizar una fase de reconocimiento en Yahoo en directo, algunas técnicas para buscar en crtsh, censys junto con algunos atajos nos pueden venir muy bien cuando ya no sabes que más hacer.
🐛 Exploit
Checkm8 es el nombre del exploit que nos permite hacer jailbreak a todos los iPhone desde el modelo 4S al X y para el cual no existirá parche debido a que actua sobre el bootrom (una memoria de sólo lectura).
💰 Bug bounty
Un saludos a todos, hasta la próxima!!