HTB write-up – Jerry

Publicado el Deja un comentarioPublicada en Auditoría y CTF, Pentesting, Post-explotación, Windows

Buenas! Continuamos con las soluciones de máquinas de HacktheBox.  Aprovecho para recomendaros el repositorio de github de los compañeros de hackplayers, dónde suben write-ups de máquinas retiradas y todavía activas (protegidas con la flag de root por supuesto). En este caso, se trata de la solución de la máquina Jerry, una de las más fáciles […]

HTB Write-up -Stratosphere

Publicado el Deja un comentarioPublicada en Análisis de vulnerabilidades, Enumeración y escaneo, Explotación, Hacking Web, HTB, Pentesting, Post-explotación

Buenas! Continuamos con la serie de write-ups de las máquinas de HackTheBox,. En este caso, se trata de la solución de la máquina retirada Stratosphere.     El write-up se divide en tres fases: Enumeración. Explotación Postexplotación   Enumeración Enumeración de servicios Para ello, empleamos nmap:     Se identifican los puertos/servicios: 22 – SSH 80 […]

HTB Write-up – Poison

Publicado el Deja un comentarioPublicada en Análisis de vulnerabilidades, Auditoría y CTF, Enumeración y escaneo, Explotación, HTB, Pentesting, Post-explotación, Uncategorized

Buenas a tod@s!! Seguimos con la serie de write-ups de las máquinas de HackTheBox, esta vez os traemos la solución a la máquina Poison, que acaba de ser retirada. Antes de comenzar, os recomiendo que os paséis por el resto de write-ups que hemos publicado hasta ahora, son muy interesantes: Enumeración Como en cualquier máquina […]

HTB Write-up – Haircut

Publicado el Deja un comentarioPublicada en Enumeración y escaneo, Hacking Web, HTB, Pentesting, Post-explotación

Buenas! Continuamos con un nuevo write-up sobre otra máquina de HacktheBox. En este caso, se trata de la máquina retirada “Haircut”.     El write-up se divide en tres fases: Enumeración. Explotación Postexplotación Enumeración Enumeración de servicios Para ello, empleamos nmap:   Se identifican los puertos/servicios: 22 – SSH 80 -HTTP Enumeración de directorios Para […]

Bitácora del Pentester II – JavaMelody / CVE-2018-12432

Publicado el Deja un comentarioPublicada en Análisis de vulnerabilidades, Explotación, Pentesting, Pruebas de concepto

Saludos de nuevo conej@s!! Voy a seguir con esta serie de entradas, que como en la anterior: https://www.fwhibbit.es/bitacora-del-pentester-oracle-reports-services-parte-i, hablaré sobre tecnologías de las que puedes beneficiarte a la hora de tú proceso de pentesting xD. También se realizará la explotación de un Cross-Site Scripting, el cual fue reportado al MITRE. Quiero destacar que esta entrada no […]

Denegación de Servicio – HTTP Slow Headers

Publicado el Deja un comentarioPublicada en Denegación de servicio, Hacking Web, Pentesting, Pruebas de concepto

En la entrada anterior de Denegación de Servicio realizamos una Prueba de Concepto explicando el Ataque DNS Amplificado, en esta ocasión seguimos con los ataques en la capa 7  de la torre OSI (Aplicación), concretamente contra Servidores Web. Vamos a centrar la atención en el ataque Slow Headers que popularizó la herramienta Slowloris en el […]

Bienvenidos a RootedCON 2018!!

Publicado el 1 comentarioPublicada en Análisis de vulnerabilidades, Análisis forense, Android, Call For Papers, Cracking, Explotación, Hacking Web, Malware, Pentesting, Post-explotación, Redes, Reversing, Uncategorized

Buenos días! Quedan solo dos días para que de comienzo la 9ª edición de RootedCON. Sin duda, este es el evento por excelencia en nuestro país, y uno de los más importantes a nivel internacional. Por ello, queremos destacar una vez más lo orgullosos que nos sentimos todos los miembros de este blog, de poder […]

Bitácora del Pentester – Oracle Reports Services – Parte I

Publicado el Deja un comentarioPublicada en Análisis de vulnerabilidades, Oracle, Pentesting, Recolección de información, Securización

Buenas de nuevo queridos/as lectores/as!! Me estreno este nuevo año con la siguiente entrada. Espero que os guste y si no, por lo menos que os sirva de algo en alguna ocasión. Lo primero, no soy un experto en estos servicios que se mostrarán a lo largo de esta entrada, por lo tanto la mayor […]