LFI en Cisco Small Business SA500 Series. Cuando la seguridad de tu red está hecha un Cisco.

Publicada en 5 comentariosPublicada en Artículos de investigación, Explotación, Fuzzing, Hacking Hardware, Hacking Web, Pentesting, Pruebas de concepto, Redes, Securización

"Disclosure" Hola, muy buenas a tod@s!! Hace tiempo de la última vez, verdad?   Mi anécdota es corta y sencilla: YO: Contactar con Cisco. CISCO: ¿A qué producto le ha tocado esta vez? ¿De qué vulnerabilidad se trata? YO: SA500 series Small Business. LFI. CISCO: El que tenga esa serie de productos que se j***, […]

#0Day - ¡Señor tíñame el sombrero! RFI por SSH

Publicada en 5 comentariosPublicada en Artículos de investigación, Explotación, Hacking Hardware, Hacktivismo, Pruebas de concepto

#Disclaimer Vuelvo a publicar el post, dado que pasadas 2 semanas no tenemos respuesta alguna. Un gesto poco de agradecer por parte de HackerOne y de Ubiquiti, el fallo de la libreria ha sido arreglado. Pero gracias a que yo se lo comuniqué, no por que ubiquiti hiciera algo en 3 meses, pero en 2 […]

Basic SQL Injection on JDBC

Publicada en 4 comentariosPublicada en Análisis de vulnerabilidades, Explotación, Programación

Colaborador: Hackbier ¡Buenos días!. La siguiente entrada documenta cómo realizar un SQL Injection básico en un programa Java con JDBC (Java DataBase Connectivity). Además serán expuestas algunas posibles soluciones a esta vulnerabilidad. Para ello he creado una sencilla base de datos y he realizado un código de prueba en Java que consulta esta base de […]

No Woman No Cry - Ransomware WannaCry

Publicada en 5 comentariosPublicada en Análisis de vulnerabilidades, Análisis forense, Artículos de investigación, Explotación, Hacktivismo, Malware, Windows

Buenas a todos. Soy Tamara Hueso (@tamarahueso) y esta es mi primera colaboración con mis queridos conejos.  Me complace ser la primera mujer en escribir en este blog y por ello quiero dar las gracias a todos los miembros de Follow The White Rabbit por darme la oportunidad de aportar mi granito de arena a esta […]

Unboxing a #0day - Hack a biometric system

Publicada en Deja un comentarioPublicada en Análisis de vulnerabilidades, Artículos de investigación, Espionaje, Explotación, Hacking Hardware, Programación

#DISCLAIMER Antes de empezar quiero dejar claro que me intente poner en contacto en 3 ocasiones con la empresa afectada, en dos de ellas por email pregunte por su departamento de seguridad y solo me facilitaban información comercial, intenté contactar con ellos también por twitter, sin ningún resultado. Ahora mi responsabilidad como researcher solo me deja dos […]

I EDICIÓN CTF FWHIBBIT - CAPTURE THE RABBIT

Publicada en Deja un comentarioPublicada en Análisis forense, Auditoría y CTF, Criptografía, Esteganografía, Explotación, Hacking Web, Programación

Buenas a todos, En el día de hoy, venimos a anunciaros la noticia que todos estabais esperando...tras el "hype" creado en las redes sociales, y tras las especulaciones de algunos "visionarios conejiles", ha llegado el momento... Después de varios duros meses de trabajo y dedicación...nos complace presentaros nuestra I Edición de CTF FWHIBBIT, al que hemos […]

PoC: Ataque y Defensa de mi buen amigo Grub.

Publicada en 2 comentariosPublicada en Explotación, Kali Linux, Linux, Pruebas de concepto, Securización

Hola buenas a tod@s. En esta práctica, os traigo la ejecución de ataque y su correspondiente fortificación del sistema gestor de arranque GRUB.           INTRODUCCIÓN   GRUB es un gestor de arranque múltiple desarrollado por GNU. Se utiliza principalmente en sistemas operativos GNU/Linux Permite disponer de uno o varios sistemas operativos […]

Old school attack! #PlataformaPorElBufferAttack

Publicada en Deja un comentarioPublicada en Auditoría y CTF, Explotación, Hacking Web

Hace unos días os propuse un reto a través del canal de Telegram https://telegram.me/Fwhibbit. Para los que no lo hayáis visto o leído en ese momento, si queréis comeros un poco el tarro, deciros que consistía en 42 lineas de código "seguro" que se pueden ver a continuación. No bajes mucho si no quieres leer el spoiler definitivo […]

[#ZeroDay] Hackeando al jefe, por mi y por todos mis compañeros, ¡pero por mi primero!

Publicada en 6 comentariosPublicada en Explotación, Hacktivismo, Pentesting, Pruebas de concepto

  La POC de hoy, consiste en un RCE (Remote code execution) y un SQLi atípico que a día de hoy, sigue activo, es un #ZeroDay. Para llevarla a cabo se requiere de estar en la misma red (MITM como veiamos en evil Go.ogle) y se realiza sobre un ERP bastante famoso (según su web mas de 35.000 […]