Mensajes

[Brain Waves Technologies: Security in Mind? I Don't Think So]

Estas tecnologías (EEG) se están adoptando en muchas industrias y lo están haciendo de forma insegura.

En este artículo se demuestran cómo en estas tecnologías se pueden explotar fallos convencionales como sniffing o MITM; bugs en software de cliente o incluso Denial of Service en servidores u otras aplicaciones de ondas cerebrales.

Espero les agrade.

Brain Waves Technologies: Security in Mind? I Don't Think So
http://blog.ioactive.com/2016/02/brain-waves-technologies-security-in.html

Saludos.

Me encontré este básico tutorial para analizarlo con strings:

http://www.seguridadapple.com/2010/09/analizando-el-fichero-dsstore.html

Saludos!

Esta es una sencilla práctica de programación en la cual se explica cómo podrías hacer tu propio /bin/ls en el lenguaje de programación C (Bajo *NIX obviamente). Esta práctica hace uso de varias funciones y syscalls conocidas, y para orientarlo a términos de seguridad informática, al final se ejemplifica cómo con unas cuantas líneas de código más esto se puede convertir en una herramienta maliciosa, demostrando así que es relativamente trivial crear hack-tools.

Antes que nada, son necesarios conocimientos básicos sobre el tema, haber utilizado la herramienta /bin/ls (incluida en el paquete GNU coreutils) y tener nociones de programación en C orientada a UNIX.

He agregado comentarios en las líneas de código que lo requieren, espero ser lo más claro posible.

TUTORIAL: http://brainoverflow.org/papers/Crea%20Tu%20Propio%20binls%20con%20Rootkit%20Sorpresa.pdf

CÓDIGO: http://brainoverflow.org/code/e1e-e5e/

// nitr0us

Para quienes son nuevos en fuzzing o se preguntan cómo se encuentran fallos de forma automatizada, les dejo este pequeño paper donde demuestro la importancia del fuzzing inteligente y lo sencillo que es encontrar bugs en parsers de ELF.

Explico siete bugs en software real que encontré con mi última herramienta, melkor fuzzer:
http://packetstormsecurity.com/files/127924/Melkor-ELF-Fuzzer-1.0.html

Espero les guste.

http://blog.ioactive.com/2014/11/elf-parsing-bugs-by-example-with-melkor.html

[White Paper | PDF] http://www.ioactive.com/pdfs/IOActive_ELF_Parsing_with_Melkor.pdf

Saludos ! B-)

Si voten voten !

Pueden ver la presentación del release oficial en BugCon 2010 (29 de octubre).

http://www.brainoverflow.org/presentations/DotDotPwn%20v2.1%20BugCon%202010.pdf

Saludos.

Si voten voten !

Pueden ver la presentación del release oficial en BugCon 2010 (29 de octubre).

http://www.brainoverflow.org/presentations/DotDotPwn%20v2.1%20BugCon%202010.pdf

Saludos.

Web Servers : PHP create_function Code Injection Weakness

Inyección de código en la función create_function(), y en el exploit vemos:

$sort_by=stripslashes($_GET[sort_by]);

User-input = $sort_by

$sort_function = ' return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]); ';

$sort_function incluye $sort_by

usort($databases, create_function('$a, $b', $sort_function));

Entonces, create_function() es llamado con datos del usuario, el cual no sanitiza y lo parasea.

En el exploit viene una forma de usarlo:

# call as test.php?sort_by="]);}phpinfo();/*

Guardas el exploit como test.php y lo llamas como http://0xdeadb33f.gov/test.php?sort_by="]);}phpinfo();/*
Y el resultado debe ser la salida de phpinfo().

Eso es un simple Proof of Concept, en la vida real, debes hacer revisión de código para buscar las llamadas a create_function() y analizar si la función recibe datos de usuario (directa o indirectamente). Si es así, entonces, podrías cambiar tu phpinfo() por un bonit c99 o un r57 (php shells) jeje.

SaluD.o.S

Buenas.

Soy Adikto a la música electrónica... y pues ya llevo tiempo queriendo hacer mis propios Mixes, pero sin tornamesa real, asi que como somos adiktos a las computers también, pues que programa me recomiendan ??  

Con efectos... mezclas y toda la onda, que trabaje con mp3 (la mayoria )... y que los mixes que haga pueda guardalos.

salu2

Sorry.. por mas que busco no lo encuentor en la red.

Pero eso del grabador... pues el micro q tengo no funciona...

En verdad lo necesito.. en cibers pues no se puede, no tienen micro ni modem.

POR FAVOR, ALGUN BROTHER O SISTER BUENA ONDA QUE QUIERA GRABAR EL SONIDITO DEL MODEM POR MI PLEASE ... EN VERDAD SE LOS AGRADECERÉ MUCHO.

salu2

Holas... disculpen

Lo que pasa que necesito el sonido que hace el modem cuando se conecta al isp... si alguien tiene un programa para grabarlo... please, o si alugien lo tiene o alguna url de donde bajarlo.

salu2