Herramientas seguridad

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 3 (ATT&CK T1016)

5 mayo, 20225 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2

Instalar y configurar Auditd

29 abril, 202229 abril, 2022 rokitoh Deja un comentario

Auditd Se encarga de realizar un seguimiento de todo lo que va sucediendo en nuestro sistema GNU/Linux, en el cual va recopilando eventos sobre reglas pre-configuradas.

Debian

apt install auditd

RedHat

yum install audit

Suse

zypper install audit

Instalar y configurar Sysmon en GNU/Linux

29 abril, 202229 abril, 2022 rokitoh Deja un comentario

Descargamos el paquete el cual nos instalará la key GPG del repositorio de Microsoft

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb

Instalamos el software

sudo apt-get update
sudo apt-get install sysinternalsebpf
sudo apt-get install sysmonforlinux

Cyberdefenders – MalDoc101 writeup

11 febrero, 202211 febrero, 2022 rokitoh Deja un comentario

It is common for threat actors to utilize living off the land (LOTL) techniques, such as the execution of PowerShell to further their attacks and transition from macro code. This challenge is intended to show how you can often times perform quick analysis to extract important IOCs. The focus of this exercise is on static techniques for analysis.

Suggested Tools:

REMnux Virtual Machine (remnux.org)
Terminal/Command prompt w/ Python installed
Oledump
Text editor

En primer lugar vamos a instalar el software necesario para realizar el reto

Descargamos OLEDUMP

mkdir /opt/oledump
cd /opt/oledump
wget http://didierstevens.com/files/software/oledump_V0_0_60.zip
unzip oledump_V0_0_60.zip

Instalamos oletools

pip install -U oletools

Implementación de SIRP Open Source

27 mayo, 201922 julio, 2019 rokitoh 10 comentarios

En el siguiente articulo veremos como implementar un Security Incident Response Platform (SIRP) basado en software open source en alta disponibilidad.

Como podemos ver en el diagrama, el agente de Wazuh HIDS envía los datos de todos los servidores a Wazuh Manager y ElasticSearch. ElastAlert observará los nuevos eventos y generará alertas en TheHive.

Linux Post Exploitation Cheat Sheet

10 junio, 20185 agosto, 2018 rokitoh 1 comentario

Recolección de información

Comandos	DESCRIPCIÓN
/etc/resolv.conf	Contiene los servidores DNS
/etc/motd	Mensaje del dia
/etc/issue	versión de la distribucuón
/etc/passwd	Lista de usaurios
/etc/shadow	Lista de hashes de usuario (requiere permisos de root)
/home/USUARIO/.bash_history	Te muestra los comandos ejecutados por el usuario

Auditando y explotando vulnerabilidades con JexBoss

21 noviembre, 201721 noviembre, 2017 rokitoh 1 comentario

JexBoss es una herramienta escrita en python que nos sirve para auditar y explotar vulnerabilidades en JBoss Application Server y otras plataformas Java, Frameworks, Aplicaciones, etc.

Vectores de explotación:

/admin-console
- tested and working in JBoss versions 5 and 6
/jmx-console
- tested and working in JBoss versions 4, 5 and 6
/web-console/Invoker
- tested and working in JBoss versions 4, 5 and 6
/invoker/JMXInvokerServlet
- tested and working in JBoss versions 4, 5 and 6
Application Deserialization
- tested and working against multiple java applications, platforms, etc, via HTTP POST Parameters
Servlet Deserialization
- tested and working against multiple java applications, platforms, etc, via servlets that process serialized objets (e.g. when you see an «Invoker» in a link)
Apache Struts2 CVE-2017-5638
- tested in Apache Struts 2 applications
Others

Pentesting – Pruebas básicas de reconocimiento web (fingerprinting/footprinting)

20 febrero, 201720 febrero, 2017 rokitoh Deja un comentario

Footprinting

El termino footprinting hace referencia a la técnica de descubrir y recoger la mayor cantidad de información posible con respecto a una red de destino, bien porque haya sido publicada a propósito o por desconocimiento. El objetivo es extraer información relativa de la organización que incluye, pero no se limita a:

Rangos de direcciones IP
Información del registrador del dominio
Servidores internos
Cuentas de correo de los usuarios
Nombres de las maquinas
Tipo de firewall implementado
Tipos de acceso remoto utilizados (SSH o VPN)
Archivos (doc, xls, ppt, pdf, txt, etc)
Metadatos, etc

Geolocalización con Creepy

3 marzo, 20142 mayo, 2015 rokitoh Deja un comentario

Creepy es un programa multiplataforma que nos permitía geolocalizar personas a partir de sus imágenes publicadas en Twitter, Flickr e Instagram

Instalamos dependencias

apt-get install python-qt4 python-pip

Instalamos las librerías necesarias de python

pip install tweepy yapsy configobj python-instagram flickrapi

Descargamos el software

git clone https://github.com/ilektrojohn/creepy

Accedemos a la carpeta

cd creepy/creepy/

Ejecutamos el software

python CreepyMain.py

Añadir repositorios de Kali Linux en Debian squeeze

22 abril, 201322 abril, 2013 rokitoh 1 comentario

Como ya sabemos los creadores de BackTrack Linux han reprogramado una nueva versión basada el Debian. Pues vamos aprobecharlo para añadir los repositorios a nuestra distribución Debian squeeze

Agregamos lo repositorios en el source

vi /etc/apt/source.list

#Kali Linux

deb http://http.kali.org/kali kali main contrib non-free
deb-src http://http.kali.org/kali kali main contrib non-free

Actualizamos los paquetes

rokitoh@redorbita:/ # apt-get update

No soltara el siguiente error porque le hace falta la KEY

W: Error de GPG: http://http.kali.org kali Release: Las firmas siguientes no se pudieron verificar porque su llave pública no está disponible: NO_PUBKEY ED444FF07D8D0BF6

Añadimos el KEY

rokitoh@redorbita:/ # gpg –keyserver subkeys.pgp.net –recv-keys ED444FF07D8D0BF6
rokitoh@redorbita:/ # gpg –export –armor ED444FF07D8D0BF6 | apt-key add –

OK

Un saludo,

:wq!