Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - kelevrah

#1
Hacking / Re: Ataque WEB
21 Mayo 2010, 23:27 PM
hola compañero! para realizar rastreos de vulnerabilidades tienes diferentes opciones, como el sss, openvas o el nessus.

El "Rey" es el nessus, previamente tendras que instal·lar-lo, en este post http://www.technoblog.com.ar/index.php/2010/01/como-instalar-nessus-en-ubuntu-9-10/comment-page-1/#comment-422 te explica claramente como instal·lar-lo en un ubuntu 10.4 LTS.


de todas maneras estos rastreadores son generales, creo que hay rastreadores de vulnerabilidades especificos para webs. ;)

Saludos
#2
Entonces no es nada limpio hacer eso.....

el hijacking ssh se refiere a poder modificar sessiones SSH entre el cliente i el servidor?

Hay alguna manera possible de interceptar esas contrassenyas? 

P.D: a bote pronto y de manera aún mas lammer se me ocurre hacer un falso SSH, que el clienet se pensara que tu eras el servidor i  que lo que hiciera seria guardar en su interior la contrassenya i el usuario....y que le diera un error i no entrara xD.

#3
Ando un poco perdido en este tema... Queria preguntar si era possible esnifar una contrassenya SSH v2.

He probado con Arspoof envenenando las arp del cliente i servidor para que crean que jo soy la puerta de enlace.

Luego he encendido el sshow y puedo ver si se conecta de manera correcta, si no, cosas así sobre la connexión SSH, pero nada de contrassenyas....

He visto que el sshmitm puede capturar contrasenyas del SSH V1 pero no de V2....

i investigando un poco he visto que hay algo llamdo "Atack downgrade SSH V2 a V1" que lo que aparantemente hace es forzar a que haga la connexion a partir del ssh v1, asin poder snifar la contraseya.... (nose si funciona).

Mis preguntas son, es possible robar una contrassenya SSH v2?
Porque no la puedo cojer?  creo que ssh no cifra hasta que se establece la connexion, o sea que si el admistrador accepta mi fingerprints entraria en mi maquina...i podria esnifarla? xD

voy un poco perdido.... espero respuestas. Gracias

(supongo que este tema estara explotado, pero si lo consigo hare una especie de "manual" conforme jo lo hize ;) )


#4
Zend Estudio :silbar: