6.30.2020

Curso Burp Suite desde 0 - Instalación y conociendo la herramienta

En esta segunda entrega del curso aprendemos un poco de Burp las versiones como trabaja, realizamos la descarga e instalación ademas de la ejecución de la herramienta, no se olviden que estaremos en la próxima entrega configurando el navegador y las librerías de Burp Suite para los plugins.


Recordarles que estos videos estarán cada Martes en el canal entre las 8 y 10 GMT -4. Si deseas ver todas las entradas que se realizaron sobre Burp Suite tienes el siguiente Burp Suite.


El espacio del blog en Telegram HackySec
Deseas apoyar al proyecto puedes hacer tu donación por Paypal: https://paypal.me/SniferL4bs
También tenemos un Patreon si te gustaría formar parte de el https://www.patreon.com/sniferl4bs


Gracias a: 4lexH4ck! que se convirtio en Patreon del proyecto.

Da un paso atrás, evalúa lo que es importante, y disfruta de la vida - Teri Garr

Regards,
Snifer
Compartir:

6.27.2020

Curso Burp Suite desde 0 - Presentación

Después de casi un mes, recién tuve ese impulso que necesitaba para iniciar con la serie de videos y actualizar el curso de Burp Suite en un nuevo formato, video tutoriales, además de darle el impulso a todo el proyecto que es Snifer@L4b's.


Como lo indico en este primer video lo tendremos disponible todos los martes, según el horario que ustedes decidan, además de generar una retroalimentación en Comunidad deseo que este solo sea el inicio para los próximos contenidos que traeremos.



En el siguiente enlace tenemos la encuesta del Curso de Burp Suite y el Canal https://forms.gle/NT2iPEhs5QniDp8r6 para que puedan formar parte de esta comunidad.

Te recordamos que tenemos la serie de entradas de Burp Suite, el espacio del blog en Telegram HackySec
Deseas apoyar al proyecto puedes hacer tu donación por Paypal: https://paypal.me/SniferL4bs
También tenemos un Patreon si te gustaría formar parte de el https://www.patreon.com/sniferl4bs

El proyecto estará y seguirá con toda la comunidad, aunque este año esta trayendo momentos agrios.

“Al final, o eres diferente o eres barato” - Guy Kawasaki

Regards,
Snifer
Compartir:

Podcast #51 Curso de Burp Suite desde 0, Malware en MacOS, Ataque de ransomware

Esta semana volví a grabar el podcast, en el mismo hablamos sobre el nuevo proyecto que se viene en el blog y en el canal de Youtube, que seguramente a mas de uno le agradará. Mencionamos sobre el ataque de Ransomware de Lion, la nueva política de certificados digitales de Chrome que se suma a Safari.




Como siempre lo tenemos disponible en Youtube.




Ivoox 


En Spotify, Google Podcast, encuentranos como Dame una Shell para tener el podcast.
Boletín de noticias - del Blog Suscribete!

Hoy Sábado tendremos el primer video! de Burp Suite.

Tienes alguna duda o comentario sobre la certificación hazlo en los comentarios y en una próxima edición estaremos respondiendo.

Twitter: https://www.twitter.com/sniferl4bs
Ivoox: http://tiny.cc/IvooxDameunaShell
Youtube: http://tiny.cc/YoutubeSniferL4bs

Música: Kabbalistic Village - Underground

Aquel que tiene fe no está nunca solo. - Thomas Carlyle

Regards,
Snifer
Compartir:

6.13.2020

#Nahamcon Evento Online este 13 y 14 de Junio

Hoy a las 12:00 GMT -4 y 9AM PDT se tiene una cita en el canal de Twitch de Nahamsec el evento tiene un objetivo de apoyar  a Wicys, esta organizado por @_JohnHammond, @NahamSec, @STOKFredrik, y @TheCyberMentor.

Imagen


Dejo a  continuación el horario de cada una de las charlas que se darán entre las cuales cada una tiene un nivel de atención especial
Charlas - Sábado

Workshops - Domingo

Además se tiene el CTF que me puse a jugar un poco antes de irme al sobre, https://ctf.nahamcon.com.


Este fin de semana, lo tengo ocupado y tu estarás con este evento?

Sólo hay un bien: el conocimiento. Sólo hay un mal: la ignorancia. - Sócrates

Regards,
Snifer
Compartir:

6.07.2020

Obteniendo los subdominios de Programas de BugBounty con Chaos Project Y Chaospy

La semana pasada llego por algún feed que sigo Chaos Project, que tiene como fin centralizar el descubrimiento de subdominios de los principales programas dedicados al Bug Bounty los cuales son Bugcrowd y Hackerone, obteniendo solo los que son públicos abiertos.


Cuando uno se pone a realizar un proceso de Pentesting Web bajo caja negra o bien un cazador de vulnerabilidades (Bug Bounty Hunter), la etapa mas importante es la de identificar subdominios y dominios pertenecientes a un objetivo, con este fin muchos usamos herramientas para la enumeración de subdominios, como lo menciono inicialmente Chaos Project tiene este objetivo de automatizar y brindarnos un resultado de subdominios especifico.

Dentro de la web nos permite identificar específicamente por tipo de programa es decir de Bugcrowd o HackerOne en especifico, a partir del buscador nos permite diferenciar el que deseamos y descargamos directamente en un fichero zip.

Interfaz de Chaos Project

Chaos Project Discovery es un proyecto OpenSource el cual podemos ir agregando nuevos dominios Chaos public program list.

Siendo esta una manera rápida y sencilla para llegar a obtener los subdominios, aparte de que cada uno identifique o pueda identificar otros que este proyecto no lo realice.

Chaospy

Como la comunidad nunca se queda tranquila, @dr_0x0x  creo un cliente desde la terminal al cual lo llamo Chaospy.

Instalación

Para la instalación solo necesitamos clonar el repositorio  y cumplir con los requerimientos del programar con pip3 ya que hace uso de python3. 
snifer@Snifer@L4bs: $ pip3 install -r requirements.txt
snifer@Snifer@L4bs: $ python3 chaospy.py

Uso y ejecución

snifer@Snifer@L4bs: $ python3 chaospy 
Uso de la herramienta

Entonces contando con dicha opción ejecutamos -h para ver el help, con la bandera -l obtenemos todo el listado de programas o bien si deseamos en específico ver todos los programas de Bugcrowd o Hackerone e incluso descargar todo en uno.
snifer@Snifer@L4bs: $ python3 chaospy -h 
Chaos Tool

optional arguments:
  -h, --help   show this help message and exit
  -d DOWNLOAD  Download Specific Program Subdomains
  -a           Download all programs Subdomains
  -l           List all programs
  -bc          List BugCrowd programs
  -h1          List Hackerone programs
  -ext         List external programs
  -new         List new programs
  -upd         List updated programs
  -dbc         Download BugCrowd programs
  -dh1         Download Hackerone programs
  -dext        Download external programs
  -dnew        Download new programs
  -dupd        Download updated programs
Ya al tener descargado todos los programas, al modo de practicar podemos mandarlos a urlprobe, fprobe e identificar los que estén vivos, ver si hay algún Low Hanging Fruit por defecto, pero vamos ustedes saben como jugar con ello.

En esta prueba lo que haremos sera bajar el de xiaomi, en el que vemos un fichero zip que nos descarga en el mismo directorio donde ejecutamos la herramienta.
snifer@Snifer@L4bs: $ python3 chaospy.py -d Xiaomi

Comparamos los resultados que obtenemos en la web y el del script la diferencia es?

Chaos Project Python Script
Identificación de sub-dominios de Chaos

Recuerden que esta semana al fin! sale la nueva serie de Videos de Hacking 101 de Burp Suite donde abordaremos todo el material que tenemos en el blog en formato video tutorial, adicionando contenido en el canal de Youtube.

Las grandes obras son hechas no con la fuerza, sino con la perseverancia. - Samuel Johnson
Regards,
Snifer
Compartir: