Hace poco tuve la oportunidad de crear un curso sobre pentesting de aplicaciones android. Curso: Auditoría en seguridad para aplicaciones Android Aprende a configurar un entorno de análisis y detecta si una app Android tiene vulnerabilidades o maliciosa.ed.team Mucho del contenido utilizado están en el blog, acá les listare los links que pueden usar para introducirse en el mundo de Android y la seguridad.

Facebook es una de las plataformas mas utilizadas a nivel mundial, y se divulgaron datos de las personas que usan la plataforma a causa de una falla de funcionalidad según facebook (Oops), pero ahora que los datos son públicos y mucha gente puede acceder a esta información. Que es lo…

Iniciamos con un escaneo de puertos para saber sobre que servicio iniciaremos nuestras pruebas de seguridad.

Iniciamos con el clásico escaneo de puertos, para identificar los puertos abiertos. Una vez que tenemos la lista de puertos abiertos analizamos el resultados e iniciamos las pruebas.

Seguimos con los retos de Hackthebox. Primero iniciamos con un reconocimiento de puertos, para saber que servicios tiene habilitado el host remoto, de esta forma sabremos por donde empezar. nmap -sC -sV -Pn 10.10.10.191 -oN blunder.nmap

Forense, un área que no toco muy seguido pero este reto parece interesante, nos facilitan 2 archivos auth.json syslog Buscando en google encontré un script en python usbrip. snovvcrash/usbrip Simple CLI forensics tool for tracking USB device artifacts (history of USB events) on GNU/Linux - snovvcrash/usbripgithub.com Algo que no sabia es sobre los eventos de USB, pero me toco aprender un poco y se puede tener reglas y…

Un portal muy simple al que realize fuzzing de directorios y archivo pero nada interesante. Revisando el html encontré algunos comentarios y entre todo eso encontré un archivo interesante “portfolio.php?id=1”, aquí ya puedo probar sqlinjection o fuzzear el valor para ver el contenido. Validando con SQLMAP el portal es vulnerable…

Un reto sencillo que pide enviar una cadena de texto en md5 en un tiempo determinado. #!/usr/bin/env python3 from bs4 import BeautifulSoup import requests import hashlib r = requests.get("http://docker.hackthebox.eu:30323/") html = r.text cookie = r.cookies soup = BeautifulSoup(html, 'html.parser') string = soup.h3 md5_text = hashlib.md5(string.get_text().encode('utf-8')).hexdigest() print(md5_text)

Iniciamos con un clásico escaneo de puertos para saber que servicios que están corriendo este host.