Como Encontrar La Pagina De Admin De Una Pagina Web Con Bugtraq

Buenas hoy veremos diferentes herramientas para encontrar el panel de administrador de una pagina web,vamos ha utilizar estas tes herramientas :Admin CP finder,Adminsfinder,Admin Finder.

Vamos a Aplicaciones--> Bugtraq-II-->Web Auditory-->Panel Finders

Primero abrimos Admin CP finder.

Lo que tendremos que hacer ahora es poner una pagina web que queramos.

Y nos dirá diferentes opciones , aquí deberéis escoger vosotros la opción que queráis,para esta practica he escogido php. Cuando le demos a enter nos empezara ha salir resultados.

Como veis me salí muchos resultados que no ha encontrado , pero deberéis esperar a que os salga una opción correcta  

Ahora abrimos Adminsfinder.

Aquí como veis nos dice en que formato  queremos la interfaces en GUI o terminal. Yo escogido en formato terminal por eso ponemos CLI.

Deberemos poner el enlace de la pagina web que queramos y cuando le demos a enter nos empezará ha salir respuestas.

Solo tendremos que esperar a que nos busque el panel de admin.

Por ultima herramienta es Admin Finder.

Cuando lo abrimos veréis que la herramienta se abre pero se cierra , para hacerla funcionar solo hace falta poner este comando.

• perl Admin_finder.pl [la url de la pagina web]

Cuando le demos ha enter nos empezara a decir cual es la pagina de admin de la pagina web.

Ya sabéis como buscar la pagina admin con estas tres herramientas fáciles y útiles. 

Como Instalar Zenmap En Kali

Buenas hoy os traigo una manera muy fácil y rápida de instalar Zenmap en Kali, Zenmap es una versión gráfica del escaner de Nmap.

El primer paso será instalar el centro de software que tiene Ubuntu en Kali, se hace utilizando el comando

• apt-get install center-software

Deberemos esperar a que se nos instale y cuando acabe, tendremos que ir Aplicaciones>>Herramientas del sistema>>Administracion>>Centro de sofware.

Ahora solo tendremos que buscar el programa Zenmap.

Le damos a instalar y solo tendremos que esperar a que se instale.

Para ver si se ha instalado bien abrimos una terminal y escribimos Zenmap y le damos a enter.

Como podéis ver se nos ha abierto la herramienta Zenmap y sin ningún error eso indica que la herramienta se ha instalado bien.

Que Es FireForce y Como Instalar?

Fireforce es un plugin que solo esta en Mozilla Firefox y que permite hacer ataques de fuerza bruta utilizando un diccionario o generar nuestro propio diccionario.

EL primer paso sera instalar nuestro plugin desde su pagina oficial:

• https://addons.mozilla.org/es/firefox/addon/fireforce/

Cuando lo tengáis instalado deberemos reiniciar al navegador.Después deberemos ir a la pagina web que queremos hacer y donde ponga usuario y contraseña deberemos dar con click derecho y nos aparecerá diferentes opciones, cogeremos el firefoce.

Nos aparecerá dos opciones:

• La primera es Generar un Diccionario que podremos triar una opción que nos indica por ejemplo  de la a-z.

• Después de escoger una opción nos pedirá que cuantos carácter mínimos y máximos queremos.

• Y nos generara y testeara si el que diccionario que le hemos dicho tiene la contraseña.

En mi caso no lo ha encontrado debido a que la aplicación ahora mismo no es funcional pero, esperamos que algún día este proyecto pueda servirnos a todos. Ahora la segunda opción es escoger un diccionario que tengamos descargado.

Después deberemos escoger el diccionario que queramos.

Nos aparecerá un mensaje diciendo que esta testeando el diccionario.

A si de fácil se hace fuerza bruta mediante FireForce.

Como Instalar Ncrack En BackTrack 5 R3

Buenas hoy os presento Ncrack que es una herramienta creada por los creadores de Nmap y esta herramienta nos permite realizar ataques con fuerza bruta hacia diferentes protocolos. Esta herramienta ha un esta en fase Alpha.

Para instalarla deberemos descargarla desde este link.

• nmap.org/ncrack/dist/ncrack-0.01ALPHA.tar.gz

Después de que se nos descargue deberemos extraerla mediante terminal con el comando:

•  tar xvzf ncrack-0.01ALPHA.tar.gz

Ahora lo que nos hace falta es instalar, el primer paso deberemos ir a la carpeta contenedora donde este Ncrack desde la terminal.

Ahora tendremos que ir  a la carpeta de Ncrack desde la terminal y poner estos comandos :

• ./configure deberemos esperar a que termine y nos saldrá una imagen que nos dirá que se ha configurado bien.

El segundo comando que deberemos poner es make.

El ultimo comando es make install

 

Ya tenemos nuestro Ncrack instalado mas adelante hare una entrada explicando como hacer fuerza bruta.

Como Hacer Ataque Fuerza Bruta Con Hydra-GTK

Hydra es una herramienta de fuerza bruta que se puede utilizar para diversos protocolos: 

AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD,HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle,PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum,SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.

En backtrack esta situada en  BackTrack - Privilege Escalation - Password Attacks - Online Attacks - Hydra-gtk.

Se nos abrirá el menú de Hydra.

En esta opción nos permitirá especificar  al target y que protocolo queremos hacer fuerza bruta.

Target:

Single Target sirve para especificar un host único.

Target List sirve  para especificar un archivo que contiene una lista de hosts/Targets.

Port es  para especificar el puerto donde se quiere atacar.

Protocol seleccionaremos que protocolo queremos atacar.

Output Options:

SSL  seleccione esta opción si utiliza el protocolo SSL.

Show attemps nos muestra todos los intentos de fuerza bruta en la tabla Start.

Be verbose nos muestra más información en la tabla Start.

Debug nos enseña toda información depurada en la tabla Start

En este menú nos permite especificar el usuario y contraseña

Username:

Username para especificar un nombre de usuario.

Username List para especificar una lista de nombres de usuario desde un archivo.

Password:

Usar "Password" si ya sabe la contraseña (poco frecuente).

Usar "Password List" para especificar un archivo en el que ha guardado todas las contraseñas a probar.

Colon separated file:

Usar "Colon separated file" utilice esta opción si prefiere usar un archivo en el inicio de sesión y las contraseñas se especifican en un archivo único con dos puntos como separador.

Try login as password utilice esta opcion para el intento y combinacion de logins y contraseñas de su archivo.

Try empty password se intentará utilizar contraseñas vacías, además de su archivo de contraseñas.

Aqui nos permite ajustar nuestro ataque de fuerza bruta

Performance Options:

Number of Tasks número de tareas en paralelo (threads). Por defecto: 16

Timeout tiempo de espera máximo de un proceso de ataque que está esperando una respuesta desde el objetivo. Por defecto: 30

Exit after first found pair xHydra se cerrará automáticamente cuando un usuario válido y contraseña ha sido encontrado.

Use a HTTP/HTTPS Proxy:

No proxy / HTTP Method / CONNECT Method: permite especificar el tipo de proxy.

Proxy: dirección proxy (por ejemplo http://127.0.0.1:8080)

Proxy needs authentication: utilizar para especificar un nombre de usuario/contraseña.

"Username": nombre de usuario para la autenticación del proxy.

"Password": contraseña que se utilizará para la autenticación del proxy.

Aquí nos muestra los resultados de Hydra. Como vemos ha conseguido el login y el password del host que estebamos atacando.

Fuente: http://calebbucker.blogspot.com.es

Como Crear una VPN de SecurityKiss

Priemero SecurityKISS Tunnel es una implementación de la red privada virtual (VPN) basada en OpenVPN, PPTP y L2TP. 

Primer paso sera ir a : http://www.securitykiss.com/resources/download/windows/ y nos deberemos registrar.

Cuando pongamos nuestro correo para registrar deberá ser un correo que exista ya que nos enviaran un correo con el cliente y la contraseña.

El correo que nos enviara podrá estar en correo no deseado , spam ...

Ahora tendremos que ir centro de redes y recursos compartidos.

Cuando nos abra deberemos ir a configurar una nueva conexión de red.

Después nos preguntara que forma de conectarnos queremos , deberemos escoger  usar mi conexión a internet ( VPN).

Nos aparecerá un panel que deberemos poner dirección de Internet que nos ha dado y deberemos poner un nombre de destino.

Le damos a siguiente y nos saldrá otro panel que deberemos poner la contraseña y el usuario que nos han proporcionado en el email.

Cuando le clickeamos a creas no aparecerá que la conexión esta lista.

Ahora vemos que ya se ha creado nuestra VPN. Para acceder a ella deberemos ir Centro de redes y recursos compartidos , después conectarse una red.

Hacemos doble click al SercurityKiss server y nos aparecerá un panel que tendremos que poner otra vez el usuario y contraseña que nos han proporcionado en el e-mail.

Como podréis ver ya tenemos nuestra VPN creada y conectada.

Ahora os enseñare como eliminar la vpn , deberemos abrir el Centro de redes y recursos compartidos y clickear en cambiar configuración del adaptador.

Vamos donde pone Security Kiss server damos botón derecho encima del nombre y eliminar.

Ya sabemos como crear una VPN y como eliminarla 

¿Que Es Fing?

Fing es una aplicación que te permite hacer un escaneo completo de la red a la que estás conectado en ese momento obteniendo toda la información posible de ella. Solo se limita a ofrecer información útil sobre tu red.

El primer paso sera ir a google play y instalar, os dejo el enlace por si la queréis descargan desde el pc. 

• https://play.google.com/store/apps/details?id=com.overlook.android.fing&hl=es

Cuando abrimos la aplicación deberemos estar conectado ha una red wifi o no podrá hacer su función, el segundo paso sera escanear la red y saldrá todo los pc, móviles, etc. que estén conectado ha esa red.

Al acabar de escanear le damos a la red que queramos y nos aparecerá  un panel lleno de información.

Aquí podremos hacer ping , escanear servicios, por ejemplo escanearemos mi perfil.

Nos aparecerá los puertos y con los servicios abiertos ....

Os dejo con las cosas que se pueden hacer con esta aplicación:

• Ping: permite hacer pings a otros dispositivos desde tu móvil.
• Descubrimiento de red: mostrará todos los equipos conectados a esa red.
• Escaneo de servicios: muestra los servicios que tiene activos cada equipo.
• Traceroute: te da la ruta por la que pasas en internet desde tu dispositivo hasta una determinada dirección de internet.
• DNS Lookup: descubrimiento de DNS.
• Wake on LAN: despertar a un equipo de la red que está apagado.
• TCP Conection tester: probar la conexión TCP.
• MAC Address: muestra direcciones MACs de los equipos.
• Permite dar nombre a un equipo e incluso muestra iconos en función de que tipo de dispositivo es.
• Detección de conexión.
• Opciones de geolocalización.
• Integración con aplicaciones de red de terceros: FTP, SSH, TFTP,etc.

Sacando Información De Un Terminal Android Usando ADB

Hoy vamos a ver como sacar información de un Smartphone usando ADB (Android Debug Bridge).

Primeramente tendremos que bajarnos el SDK oficial de Android:

• http://developer.android.com/sdk/index.html

Ahora, una vez descargado y descomprimido, abriremos una terminal y nos ubicaremos en el carpeta /platform-tools de nuestra carpeta donde está el SDK.

• cd <ruta de la carpeta> 

Empezaremos por mirar logs para ver que información pueden darnos sobre eventos del smartphone. Esto lo haremos con le los comandos: 

• adb logcat –b radio:

• adb logcat –b events:

Pero esto no es para nada rapido, así que utilizaremos el comando bugreport para crear un archivo .txt con información importante del Terminal. 

• adb bugreport > <nombre>.txt

Cuando iniciemos el comando no veremos que aparezca nada en la pantalla, tendremos que esperar hasta que vuelva a aparecer la ruta. El archivo será creado en la carpeta /platform-tools en el que podremos encontrar información tan curiosa como ultima geolocalización que ha hecho. 

Así que si buscamos en esas coordenadas en Google Maps podemos ver donde ha estado el dispositivo o que cuentas tiene alojadas y en que aplicaciones, versión de Android que usa, etc.