Páginas

jueves, 26 de junio de 2014

Oktoberfail! pwned!

   El otro día me pasé por una conocida fiesta de la cerveza que hace una gira por determinadas ciudades de España, a tomarme una jarrita de cerveza con unos amigos, y entre las bondades tecnológicas del recinto, se encontraba una máquina para dispensar los tiques de comida/bebida de forma automática y así no tener que hacer cola en las taquillas de la entrada.  La máquina en cuestión es esta, pero sin lector de tarjetas.

   Bueno, el caso es que alguien no hizo demasiado bien su trabajo, y este es el resultado:


Cmd para realizar las maldades habituales (Don't be evil!)

sábado, 14 de junio de 2014

Iniciar y detener servicios desde la WEB en Linux - BASH CGI

Necesidades:

Manejar el inicio / detención de servicios mediante una interfaz WEB con un botón.


Descripción del entorno:

· Servidor: apache2 en una raspberry-pi con raspbian
· Directorio CGI: /usr/lib/cgi-bin
· Archivo de sudoers: /etc/sudoers
· Binario utilizado: /usr/sbin/service

Vamos a crear un CGI simple en Bash:

#!/bin/bash

cat << _EOF
Content-type: text/html

<html>
$(echo "Hola Mundo!")
</html>

_EOF


lunes, 2 de junio de 2014

Tareas programadas en Linux (cron)

   En linux las tareas programadas las controla un 'demonio' llamado CRON.  La configuración es principalmente en modo texto, aunque también podemos utilizar alguna aplicación GUI que modifique los archivos de texto donde se guardan las tareas programadas (kcron, gnome-schedule).

   Existen dos entornos de CRON, el de sistema, y el de usuario.  Para modificar las tareas de sistema, tendremos que editar el archivo '/etc/crontab' y para las tareas de cada usuario, lanzaríamos el comando 'crontab -e' desde el login del usuario, o 'crontab -u usuario -e' desde la consola de root, por ejemplo.
   
   Las tareas generadas con el comando 'crontab -e' se guardan en: '/var/spool/cron/usuario' que será el archivo que se genera automáticamente al guardar la tarea en el documento que lanza el comando, documento que se abrirá con nuestro editor de consola predeterminado.

   Los campos del documento donde editaremos la tarea cambian ligeramente dependiendo de si es un cron de sistema o un cron de usuario, en el cron de sistema tenemos los siguientes campos:

m          h             dom           mon          dow         user       command

 minutes   hours   DayOfMonth   Month   DayOfWeek   User   command/script

lunes, 26 de mayo de 2014

Atacando SSH con THC-Hydra

   Hydra es un programa creado por la gente de 'The Hacker Choice' (THC) para auditar el login contra diversos servicios como FTP, HTTP, SSH, LDAP, MYSQL, etc...   En este caso vamos a ver como atacar un login SSH con un usuario conocido previamente.

   Ataque mediante diccionario:

hydra -V -l juan -P /pentest/passwords/wordlists/rockyou.txt 192.168.1.20 ssh

Significado de los flags: