Mensajes

Hola, he escrito tu programa en mi ecllipse y en mi consola me sale "Connection refused: connect" como lo puedo solucionar?

Estas seguro de que la IP con la que pruebas existe?
Puede ser que no tenga ni un solo puerto abierto!

Un saludo

Buenas noches!

Tu código es genial, mañana lo añado al índice del foro.

Felicidades, me ha gustado mucho. Es muy sencillo, muy explícito y realmente útil, puesto que explica un concepto "pilar" en este foro.

Un saludo

Se bienvenido al foro de Java de elhacker.net!
F.A.Q.
Como no hacer un post en Java!

Respecto a tu duda (aunque no has preguntado nada ), te recomiendo que te mires el tema de entrada y salida básica con Java. Suponiendo que no vayas ha utilizar interfaz gráfica en tu programa, AWT o Swing, encontrarás todo en las clases System.in y System.out. Si no sabes de qué estoy hablando, te recomiendo que mires entonces declaración y uso de variables.

Es un ejercicio sencillo, no tendrás demasiados problemas para solventarlo

Qué es lo que no sabes hacer exactamente?

Un saludo, compañero!

[Debci's Tertulia]

Buenas noches foreros!
Hoy vengo a plantearos unas cuantas dudas y unos cuantos comentarios sobre ciertos métodos y herramientas como el DNS Spoofing y el ARP Poisoning, a su vez también sobre Ettercap o la suite dsniff.

Debci's Tertulia

En primer lugar, unas cuantas dudas básicas que me rondan la cabeza (las enumero para facilitar su respuesta ):

1-En ocasiones tengo problema para hacer un ataque Mitm, porque por algún motivo, no logro por ejemplo redireccionar mediante DNS Spoofing a la víctima a mi web maliciosa. Con ettercap, una vez todo el proceso esta funcionando, ejecuto el plugin chk_poison y este me dice que el envenenamiento ARP está funcionando y además, en mi própia wlan, me he permitido el lujo de comprobar las tablas mediante:

Código [Seleccionar] Expandir

arp -a
Y puedo observar como mi dirección física se asocia a la del enrutador, es decir que en principio esta funcionando.
Sin embargo al ejecutar el plugin de dns spoof (modificando previamente el fichero etter.dns para hacer las correspondientes redireciones), observo que el equipo víctima se queda sin conexión a internet, es decir, sigue autentificado, pero su navegador no carga ninguna página (cabe mencionar, que mediante el dns spoof estoy redirecionando todas las páginas, marcadas mediante el caracter '*' a mi própio webserver).El webserver malicioso funciona correctamente puesto, que he comprobado que se puede acceder a él desde la máquina víctima y logra infectar como es debido. Que puede estar ocurriendo? Me pasa en muchas redes, pero en concreto en la mía, es quizás por ettercap? Es quizás por el modelo de mi tarjeta de red (creo que soporta modo monitor)?

2-Tras trabajar un poco con otras suite's para sniffing y ataques Mitm diferentes a Ettercap, como por ejemplo dsniff y Wireshark, se me aparecen dos dudas:
2.1-Si consigo hacer funcionar el ARP poison de ettercap, puedo sniffar o hacer el dns spoof con otra suite? supongo que sí no?
2.2-Cuando analizo las trazas de paquetes con wireshark, es dificil distinguir tanta información, se que tiene un completo sistema de filtros, que ya   he tenido el placer de usar en várias ocasiones. Que se supone que debería observar ante un envenenamiento ARP? Que protocolo me lo muestra? ARP? Cuando? Veo muchos paquetes ARP durante el ataque.

3-Exactamente, cuando seleciono en Ettercap o Dsniff las IP's de la gateway y del cliente al que quiero atacar, a que Target (Target 1 o Target 2 según la nomenclatura del programa), corresponde cada una? Lo digo porque en la mayoría de guías, veo que hace seleccionar todos los clientes/IP's de la lan en ambas Targets y quería aclararme al respecto, ya sea que de igual o que de una manera u otra se consigan resultados distintos.

4-Tengo varios filtros para Ettercap preprogramados o sacados de alguna guía tutorial, en concreto uno, que me trae de cabeza, el cual me dispongo a mostraros:

Código [Seleccionar] Expandir

 
############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
  # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

Hace un par de días, en mi casa, me puse a probarlo, como ya he comentado, suponiendo que el ARP Poisoning funcionaba a la perfección y el resto de historias, correctas. Para mi sorpresa, el filtro arrojaba muchos "zapped Accept-Encoding", por lo que entiendo que había sustituido en la cabecera por "Accept-Rubbish!", pero esto me resultaba de poca utilidad, puesto que lo que yo quería era modificar las imagenes o tan solo algo visible. En algunas ocasiones, salía "Filter ran", pero supuestamente afectaba a otro dispositivo de la red (digo supuestamente porque en mi casa somos 5, con móbiles, tablets, mas pc's, consolas), pero no pude determinar dónde. Supongo que funcionó a medias.
La cosa es que yo cargaba alguna página y saltaban los zap's del primer filtro, y por mas imágenes que había no las sustituia y me aseguré de que en las páginas que visitaba existiesen las tags que han de ser substituidas. Debo suponer entonces que es cuestión de equipos? De páginas? De navegadores? O simplemente el ataque no funcionó como debiere?
Intenté buscar también con Wireshark, pero no sabía ni por donde empezar. Puedo ver en los paquetes el código html que me remite el servidor? Yo no lo consigo, por ignorante, por supuesto.

5-Configuración requerida:
Puse el ip_forwading a 1, se necesita algo mas?

6-Tendré mas posibilidades de que mi ataque sea mas certero, si me conecto mediante un enlace físico (el cable de toda la vida) envezde mediante la wlan?

7-He pensado que quizás los filtros que no funcionaban fuesen porque visitase páginas de tráfico seguro (ssl-https), pero visité muchas (o todas) sin ninguna protección. Ssltrip, parece muy sencillo de usar, tanto que no se si lo estoy haciendo correctamente :O

Código [Seleccionar] Expandir

sslstrip -w micaptura.cap
Y una vez en este, en principio el tráfico ssl ya será legible, pero... como busco entre tanta morralla información de valor, como credenciales?

Eso es todo por esta noche, se que es mucho para contestar, pero yo agradezco de ante mano que me hayáis leído.

Un saludo y un abrazo para todos!

El primero ya te lo deja muy claro xD

Dice: Sin embargo, la utilidad de este hallazgo es mu baja. Y luego te dice: 1. Entra como admin xDD

El segundo según lo he entendido es un CSRF. Básicamente tienes que engañar al admin para que visite ese exploit y rezar que este autentificado xD.

PD: Wordpress va por la 3.5.1.. esos son para la 3.3.x.. ya es hora de actualizar

Saludos

Era como sospechaba jaja
Muchas gracias

Hola amigos. Estoy auditando mi servidor, donde tenía instalado un wordpress, que para mi sorpresa ha sido vulnerable a 2 explots distintos, que os listo aquí y os comento el problema:

1-http://packetstormsecurity.com/files/113254
Simplemente, intento recrear la petición que sugieren en el paper con la burpsuite y algo no funciona como debiere. No estoy seguro de si se puede hacer sin tener permisos de administración (vaya cosa no?).Obtengo la siguiente respuesta:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
Request header field is missing ':' separator.<br />
<pre>
wp-settings-time-1=1335371272; wordpress_test_cookie=WP+Cookie+check;</pre>
</p>
</body></html>

SI debo poseer una cookie de admin para hacerlo... que utilidad tiene?

2-http://www.exploit-db.com/exploits/18791/
Tengo que secuestrar un token? No se exactamente como funciona, he estado leyendo y creo que necesito igual permisos de admin sobre el blog.

Alguien puede arrojarme luz sobre el asunto?

Saludos

Mejor explicado:

http://blog.neuronaltraining.net/?p=8615

El problema es que es C++/CLI y ni siquiera me compila. Habrá que investigar al respecto.

Saludos

Hola buenas,

Hasta donde yo sé no existe tal librería, quizás otro usuario te pueda ayudar.
Se bienvenid@ al foro de Java y recuerda leer las normas!

http://foro.elhacker.net/java/como_no_hacer_un_post_sobre_la_tematica_de_java-t298980.0.html
http://foro.elhacker.net/java/reglas_del_foro_iexclleed_todos-t163024.0.html

Saludos

El código HTML que quiero parsear, esta en una String, que viene a ser lo que he especificado. Se que hay que saltar los div's (o quizás no :O) y luego leer el "<a href=....></a>" de forma generalizada, pero ya digo, no se exactamente cómo debo evitar las divs ni luego que expresión utilizar para el a href.
He probado la que deja el compañero de arriba, pero sigue sin dar resultado :O

La expresión solo busca en el div.
Con un parser html (Jsoup), ya he separado los divs de todo el código.

Saludos

Hola amigos

Os traigo una duda que tengo con la librería regexp de Java, mas en concreto, con las expresiones que esta debe buscar a partir del patrón de la cadena.

Tengo varias strings del tipo:

Código (html4strict) [Seleccionar] Expandir


<div class="plist-manufacturer">
<a href="http:\\linkcualquiera">Nombre</a>
</div>

Y lo que necesito es extraer el dato que ocupa el lugar de "Nombre".
Para ello he empezado a trabajar con regexp, pero no logro dar con la expresión que me permita obtener dicho dato:

Código (java) [Seleccionar] Expandir


        Pattern patronAutores = Pattern.compile("<a\\b[^>]*href=\"[^>]*>(.*?)</a>");
        Matcher encontrado = patronAutores.matcher(stringToParse);
        return encontrado.group(1);


Me devuelve que no ha sido encontrado nada...
Alguien tiene idea de cómo podría hacerlo?

Saludos