Banner 1

conectarse a Multiples Redes Inalambricas

2 comentarios
bueno este truco lo descubri en el blog de un usuario de la comunidad y me gusto mucho ya que no lo conocia y hasta hoy pensaba que no era posible xD.

saludos y gracias a snyper por su aporte.



Si usted es alguien que tiene acceso a múltiples conexiones inalámbricas y desea conectarse a múltiples conexiones inalámbricas al mismo tiempo usando la única tarjeta de interfaz WLAN, este artículo es una para usted. Alternativamente, puede ir para la instalación de múltiples tarjetas WLAN para conectarse a múltiples redes inalámbricas al mismo tiempo, sin embargo, será un costoso tratar y también la fuga de una gran cantidad de energía de la batería de su portátil.

VirtualWifi es un software gratuito ofrecido por Microsoft que toma una sola placa WLAN para que aparezca como múltiples tarjetas WLAN virtuales para el usuario. El software permite al usuario configurar cada tarjeta virtual para conectarse a una red inalámbrica. Por lo tanto, en resumen, VirtualWiFi permite a un usuario conectarse simultáneamente a su máquina a múltiples redes inalámbricas WLAN con una sola tarjeta.

WiFi virtual utiliza un sistema de salto de red para cambiar la tarjeta a través de la red inalámbrica deseada. El cambio entre redes es transparente a las aplicaciones, de manera que el usuario siente que está conectado a varias redes inalámbricas al mismo tiempo.

caps


Puede descargar VirtualWifi desde aquí. Una vez descargado, se encuentra VirtualWiFi Binario y su Código Fuente.

Cómo instalar VirtualWifi para la conexión de múltiples redes inalámbricas WLAN con una tarjeta?

Una vez descargado el paquete VirtualWifi, consulte las instrucciones de instalación y a las Preguntas Frecuentes de Instalación para instalar VirtualWifi. Una vez instalado, VirtualWifi le permitirá conectarse simultáneamente a múltiples redes inalámbricas con una sola tarjeta de interfaz WLAN.



FUENTE:http://foro.latinohack.com/blog.php?b=75

Tutorial - Ataques D.o.S a base de pings

0 comentarios
Bueno esta entrada estaba por postearla hace mucho tiempo y por un comentario recorde postearla hoy :D, entrada vista en eduhackers.

saludos

Hola!

Bien, hoy vamos a aprender, a como saturar un modem, a base de pings.
Vamos al tema.

Una aclaración antes de todo, esto ya no funciona en el 80% de los casos, pero he pensado que por saber mas o menos como se realiza un ataque D.o.S, que no falte jeje.

Un ping es un tipo de mensaje ICMP, que se usa para ver si una máquina se encuentra operativa y accesible.
El procedimiento es enviarle un ping a la máquina; ésta lo recibe y contesta. Al recibir la contestación ya sabemos que la máquina vive. Si no se recibe en un plazo dado se considera como no accesible (la máquina podría estar apagada, o todos los "caminos" en la red hacia ella cortados).
La manera de usar esto de forma ofensiva consiste en mandar más pings a un usuario de los que su máquina pueda contestar, saturándole su conexión a Internet.

Los paquetes que se envían al hacer ping son típicamente muy pequeños. Con el modificador -s estamos forzando un nuevo tamaño (32000 bytes es aceptable; también podés probar con 64000).
Pensad: un modem de 28.8 tardará unos 18 segs. en recibir 64 Kbytes (sin considerar compresión), mientras que desde nuestra shell lo hemos mandado en ¡¡décimas de segundo!! Si consideramos además que el comando ping manda más de un paquete (los que queramos) ... ¡boom! Tendréis el módem de vuestra víctima trabajando a toda pastilla para nada y fastidiándole todo lo que esté haciendo. En particular, le estropearéis su conexión al IRC: en el mejor de los casos la víctima tendrá un lag horroroso y en el peor será expulsada del servidor por "ping time-out".
Desgraciadamente la solución para evitar este ataque no suele ser fácil ya que no se trata de un bug que se pueda parchear sino de la propia mecánica de los protocolos TCP/IP. Lo único que se puede hacer es rogar que nuestra máquina sea más potente que la de nuestro enemigo.

Manos a la masa

La sintaxis es:

ping -l 64000 "IP o HOST" -t

-l 64000 significa el tamaño del paquete y -t es para que mande paquetes infinitos hasta saturar el servidor.

Ejemplo:


Para comprobar que está surtiendo efecto, solo hace falta hacer un ping normal, a esa misma ip o host.
Si no la devuelve, quiere decir que está saturada devolviendo grandiosos paquetes.

Para ser más eficaz, y no teclear constantemente esa sintáxis, podemos crear un batch:
En mi caso, la sintaxis sería


También, ejecutad varios batch a la vez, solo funciona mientras se está ejecutando el batch.

Fuente:
Manual original

Fuente encontrada:
http://foro.eduhack.es/hacking-avanzado/tutorial-ataques-d-o-s-a-base-de-pings/

Saludos

Ataque Man-in-the-middle

7 comentarios
Bueno les comento que ya casi llegan la segunda temporada de laboratorios para que sigan pendientes y desarrollandolos, por esta razon les dejo la definicion de este ataque que es muy comun y facil de desarrollar sino existen las medidas preventivas necesarias.

trabajo hecho por lozano para eduhackers.

saludos

En criptografía, un ataque man-in-the-middle (MitM o intermediario, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.

La necesidad de una transferencia adicional por un canal seguro

Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro.

Posibles subataques

El ataque MitM puede incluir algunos de los siguientes subataques:

  • Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.
  • Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.
  • Ataques de sustitución.
  • Ataques de repetición.
  • Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío de periódico de mensajes de status autenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.

Defensas contra el ataque

La posibilidad de un ataque de hombre-en-el-medio sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:

  • Claves públicas
  • Autenticación mutua fuerte
  • Claves secretas (secretos con alta entropía)
  • Passwords (secretos con baja entropía)
  • Otros criterios, como el reconocimiento de voz u otras características biométricas

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, a través del explorador de Web o en la instalación del sistema operativo).

Fuente: Wikipedia
Fuente encontrada:http://foro.eduhack.es/hacking-avanzado/ataque-man-in-the-middle/

Detectar ordenadores zombis en la red local.

0 comentarios
Esta entrada la vi hace poco del blog amigo guru de la informatica , el cual me parese muy importante saber lo que ha que plantea.

saludos

En un post anterior he escrito sobre ordenadores zombis y botnet (redes formadas por ordenadores zombis), en este post tratare sobre una herramienta muy eficaz para detectar ordenadores zombis en una red local llamada BotHunter.
BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red.

BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware:

  • Exploración del anfitrión.
  • Uso de exploit de ataque.
  • Transferencia del software de control al sistema anfitrión.
  • Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo.
  • Propagación del malware atacando otros host de la red.
  • Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC).

Después de comparar estas acciones con los patrones de infección que tiene en su base de datos, si coincide, es detectada como infección. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempeñaron un papel durante el proceso de la infección.

BotHunter es gratuito y está disponible para las plataformas:

  • Windows XP/Vista/2003 Server 32 y 64.
  • Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE.
  • FreeBSD, probado en la versión 7.2.
  • Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.

BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.

Más información y descarga de BotHunter:
http://www.bothunter.net/

Ordenadores zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html

FUENTE:
http://vtroger.blogspot.com/2009/08/detectar-ordenadores-zombis-en-la-red.html

Rastreando los historiales de internet

0 comentarios
esta entrada tambien me gusto por la citacion a los dos documentos que estuve leyendo y me gustaron mucho, por esta razon me le robe el post a nuestro amigo ECrawler.

saludos

Una de las tareas que mas veces me han pedido como técnico informático, es saber que han estado haciendo el personal en horas de trabajo, usando para ello el historial de navegación.

El problema es que cada día mas usuarios saben que después de navegar hay que limpiar el historial, para así no ser descubierto.

Esto nos complica las cosas, obligándonos a utilizar otros medios, como keylogger etz..Pero, realmente se borra del todo el historial? En Firefox y Chrome, parece que sí, pero en Internet Explorer siempre queda el rastro dentro de los ficheros index.dat.

Podéis leer la estructura de los archivos index.dat en : http://www.foundstone.com/us/pdf/wp_index_dat.pdf.

Para recuperar la información guardada en todos los index.dat tenemos una buena aplicación, con licencia GPL, llamada "Index. dat Analyzer" que podréis descargaros gratuitamente enhttp://www.systenance.com/. Probadlo, y veréis todo lo que podemos encontrar.

Para mozilla podemos probar el MozillaHistoryView, que se puede descargar en: http://www.nirsoft.net/, pero, como he dicho, si borran el historial , no podremos ver nada.

Bien, seguiré investigando, y a ver si me animo a terminar un programilla para ver los historiales de todos los navegadores, contraseñas almacenadas etz...

fuente:http://evidenciasdigitales.blogspot.com/2009/07/rastreando-los-historiales-de-internet.html

Desempaquetando Themida y otros ofuscadores de código

0 comentarios
esta entrada me gusto mucho y mas que es una parte de traduccion de un trabajo muy bien explicado sobre el uso de olly XD , asi que ahi se los dejo , agradecimientos y saludos

COMO DESEMPAQUETAR ARCHIVOS PROTEGIDOS POR THEMIDA O PROGRAMAS SIMILARES

Para ello necesitaremos lo siguiente:

1- El debugger OllyDbg
2- Plugin Phantom para ollydbg (hace que el debugger sea indetectable
3- PEiD (Detector de firmas en ejecutables)
4- Script para OllyDBG Okdoko script
5- ImportRec (Herramienta de reconstrucción)

Que os lo he dejado, ya todo montado en este enlace:
http://rapidshare.com/files/261748602/ANTI-THEMIDA.rar.html
MD5: E2DFEC3B199FDE2D007B989438B16AE3

Para hacer la prueba, solo hará falta que os bajéis el Themida en http://www.oreans.com/

Y procedéis a empaquetar cualquier ejecutable que queráis

El primer paso es saber más información de nuestro ejecutable, para eso abriremos el programa PEiD, buscaremos el archivo que hemos empaquetado con themida y nos dará la siguiente información:











Seguidamente abriremos el OllyDBG y configuraremos el plugin Panthom, como se puede ver:


















Cargaremos el archivo a analizar y nos saldrá una pantalla parecida a esta:














Con Alt+M podemos ver una mapa de memoria, y descubrir con que lenguaje está echo.

Seguidamente vamos a ejecutar el script para encontrar el inicio del programa real, con Plugin>ODbgScript>RunScript y seleccionando okdodo.osc

Esto hará que nuestro programa se ejecute, y parará justo al empezar el código sin empaquetar. Podemos ver en el EIP la dirección de inicio del código, en nuestro caso 040211.

Sin cerrar el debugger, abriremos el programa ImportREC y seleccionaremos nuestro programa de la lista desplegable. Automáticamente cargara en el OEP la dirección de inicio (inicio de ollydbg-image base de importREC), en nuestro caso 0402113-0400000.

Le damos a Get Imports y nos importará todas las funciones contenidas en esa dirección, tenemos que fijarnos en el valor valid=YES.

Clicamos con el botón derecho sobre la función y seleccionamos Advanced options>Select code section(s)






Hacemos clic sobre Full Dump y nos pedirá donde guardar nuestro archivo.

Seguidamente salimos de esta pantalla, y en la principal hacemos clic sobre fix dump, seleccionamos el archivo creado antes y .. “oh viola”.. tenemos el archivo exe original. Ya podemos hacer lo que queramos con el.

En mi caso edité el programita con el 010 editor y después de que el antivirus se quejara varias veces, descubrí que se trataba de un virus/troyano creado con uno de esas interfaces de creación rápida de virus.

http://evidenciasdigitales.blogspot.com/2009/07/desempaquetando-themida-y-otros.html

http://richie86.wordpress.com/ fuente en ingles

pequeñas herramientas forenses

0 comentarios
Les comparto esta recopilacion de herramientas que vi en el blog amigo de neosysforensics.

DCode

Esta pequeña utilidad gráfica nos permitirá decodificar marcas de tiempo en diferentes formatos, como, por ejemplo, los valores hexadecimales que podemos encontrar embebidos en los ficheros del registro de windows.

Supongamos que obtenemos el siguiente valor de fecha y hora para una entrada en el Root Directory de un sistema de ficheros FAT:


Y ahora tenemos el siguiente valor de fecha y hora dentro del atributo $STANDARD_INFORMATION de la MFT de un sistema de ficheros NTFS:


Más información en el sitio oficial.

VMware DiskMount

Descargable previo registro en la web de VMware, esta utilidad nos permite montar particiones ubicadas en discos de máquinas virtuales asignándoles una letra de unidad.
C:\Program Files\VMware\VMware Virtual Disk Development Kit\bin>vmware-mount.exe
/p "D:\Maquinas Virtuales\WinXP - 02\Windows XP Professional.vmdk"
Volume 1 : 20466 MB, HPFS/NTFS

C:\Program Files\VMware\VMware Virtual Disk Development Kit\bin>vmware-mount.exe
/m:n Z: "D:\Maquinas Virtuales\WinXP - 02\Windows XP Professional.vmdk"

C:\Program Files\VMware\VMware Virtual Disk Development Kit\bin>vmware-mount.exe

Z:\ => D:\Maquinas Virtuales\WinXP - 02\Windows XP Professional.vmdk

Bajo sistemas Windows Vista, para que el acceso al punto de montaje pueda realizarse correctamente desde el explorador de windows o cualquier otra aplicación deberá, primero, deshabilitarse UAC. Para ello msconfig, pestaña Herramientas, Deshabilitar UAC, Iniciar:


Windows Registry Recovery

Aplicación que nos permite analizar ficheros del registro de Windows de forma offline, mostrando e interpretando de forma automática gran cantidad de información.

Supongamos que hemos montado el disco de una máquina virtual utilizando vmware-mount. Analizaremos ahora el fichero NTUSER.DAT, perteneciente al registro y correspondiente a uno de los usuarios del sistema virtualizado:


Evidentemente la información interpretada por la herramienta dependerá del 'fragmento' del registro de Windows analizado.

Más información en el sitio oficial.

md5sum

De sobras es conocida esta herramienta, la novedad es que esta versión en concreto es para la línea de comandos de sistemas Windows.

Suponiendo que acabamos de descargar VMWareDiskMountGui, un frontend para VMware DiskMount, junto con su fichero md5 correspondiente, podremos comprobar la integridad del instalador con un simple:
C:\tools>md5sum -c VMwareDiskMountGUISetup.exe.md5
VMwareDiskMountGUISetup.exe: OK

O si por el contrario, deseamos generar su MD5:
C:\tools>md5sum -b VMwareDiskMountGUISetup.exe
58b5b95ff86eca64b17c8b62c00c81d3 *VMwareDiskMountGUISetup.exe

Más información en el sitio oficial.

Prefetch Parser

Se trata de un script perl (el código fuente no está incluido), convertido en ejecutable, con una sencilla interfaz gráfica para facilitar su uso:


Como resultado un completo informe en formato html. Más información en el sitio oficial.

Bintext

Esta pequeña utilidad nos mostrará las cadenas ASCII y Unicode embebidas en un ejecutable:


Más información en el sitio oficial.

Streams

Esta herramienta de línea de comandos localiza Alternate Data Streams en sistemas de ficheros NTFS.

Para probarla generaremos primero un ADS:
C:\>echo "Soy un Alternate Data Stream" > C:\WINDOWS\system32\calc.exe:nomeves.txt
C:\>more <>
Y ahora utilizaremos streams para detectar el ads:
C:\>streams.exe C:\WINDOWS\system32\calc.exe

Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com

C:\WINDOWS\system32\calc.exe:
:nomeves.txt:$DATA 33

Más información en el sitio oficial.

CaseNotes

Y por último, un bloc de notas para analistas forenses. Requiere de Microsoft .NET Framework 2.0


Un completo manual, descargable desde el sitio oficial.


FUENTE:http://neosysforensics.blogspot.com/2009/07/pequenas-pero-muy-utiles.html
Powered by Bad Robot
Helped by Blackubay