Como ser un Defacer

Creado por @LiberoamericaMu

Saludos a tod@s ante todo quiero agradecerles por compartir y leer este pequeño libro sobre

defacing.

Advertencia: NO me hago cargo del mal uso de la información proporcionada.

¿Qué significa “Defacer”?

Defacer viene de la palabra DEFACING o DEFACEMENT que en español significa DESFIGURAR,

defacer en términos “Informáticos” significa DESFIGURAR SITIOS WEB.

¿Ventajas de ser un defacer?

Las ventajas de ser un defacer es que puedes aprender muchas cosas sobre servidores, sistemas y

muchas cosas más, puedes reportar fallos de seguridad a empresas (NUNCA AL GOBIERNO XD ¡),

Buscar vulnerabilidades en grandes sistemas, etc.

¿Hacker vs Defacer?

Personalmente pienso que hay una parte de hacking en el defacer ya que penetra sistemas, robar

archivos y muchas cosas más.

Todo depende de la técnica empleada, Ej: Si se hace con una tool que ni siquiera programamos y

es automático eso no es Hacking ni Defacing eso es ser un LAMMER XD!!! , En Fin.

El trabajo de defacer es INVESTIGAR todo sobre un target, buscar posibles vulnerabilidades en los

distintos tipos de sistemas.

Bueno antes de comenzar con la explicación de los distintos tipos de métodos quiero cortarles

experiencias propias para que logren entender que tan bueno es ser un defacer.

Actualmente vivimos en un mundo con muchos problemas que nos afectan a todos y es muy difícil

expresar lo que piensas que ya nos viven censurando por este motivo fue que hace 5 años estoy

expresando mi punto de vista haciendo defacing a sitios de entidades gubernamentales ,

multinacionales y muchos sitios más.

Pero recuerden que hay que ser responsables , No tenemos que utilizar nuestro conocimiento

para hacer daño a personas que no dañan a nadie.

Métodos más utilizados:

Esta es la parte donde hablare sobre los métodos, para los que recién inician con el

defacing seguramente hay muchos términos que no van a entender pero no se hagan

problema que dejare las definiciones al final.

Método 1:

SQLi: Este método es el más utilizado para robar datos de la base de datos de las páginas

webs, (SQL INYECTION), Esto significa inyectar la base de datos aprovechando las distintas

vulnerabilidades en parámetros de algún sitio.

Ej : supongamos que queremos obtener acceso a la administración del sistema de

www.noticias.com y dicho sitio hace peticiones a la base SQL

www.noticias.com/noticias.php?id=noticia1ok seguramente nos mostrara la noticia 1

perfectamente pero si hacemos una petición errónea como por ejemplo

www.noticias.com/noticias.php?id=’ nos mostrara un error que dicha petición no puede

ser mostrada por el simple motivo que no existe.

Después de verificar que el parámetro es vulnerable podemos ejecutar código remoto

para que nos muestre la información de la base de datos como por ejemplo los usuarios y

contraseñas de los usuarios registrados.

SQL: TIPO DE BASE DE DATOS.

INYECTION: INYECTAR BASE DE DATOS.

Para aclarar: Dicho método es el más común y el más antiguo utilizado por los defacer

pero actualmente nos ayuda a obtener información.

También hay muchas formas de automatizar la inyección con programas.

Ej: SqlMap: Este programa nos permite hacer una inyección automatizada

Método 2: Exploit (CMS)

Bueno este método también es uno de los más utilizados consiste en explotar el sistema

de administración que tenga instalado.

Ej: Supongamos que la página www.wtf.com tiene instalado una versión antigua de drupal

o wordpress, Bien esto puede poner en riesgo la seguridad de dicho sitio ya al ser la

versión antigua puede tener vulnerabilidades en los plugins o complementos de dicho

sitio.

Exploit = Explotación de sistema informático

CMS = Sistema de administración

Método 3: Remote file Upload

Este método es buscado mucho porque es elmás fácil de explotar, el punto de dicho

método es subir archivos remotamente buscando vulnerabilidades en un target

especifico.

Ejemplo: Supongamos que estamos buscando vulnerabilidades en la página www.wtf.com

y dicha página tiene instalado un complemento en la administración (Plugin)

www.wtf.com/wp-content/plugins/uploader/fileupload.php , la idea es buscar un

parámetro donde no nos solicite permisos para subir archivos.

Plugin = Complemento del sistema

Método 4: Cracking Password (Cms)

Este método consiste en crear un diccionario con Password (Contraseñas) y hace un

masivo test para ver si coinciden en las contraseñas.

También hay un método que está dentro de esta categoría que consiste en probar

contraseñas por defecto.

Ejemplo: Supongamos que tenemos en nuestro target un simple panel de administración y

para ingresar a dicho panel se requiero un usuario con su respectiva clave, este es el

momento donde tenemos que averiguar que tipo de CMS tiene y ver si trae contraseñas

por defecto.

La más típica y épica es:

Usuario: admin

Password: admin

Jejejeje de seguro piensan que esto no es posible pero en muchas ocasiones me sirvió xD,

en fin también hay algunas como por ejemplo:

Usuario: admin

Password: 12345.

En fin esos son algunos de los tantos métodos empleados para hacer ataques como

estamos hablando de defacinges siempre a un sitio web pero también atacando el sitio

web podemos obtener acceso al WEBMAIL y poder tener el control de los distintos

correos electrónicos del sitio.

Ejemplo: Supongamos que tenemos acceso al servidor de www.fucksystem.gob.ar

también podemos tener acceso a www.fucksystem.gob.ar (Todo dependiendo de la

versión de WEBAMIL que tenga instalada.)

¿Diferencia entre administrador y usuario root?

Administrador = Es el encargado de administrar un sitio o directorio especifico del

servidor.

Usuario root = Dicho usuario tiene la MAYOR responsabilidad del sistema, este usuario se

tiene que encargar de administrar el sistema COMPLETO del servidor, actualizar la

seguridad, llevar mantenimiento y muchas cosas más.

Para aclarar:el usuario root tienen el mayor privilegio del servidor y puede editar

cualquier cosa.

¿Frecuentes errores de los administradores?

Los errores más frecuentes que cometen los administradores y root es que no configurar

bien los directorios del servidor.

Ejemplo: Supongamos que una página vulnerable de una empresa X tenga en su mismo

servidor 40 páginas más, si el encargado de administrar el sistema no configurar bien los

usuarios con sus respectivos permisos esto puede habilitar a cualquier usuario de

cualquier página que entre a otro directorio y modifique la información o robe la base de

datos y muchas cosas más.

Otro de los errores másconocidos son cuando hacer una copia de seguridad

(copiadeseguridad.zip)y lo guardan en una parte como por ejemplo:

www.pagina.com/copiasdeseguridad/copiadeseguridad.zip esto permite que cualquier

persona descargue esa copia y pueda ver el archivo de configuración de la base de datos,

lo único que queda por hacer es conectar y robar o modificar toda la información de dicha

base de datos.

El mejor sistema operativo para defacer es?

Claramente esta es la parte de se habla de los sistemas operativos UNIX ya que son más

flexibles y nos permite tener una serie de herramientas útiles, pero no hay que dejar de

lado a Windows ya que también sirve para realizar distintos tipos de ataques.

Vamos a comprar una versión de Linux modificada para pentesters como por ejemplo KALI

oBACKTRACK dichos sistemas tienen herramientas pre instaladas, esto permite que el

atacante tenga todas las herramientas separadas por categoría de lo contrario a Windows

que hay que instalar los complementos Ej: python, Perl, ruby, etc.

También hay muchas veces que Windows es inútil ya que la mayoría de los servidores son

Linux.

Pero en fin todo depende de la persona, preferiblemente es mejor tener ambos S.O.

¿El defacer comete delito informático?

Esta pregunta la hacen muchas personas y más los principiantes, pero la respuesta más

coherente es que todo depende de las leyes de el país en donde vivas.

Hay muchos países del mundo que casi ni tienen policía contra delitos informáticos ni

menos leyes.

Ej: En Perú las leyes contra los delitos informáticos y el defacing son muy buenas (PARA

ALGUNOS), ya que hay leyes que permiten meterte preso de 4 a 6 años por el simple

hecho de manipular una base de dato ajena.

Para aclarar:podemos hacer ataques y ocultar nuestra identidad pero publico esta

información porque hay que ser consciente de lo que nos espera si nos pillan.

¿Saber de programación ayuda al defacer?

Claramente la respuesta es sí, la programación de distintos tipos de lenguaje nos facilitan

el trabajo.

Ej: supongamos que sabes algo de python y queremos automatizar un ataque al saber

programar poder crear nuestra propia herramienta para ahorrar tiempo y trabajo.

Ahora que recuerdo les contare una experiencia personal que de seguro les ayudada para

terminar de entender.

Hace unos meses quería explotar una vulnerabilidad SQLi en una página del gobierno pero

el problema era que el administrador al ver que intentaba hacer SQLi me sacaba del

sistema, al no poder hacer nada cuando el administrador este online programe un simple

archivo en bat para que ejecute Sqlmap a una hora que el administrador no estuviera

online esto me permitió obtener la base de datos COMPLETA de dicho sitio.

También eh creado muchas herramientas en perl y python puede que sean sencillas pero

nos facilitan MUCHO trabajo ;).

¿La mejor forma de obtener conocimientos?

Como siempre yo recomiendo investigar mucho unirse a distintos foros traducir

información eso es muy bueno ya que nos permite ver cosas que capaz no está en español

o inglés, también pueden buscar videos tutoriales en otros idiomas y observar

atentamente, en fin esos son los consejos a seguir estoy seguro que les ayudara MUCHO.

Información sobre el centro de estadísticas de defacer

El más grande centro de estadísticas de defacer más grande y complejo del mundo es

www.zone-h.org en esta web ya se reportaros millones de defacing los más antiguos son

del año 2001.

Las categorías del sitio son 2:

Defacing Normal: esta categoría es cuando se reporta una página que pertenece a alguien

que no se importante ni conocido.

Defacing Especial: en esta parte muestra las páginas como por ejemplo: entidades

gubernamentales, multinacionales, entre otras.

Malos proveedores de hosting.

A veces la culpa de la “MALA SEGURIDAD” es de los dueños del hosting que no se

preocupan por la seguridad de sus usuarios, por dicho motivo es recomendable analizar el

hosting antes de la web a atacar.

La seguridad dependiendo del país.

En esta parte quiero explicar algo que muchos defacer entienden y otros no, ante todo

quiero aclarar que no pretendo discriminar solo hacerles entender algo por importante.

Muchos defacer crean categorías de el nivel educativo de los países para poder llevan a

cabo sus ataques, de seguro se preguntaran ¿Qué tiene que ver el nivel educativo?, la

respuesta es que si se estudia bien se proporciona un buen producto.

Ejemplo: si ven en el centro de estadísticas de defacer www.zone-h.org pueden notar que

los dominios .com.ar (Dominio Argentino) de seguro notaran que la cantidad de dominios

atacados son muchos ya que los argentinos no somos muy buenos en la seguridad (El nivel

educativo es una MIERDA!!!), con esto no pretendo discriminar a ninguna persona .

PD: Soy argentino xD.

Ahora vamos a los países con nivel educativo muy bueno.

Ejemplo: Corea del sur, dicho país tiene el nivel de educación más alto de la región y si

miran en www.zone-h.org pueden notar que las paginas atacadas son muy pocas, esto

tiene que ver con los webmaster que hacen su trabajo como debe ser ;).

Otros objetivos.

Dentro de los distintos tipos de objetivos de los defacer uno de los más realizados es el

objetivo económico, esto consiste en instalar script ocultos a páginas para robar dinero de

los visitantes.

Ej: Supongamos que tenemos SHELL dentro de una página de ventas, lo que podemos

hacer es re direccionar los pagos y transferir el dinero a nuestra cuenta.

Esto es muy poco ético y personalmente yo no lo práctico, ante todo la honestidad.

Otro de los objetivos es infectar servidores para hacer ataques DDOS a empresas (LA

COMPETENCIA).

Todos estos objetivos son con fines económicos o para hacer maldad, escribo esto para

que entiendan que hay mucha gente mala y estúpida pero en fin esa es cosa de ellos.

Bueno este es el final de la primera parte, pronto escribiré más información y vamos a

poner en práctica algunos métodos, como es la primera vez que realizo esto espero que

sepan comprender si hay algún error o algo que no esté bien explicado, muchas gracias

por leer y compartir.

Correo:libero@teamarg.com.ar

Twitter: @LiberoamericaMu

Facebook:Tutoriales Libero

Web:www.liber0.com.ar