llegando al top de zone-h
TRANSCRIPT
DisclaimerTodo el contenido de esta charla es resultado de
investigación con fines didácticos y educativos. El autor no se hace responsable por el uso del conocimiento contenido
en la siguiente presentación. La información contenida debe ser utilizada únicamente para fines éticos y con la
debida autorización.
Todo descubrimiento realizado, ha sido y será usado de forma legal. La audiencia debe asumir todo lo que se
exponga hoy, como “falso” y “sin fundamento” hasta que lo compruebe personalmente. Limahack no es el autor directo
de ninguno de los descubrimientos expuestos, ni de las herramientas demostradas, ni los conoce.
Todas las opiniones vertidas durante esta presentación son exclusivas del expositor, Limahack no es responsable de
ninguna de las opiniones vertidas.
Zone-h
Creo que debes saber que es zone-h si estás aquí, pero sino, es un website en el
cual se ve el ranking de los mejores defacers del mundo.
¿Listos?
El contenido de esta presentación puede herir a gente susceptible, nada de lo que
vas a ver es público, todo se hizo en espacios controlados y contigo
hackearemos 200 paginas web en menos de lo que termina la presentación.
Todo lo que se dice o se hace es mio y de nadie mas, mi manera de pensar.
El anónimato
Antes de empezar con las actividades, es indispensable tener nuestro anonimáto.
Ej: Proxy, VPN, Etc.
Computadora
Para poder ejecutar todo de manera correcta el día de hoy, vamos a usar una pc con Ubuntu 12.04 y con 2gb de ram.
t00ls
Todas las t00ls que mostraré a continuación fueron desarrolladas por mi para el LIMAHACK. Con Excepción de
una que un amigo la desarrollo.
Sql Injection
El 100% de las webs vulneradas a continuación fueron por SQL Injection,
Vulnerabilidad en la cual por un mal filtro de variables se puede ejecutar consultas
a la Base de Datos.
Symlink
Esta parte consiste en crear links simbólicos de los archivos de
configuración de los otros hosts para acceder a ellos.
dedalo@SeguridadBlanca:~$ ln -s path
r00teando
El rootear consiste en escalar privilegios para ser super administrador en el
servidor que estamos atacando.
Para esto se usará el b1gm4m4.
Mass defacement
Con el acceso como root podemos ejecutar un script que cambie el archivo
index a todas las webs en el host
Zone-h reporting
Ahora tenemos nuestro script para reportar todas las webs defaceadas, debemos recolectarlas en un .txt y ya.
Directo al DNS
Cuando tenemos objetivos y no están en hosting compartido y no hay bugs en su web, muchas veces lo mas inteligente es
atacar directo al servidor DNS.
Tips N Remember
Hackear no es una actividad legal y es hasta lammer por algun lado que lo veas, reporta las vulnerabilidades y crece como
persona.
Siempre usa proxy y/o VPN cuidado.
Gr33tz:
Alguien – n0x – Dr.neox – W4rk3n – D4NB4R – AcidoHash – Perverths0 –
Wirito – Verita – JazzPer y Toda la People del LimaHack :)