Usando Nmap comandos básicos

target

Hola a todos esta vez les traigo sobre una herramienta antigua pero muy útil , les dejo un breve resumen :

Nmap (“mapeador de redes”) es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP “crudos” («raw», N. del T.) en formas originales para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando así como docenas de otras características. Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monitorización del tiempo que los equipos o servicios se mantiene activos.

Aquí encuentras una lista de parámetros aceptados por nmap :

target

 

&nbsp

Bueno comenzamos con algunos ejemplos :

Vamos a usar el parámetro -A . -T4  ; los cuales realizan las sgt acciones -A realiza la deteccion de sistema operativo y nos dice que version tiene y la -T4 nos muestra

t4a

 

*Nos muestra tal como explicamos en la parte superior

 

 

 

 

 

Podemos combinar y agregar al parámetro ‘*’

 

part1part2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

P

 

 

Podemos combinar con parámetros de nuestra comando de bash , por ejemplo usan pipe y grep de la sgt forma.

grep

Publicado en Software

Visitando charlas en el COMTEL ( Congreso de computación y telecomunicaciones ) 2014

Asistiendo a algunas charlas me tope con un área de papers las cuales eran :

Propuesta de la integración de actividades de aprendizaje contextual en la plataforma
Sakai a través de dispositivos móviles Android con soporte NFC.
Modelo de evaluacion de seguridad para transmitir datos usando Web Services.
Propuesta de una Metodología para toma de decisiones para evaluar procesos de inversión en tecnologías de información
 Iniciamos…

 Propuesta de la integración de actividades de aprendizaje contextual en la plataforma

Sakai a través de dispositivos móviles Android con soporte NFC.

 ¿Qué es Sakai?

 https://sakaiproject.org/ 

 El Proyecto Sakai está desarrollando software educativo de código abierto. El nombre Sakai proviene del cocinero Hiroyuki Sakai. El Proyecto Sakai tiene su origen en la Universidad de Míchigan y en la Universidad de Indiana, a las que se unieron el Instituto Tecnológico de Massachusetts y la Universidad de Standford, junto a la Iniciativa de Conocimiento Abierto (OKI) y el consorcio uPortal. El Proyecto se consolidó con generosa ayuda de la Fundación Mellon.
El objetivo del Proyecto Sakai es crear un entorno de colaboración y aprendizaje para la educación superior, que pueda competir con sus equivalentes comerciales Blackboard / WebCT y que mejore otras iniciativas de Código Abierto comoMoodle.
 Sakai tiene una plataforma virtual de prueba la cuál es : 
https://sakai.javeriana.edu.co/portal
Sakai es un completo entorno para la enseñanza y aprendizaje, coordinación de proyectos, colaboración de grupos y gestión de portafolios que permite, entre otras muchas cosas:

• Tener un sitio web diferenciado para cada curso con una interfaz común y un acceso único.
• Generar guías didácticas y crear anuncios del curso
• Mantener una agenda actualizada para cada una de las materias.
• Realizar pruebas de evaluación o encuestas a los usuarios
• Realizar trabajos colaborativos o individuales.
• Generar y moderar discusiones en foros y otras herramientas de comunicación
• Enviar mensajes privados a los usuarios
• Presentar contenidos basados en las nuevas tecnologías educativas.
• Crear blogs, wikis, distribuir podcasts y otros recursos multimedia.
• Gestionar los roles y permisos de los usuarios
• Realizar el seguimiento del progreso y estadísticas de los alumnos.
• Añadir sitios web para actividades, clubs, comunidades…
• Permitir el trabajo de los profesores en un entorno común
• Personalizar el aspecto visual para coincidir con la imagen corporativa
• Proporcionar una interfaz flexible y adaptable a cada uno de los cursos
• Integrar con los sistemas propios de la organización

Tambien mencionaron acerca del termino  u-learning que buscando en internet significa :

El uLearning es el conjunto de actividades de aprendizaje (formativas y de capacitación), apoyadas en la tecnología, y que son accesibles en cualquier momento y lugar (incluso en los lugares que aún hoy no existen).El uLearning no se limita a la formación recibida a través del ordenador o del dispositivo móvil (teléfono, PDA), este concepto los trasciende e incorpora cualquier medio tecnológico que permita recibir información y posibilite su incorporación y asimilación a las personas.

Por lo tanto, dentro del uLearning también se incluye a un elemento habitual de la vida cotidiana como es la televisión, siendo éste un importante vehículo transmisor de información y muy poco explotado en sus capacidades formativas.

Así también, dentro de esta nueva concepción de aprendizaje y capacitación se considera a las videoconferencias. Éstas permiten tener sesiones interactivas con expertos o con pares, en presentaciones y reuniones por este medio, otorgando flexibilidad a la formación y capacitación para que resulte efectiva.

Luego tambien se explico acerca del término SCORN O SCORM :

SCORM es un conjunto de normas técnicas para los productos de software de e-learning . SCORM dice programadores a escribir su código para que pueda ” jugar bien ” con otro software de e-learning . Es el estándar de facto de la industria para la interoperabilidad de e-learning . En concreto , SCORM rige cómo el contenido de aprendizaje en línea y sistemas de gestión de aprendizaje ( LMS ) se comunican entre sí . SCORM no habla de diseño instruccional o cualquier otra preocupación pedagógica , es puramente una norma técnica .

¿Me pueden ayudar con un ejemplo o analogía ?

Tomemos por ejemplo los DVD . Cuando usted compra una nueva película en DVD que no es necesario comprobar para ver si funciona con la marca de su reproductor de DVD. Un DVD normal jugará en un Toshiba lo mismo que lo hará en un Panasonic . Eso es porque las películas en DVD se producen utilizando un conjunto de normas . Sin estas normas un estudio de la liberación de una nueva película en DVD tendría un gran problema . Tendrían que hacer DVDs de manera diferente con formato para cada marca de reproductor de DVD. Esta es la forma en línea de aprendizaje que solía ser antes de la creación de SCORM .

El estándar SCORM se asegura de que todo el contenido de e-learning y LMS pueden trabajar con los demás , al igual que el estándar DVD se asegura de que todos los DVDs se reproducirán en todos los reproductores de DVD . Si es un LMS compatible con SCORM , puede jugar cualquier contenido que sea compatible con SCORM , y cualquier contenido compatible con SCORM puede jugar en cualquier LMS compatible con SCORM .

 

thegraph1

Modelo de evaluacion de seguridad para transmitir datos usando

Web Services.

Bueno en esta charla no recopile mucha información pero  estos son los datos màs puntuales

¿Qué es WSDL?

WSDL son las siglas de Web Services Description Language, un formato XML que se utiliza para describir servicios Web . La versión 1.0 fue la primera recomendación por parte del W3C y la versión 1.1 no alcanzó nunca tal estatus. La versión 2.0 se convirtió en la recomendación actual por parte de dicha entidad.

WSDL describe la interfaz pública a los servicios Web. Está basado en XML y describe la forma de comunicación, es decir, los requisitos del protocolo y los formatos de los mensajes necesarios para interactuar con los servicios listados en su catálogo. Las operaciones y mensajes que soporta se describen en abstracto y se ligan después al protocolo concreto de red y al formato del mensaje.

Así, WSDL se usa a menudo en combinación con SOAP y XML Schema. Un programa cliente que se conecta a un servicio web puede leer el WSDL para determinar qué funciones están disponibles en el servidor. Los tipos de datos especiales se incluyen en el archivo WSDL en forma de XML Schema. El cliente puede usar SOAP para hacer la llamada a una de las funciones listadas en el WSDL.

El WSDL nos permite tener una descripción de un servicio web. Especifica la interfaz abstracta a través de la cual un cliente puede acceder al servicio y los detalles de cómo se debe utilizar.

 Tambien del acceso a las webservices de la Reniec.. adjunto documentación aqui..

 sib.reniec.gob.pe/SVB/wsVBService

 

Acerca de SOAP

SOAP (siglas de Simple Object Access Protocol) es un protocolo estándar que define cómo dos objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos XML. Este protocolo deriva de un protocolo creado por Dave Winer en 1998, llamado XML-RPC. SOAP fue creado por Microsoft, IBM y otros. Está actualmente bajo el auspicio de la W3C. Es uno de los protocolos utilizados en los servicios Web.
Y bueno acerca del tercer paper pienso escribir un post màs especifico y rico en informaciòn gracias😀

 

Publicado en Software

Buscando subdominios,correos entre otros con Theharvester

Hoy les comparto una herramienta que uso frecuentemente para buscar dominios,correos y otros..
Una de las opciones que tenemos acceso es :

-d: Domain to search or company name ( la url de la página a scanear)
-b: Data source (google,bing,bingapi,pgp,linkedin,google-profiles,people123,jigsaw,all) ( que tipo de busqueda )
-s: Start in result number X (default 0)
-v: Verify host name via dns resolution and search for virtual hosts
-f: Save the results into an HTML and XML file
-n: Perform a DNS reverse query on all ranges discovered
-c: Perform a DNS brute force for the domain name
-t: Perform a DNS TLD expansion discovery
-e: Use this DNS server
-l: Limit the number of results to work with(bing goes from 50 to 50 results,
-h: use SHODAN database to query discovered hosts
google 100 to 100, and pgp doesn’t use this option)

Instalación :
+python 2.7 ( si usas Linux/MacOS no hay problema, si usas Windows deberias
instalar el paquete para ejecutar https://www.python.org/download)

Ejemplo :
she

regresar_c
subd

link2
link

Podemos usar esta herramienta para ingeniera social :3 y de muchas otras formas , lo dejo a su imaginación🙂 , sal2

Publicado en Software

Automatizando inyecciones sql con SQLMap – Primera parte

sqlmap_logoActualmente existen un nuevo mundo en el cual depositamos datos importantes por ejemplo algunas universidades depositan los datos de los alumnos que se almacenan, algunas tiendas virtuales los datos de los clientes y también claramente los datos de los administración del sitio virtual.

Entonces iniciamos con el tutorial, actualmente existen exploit’s multiples para acceder y aprovecharse de algunas páginas web , claramente va depender de la dificultad y de la cantidad de métodos que conozcas, comúnmente existen las errores de seguridad llamadas “inyecciones sql” se producen al crear un nuevo contenido o enlazan alguna página nueva , claro esta que debemos identificar primero si es vulnerable.

¿Qué es una inyección SQL?

La inyección de SQL es una técnica de inyección de código que explota una vulnerabilidad de seguridad dentro de la capa de base de datos de una aplicación. Esta vulnerabilidad puede encontrarse cuando la entrada del usuario se filtra de forma incorrecta debido a caracteres de escape embebidos en sentencias SQL.

¿Cómo identificar un error por inyección SQL?

Una de los primeros conceptos que debemos conocer ¿Qué es SQL?,una vez identificado el concepto debemos continuar.
En este artículo, aprenderá cómo realizar un ataque por inyección de SQL en un sitio web. Por favor tenga en cuenta que este artículo se realiza sólo con fines académicos. Si realiza un ataque en un sitio web que no le pertenece, está violando leyes y podría enfrentarse a la encarcelación y a fuertes multas. Dicho esto, es útil entender cómo funciona la inyección de SQL para que pueda prevenir que ocurra en su propio sitio web.

sql

 

 

*Ejemplo

¿Cómo encontramos una web vulnerable con inyección sql?
Podemos hacer una búsqueda con Google llamados “dork’s” algunos de ellos son :

inurl:index.php?id=
inurl:trainers.php?id
inurl:buy.php?category=
inurl:article.php?ID
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num= andinurl:index.php?id=
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=

Hasta este momento ya conocemos la primera parte , esperemos la segunda parte como automatizar una inyección sql🙂 , saludos

dork

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Publicado en Actualidad, Anonymous, Software

Regreso con nuevos tutoriales !

Hola a todos , regreso con nuevos post’s sobre seguridad, programación y demás..

gracias a los que me siguen :’)

Publicado en Software

¿Podemos hablar sin prejuicios de las carencias de GNU/Linux?

Eso que escuchas, si es que se escucha algo, es nada menos que un vídeo publicitario del Office 365 de Microsoft. Lo he sacado de MuyComputerPRO, donde lo colgaron hace unos días. No obstante, disculpas por la reproducción automática, de la que no me he dado cuenta hasta el momento de publicar esta entrada. Por cierto, ¿de qué va esta entrada?

no ver no oir no hablar¿Podemos hablar sin prejuicios de las carencias de GNU/Linux?

Ayer, mientras redactaba las noticias del experto ese que le ha dado un rapapolvo al escritorio Linux en materia de seguridad, ya sabía que las opiniones encontradas no tardarían en aparecer. Por un lado, si entra alguien y dice “para eso me quedo en Windows” o similares, para mi es como el rumor de la lluvia. Está ahí, pero no me molesta. La postura contraria, el negacionismo absoluto, la carencia total de autocrítica, porque si criticas eres el enemigo, sí me preocupa más. Es lo que hace que te duermas en los laureles y te acaben comiendo.

Ayer, de hecho, destaqué uno de los casos analizados por ese experto -el de Qt, en el que existía un desacuerdo acerca de la supuesta falla de seguridad entre ese experto y los desarrolladores de Qt- como muestra de que no hay que creérselo todo porque sí. Pero hacer lo opuesto, no creerse nada -o el “y tú más”-, no solo no ayuda a que mejore el escritorio en Linux, es insensato.

El estudio del experto -que sí, es un reconocido analista de seguridad-, ¿tiene fallos? Hay que destaparlos. ¿Es alarmista sin necesidad? Lo mismo. ¿Hay, más o menos, algo de vedad en lo que dice? Hay que actuar en consecuencia, pues. Y lo mejor en estos caso es que la información fluya libre, tanto como el código de los programas que ha analizado.

Cuando los nuevos usuarios que llegan a Linux, y prácticamente todos lo hacen desde Windows, comienzan a conocer cómo funciona el sistema del pingüino y el ñu (siempre se nos olvida este último), no suelen tardar en darse cuenta de que la seguridad en GNU/Linux es superior. Para empezar, el sistema de gestión de software mediante repositorios controlados (¡por defecto!), con todos los paquetes firmados y listos para actualizar todo el software de tu máquina de un plumazo… Windows Update, comparado con eso, se queda en lo mínimo.

Asimismo, el sistema de administración del sistema, junto con el sistema de permisos o el cifrado completo de disco… Windows 8 supone un cambio a mejor en todos esos puntos, pero sigue sin llegar al nivel de los sistemas basados en Linux, que además disponen en su mayoría de herramientas instaladas de serie como SELinux o AppArmor. No hay color, a menos que tires de herramientas adicionales, normalmente solo al alcance de expertos. Y sin embargo, creerse por ello que GNU/Linux es a prueba de balas, me parece, como digo, un tanto inconsciente.

Todo este rollo que estoy soltando, como es evidente, no va de seguridad. Cambiamos de tercio con un artículo que publicamos hace unos meses, en el que hablábamos de ofimática, compatibilidad, Open Source, Microsoft Office… ¿os acordáis? Era un caso concreto de alguien con la voluntad de utilizar software abierto, pero con la imposibilidad de hacerlo debido a limitaciones reales sobre las que se puede discutir, pero siguen estando ahí. En este punto yo estoy a favor de ayudar a que las cosas cambien, no de negar la evidencia.

Sobre este último asunto, el de la ofimática con Microsft Office de por medio, hemos hablado en más de una ocasión por aquí, y la misma cuestión siempre está presente: mientras se derrota o no al enemigo en lo que a aplicaciones y formatos se refiere, ¿valdría la pena contar con Microsoft Office en GNU/Linux (en mi opinión, esa no se la creía ni ‘el Tato’) o, al menos, con una aplicación mucho más compatible, como WPS Office? Mi opinión, de nuevo (esto es un artículo de opinión… por si acaso) es que sí, aun a riesgo de que algunas de esas aplicaciones estrella- quien dice Microsoft Office, dice Photoshop, AutoCAD, etc- pudiesen opacar a sus respectivas alternativas Open Source. Primero, cubrir necesidades; segundo, mejorar lo que necesite ser mejorado.

¿Puedo venir a “quejarme” de las carencias de GNU/Linux sin que se me trate de traidor a la causa? Es algo que me planteo cada ve que me toca -o apetece- escribir sobre alguno de estos temas sensibles. Como el de los juegos. Considero que la llegada de Steam a Linux es decisiva, a pesar de que falta mucho para estar a un nivel aceptable. Y no es el único área con ese problema. ¿Conocéis el fenómeno BYOD? Atentos a este vídeo (cuidado que en la segunda parte sale “el monstruo de los developers“):

Aunque lleva varios días colgado, yo vi ese vídeo, la primera parte, que es publicidad pura y dura, después de publicar la noticia de la seguridad del escritorio Linux, y me planteé qué opinión merecería el mismo en estas páginas. Porque el fenómeno BYOD está imponiéndose un poco a la fuerza, al estar conectados constantemente, al teletrabajo; y el ecosistema creado por Microsoft con Windows, Windows Phone y Microsoft Office 365, lo cierto es que suena bastante interesante, muy especialmente para el usuario profesional.

Así, ¿puedo decir que GNU/Linux o el Open Source necesitan de una alternativa sólida a lo comentado? ¿Puedo decir que, sin entrar en el aspecto técnico, la única iniciativa en este sentido con, valga la redundancia, algo de sentido, es la de Canonical con Ubuntu, Ubuntu Touch y demás? Son preguntas retóricas, pero están ahí para mucho tipo de usuarios. En definitiva, ¿podemos hablar sin prejuicios de las carencias de GNU/Linux? No entiendo a la gente que encuentra en toda crítica un ataque gratuito, y no creo que eso beneficie a ninguna causa.

Para terminar con esto que me ha salido, que no sé muy bien qué es salvo opinión pura y dura (por lo tanto, susceptible de cambio o evolución, como prefiráis), un detalle: conozco varios casos de profesionales que están volviendo de GNU/Linux a Windows debido a una falta de interoperabilidad con sus dispositivos móviles (aplicaciones específicas), y cuando hablamos de dispositivos móviles en España, en un 90%, estamos hablando de Android. Es decir, Android ofrece más valor añadido al usarlo en conjunto con Windows, que con GNU/Linux. ¿Cómo es eso posible? Pues así están las cosas.

Hay que mejorar y masticar las críticas despacio, con detenimiento, y obrar en consecuencia. No hace falta llegar a punto de “el que te quiere te hará llorar”, pero por lo menos sí dudar, ¿no?

Publicado en Software

Football Manager 2014, también para Linux

La próxima versión de este popular y longevo juego de -tomando la descripción de Wikipedia- “gestión futbolística en el que el jugador actúa como de un manager de un equipo de fútbol”, también estará disponible para Linux, informa OMG! Ubuntu!

football manager 500x345Football Manager 2014, también para Linux

Football Manager, desarrollado por Sports Interactive y distribuido actualmente por Sega, es una franquicia que comenzó su andadura hace 20 años, y se espera que su próxima versión, la 2014, aparezca a finales de año.

Así, los jugones más futboleros tendrán la oportunidad de viciarse a este título en su distribución favorita gracias a Steam, donde se podrá adquirir el juego en “modo crossplay”, lo que significa que su compra permitirá jugarlo tanto en Linux como en Windows o Mac OS X sin volver a pasar por caja, además de permitir la conexión multiplataforma entre jugadores.

Comenzamos la semana, pues, con el anuncio de un nuevo juego para nuestro sistema operativo favorito. ¿Legaremos a ver en estas páginas algún día nombres como Call of Duty, Resident Evil o Assassin’s Creed?

Publicado en Software

Más noticias llegaran...

Únete a otros 37 seguidores

Error: Twitter no responde. Por favor, espera unos minutos y actualiza esta página.

agosto 2016
L M X J V S D
« Dic    
1234567
891011121314
15161718192021
22232425262728
293031  
Estadísticas
  • 196,330 VISITAS
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 37 seguidores

A %d blogueros les gusta esto: