Blog de Omar

Después de un buen rato de no publicar noticias en el blog decidí aprovechar el feriado y el fin de semana largo para dedicarle algo de tiempo a mi querido y fiel acompañante, mi blog.

La semana pasada algunos chicos me preguntaron porque sólo se suele explotar Apache, MySQL y demás software libres, que les daba la impresión de que el software es más vulnerable comparando las mismas con herramientas o aplicaciones de pago; lo cierto es que tenían razón, ya que es más fácil utilizar software libre para las pruebas pero definitivamente el software libre y el software propietario son igual de vulnerables y hasta me atrevería a decir (con cierto corazoncito Open Source) que el software propietario es más vulnerable que el libre y baso mi teoría en la cantidad de boletines de seguridad que envía Microsoft de manera periódica.

Dediqué gran parte de mi domingo (Wuju!!! que divertido) haciendo un video tutorial que muestre los diferentes métodos y técnicas para vulnerar un Microsoft SQL Server 2005 corriendo sobre un Windows 2003 Server y lo hice porque hay poca información en internet sobre este tema y porque aun veo muchas empresas en las cuales he podido vulnerar este motor de base de datos pero sobre todo porque me resultó divertido hacerlo a través de SQL Injection.

El video tiene el siguiente contenido:

• Módulos auxiliares MSSQL en Metasploit
• XP_CMDSHELL para apoderarse del sistema operativo
• Exploits y meterpreter para acceder al sistema operativo
• Explotación de vulnerabilidad MS09-004 a través SQL Injection
• Vulnerando SQL Server: XP_CMDSHELL – Metasploit

La presentación mostrada en el video tutorial pueden descargarla: [AQUÍ]
Los comandos utilizados en el video tutorial pueden descargarla: [AQUÍ]

*****************************************************************

El fin de semana estuve algo pensativo y melancólico recordando la música que escuchaba cuando hacia las tareas del colegio, rebusque entre la música que solía escuchar y encontré esta canción que es extremadamente buena, la comparto para aquellos que están hartos de escuchar regueton y puedan encontrar algún consuelo para sus oídos con Pearl Jam.

Popularity: 27% [?]

Tenía planeado realizar un video tutorial sobre la explotación avanzada de aplicaciones web, mostrando hasta donde se puede lograr penetrar bases de datos y sistemas operativos a través de Inyecciones SQL (SQL Injection);  he tratado de colocar en el video no sólo como hacerlo sino explicando algo de teoría de sentencias SQL con el objetivo de no aprender de paporreta las cosas ni sólo utilizar herramientas, sino también, con el objetivo que puedan ejecutar inyecciones SQL avanzadas de manera manual y utilizar su ingenio e imaginación lo máximo posible. Además, ¿alguien puede negar que hacerlo manualmente no es más placentero que sólo ejecutar unos cuantos comandos? es más divertido entender como funciona y hacerlo manualmente.

Las inyecciones SQL es en la actualidad la vulnerabilidad más significativa y crítica que se encuentran en aplicaciones web, además está reflejada en el OWASP TOP TEN 2010, donde se enumeran las principales vulnerabilidades comparadas contra el TOP TEN del año 2007.

EL VIDEO CONTIENE:

• Análisis de vulnerabilidades avanzado de aplicaciones web con ACUNETIX
• Teoría de SQL Injection avanzado: sentencias:UNION, INTO OUTFILE, INTO DUMPFILE
• Inyección de PAYLOADS a nivel del sistema operativo de la base de datos
• Automatización de ataques sql injection avanzado con SQLMAP y METASPLOIT

Este video está dirigido a los administradores de servidores, desarrolladores de aplicaciones web y administradores de seguridad de información, quienes deben revisar las vulnerabilidades de aplicaciones web antes de poner en producción un nuevo sistema de información web. Espero les sea de utilidad el videotutorial.

MATERIAL DEL VIDEO:

• Presentación mostrada en el video tutorial: DESCARGAR AQUÍ
• Lista de comandos ejecutados en el video tutorial:  DESCARGAR AQUÍ

Popularity: 30% [?]

Popularity: 9% [?]