Mensajes

Hola rt32w, en los foros correspondientes tienes bastante información el los posts fijos para que puedas aprender desde 0. Comentas que te gustaría aprender cracking y seguridad, a continuación te expongo varios links en los que podrás resolver tus dudas. Si tienes dudas nuevas no tienes más que abrir un nuevo tema y de seguro alguien te responderá:

Craking:

https://foro.elhacker.net/ingenieria_inversa/faq_iquesteres_nuevo_aprende_ingenieria_inversa_desde_cero-t345798.0.html

https://foro.elhacker.net/ingenieria_inversa/crackmes_tutoriales-t180720.0.html

Seguridad: En la wiki del foro también podrás encontrar los términos más frecuentes utilizados.

http://wiki.elhacker.net/seguridad

A parte, en el foro de seguridad tienes bastante material para aprender, desde tutoriales hasta herramientas más utilizadas, en estos post tienes suficiente material:

https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Este tema no está term,inado pero se incluyen terminos para aprender la temática:

https://foro.elhacker.net/seguridad/glosario_de_teminos_de_seguridad_elhackernet-t308652.0.html

Espero puedas aprender lo más básico y sus términos.

Saludos.

El 6 de junio se hizo pública la vulnerabilidad CVE-2018-0296 que afecta a la interfaz web de los Cisco ASA (Adaptive Security Appliance) y aunque el fabricante lo describe como una vulnerabilidad que "podría permitir a un atacante remoto no autenticado provocar que el dispositivo se reinicie (DoS) y, en ciertas versiones de software, ver información sensible del sistema sin autenticación mediante el uso de técnicas de path traversal", lo realmente importante es ésto último, la falta de de validación de entrada y control de acceso a algunas URLs:
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=%2bCSCOE%2b"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/"
"/+CSCOE+/logon.html"
...
Sin embargo los polacos de Sekurak lo explican perfectamente en su artículo: "Error description CVE-2018-0296 - bypassing authentication in the Cisco ASA web interface":

ASA organiza sus recursos en dos directorios: /+CSCOU+/ y /+CSCOE+/ . Las subpáginas dentro de /+CSCOE+/ pueden requerir autenticación, mientras que las ubicadas en el medio /+CSCOU+/ autenticación nunca la requieren.

Como se muestra a continuación, si se intenta acceder a cualquier recurso /+CSCOE+/files/file_list.json de manera estándar se nos redireccionará a la página de logon:



Pero si se reemplaza en la petición /+CSCOE+/ por /+CSCOU+/ el resultado es sorprendente:



Así de sencillo. Esa a la manera de eludir la autenticación.

Como veis también, con file_list.json se pueden listar los archivos visibles desde la interfaz web. El catálogo de sesiones parece interesante, y después de entrar a una de esas sesiones, se puede averiguar cuál es el ID de usuario que está asociado, por lo que se puede averiguar fácilmente cual es la contraseña que hay que intentar romper.

Más información:
https://blog.segu-info.com.ar/2018/06/vulnerabilidad-de-path-traversal-en.html

Saludos.

Por normas del foro, no se pueden adjuntar cracks, seriales o keygen.
Te he enviado un mensaje personal.

Saludos.

En los ajustes del panel de control, tienes la opción de crear un nuevo usuario sin restricciones (administrador).
Creas un usuario admin y luego eliminas el de usuario normal. Esto se puede demorar un rato.

Yo lo hice en un Mac con contraseña y me funcionó a la primera.

Saludos.

Los investigadores de ESET descubrieron una nueva familia de RAT de Android (Herramientas de administración remota), que ha estado abusando del protocolo de Telegram para comando y control, y exfiltración de datos.

Investigando lo que al principio parecía ser una actividad incrementada por parte de IRRAT y TeleRAT informados anteriormente, identificamos una familia de malware completamente nueva que se ha extendido desde al menos agosto de 2017. En marzo de 2018, su código fuente se puso a disposición de forma gratuita en Telegram. pirateando canales, y como resultado, cientos de variantes paralelas del malware han estado circulando en la naturaleza.

Una de estas variantes es diferente del resto: a pesar del código fuente disponible libremente, se ofrece a la venta en un canal dedicado de Telegram, comercializado bajo el nombre HeroRat. Está disponible en tres modelos de precios según la funcionalidad, y viene con un canal de video de soporte. No está claro si esta variante se creó a partir del código fuente filtrado, o si es el "original" cuyo código fuente se filtró.

Los atacantes atraen a las víctimas para que descarguen la RAT al difundirla bajo varias apariencias atractivas, a través de tiendas de aplicaciones de terceros, redes sociales y aplicaciones de mensajería. Hemos visto el malware distribuido principalmente en Irán, como aplicaciones que prometen bitcoins gratis, conexiones a internet gratuitas y seguidores adicionales en las redes sociales. El malware no se ha visto en Google Play.



Más información y fuente:

https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/

Saludos.

Hoy me trajeron un portátil con Mac OS, tenía una cuenta de administrador la cual no sabíamos la contraseña.

Lo solucioné de la siguiente manera:
Reiniciar el equipo y seguidamente pulsar las teclas cmd y s

A continuación escribir el siguiente comando:
Mount -uw / y presionar enter

A continuación escribir :
Rm /var/db/.AppleSetUpDone y presionar enter

A continuación escribir:
Shutdown -h now

El portátil se apagará.
Lo volvemos a encender y ahora nos aparecerán los formularios a rellenar como si fuese la primera vez que encendemos el portátil.
Entre otros datos se nos pedirá rellenar de nuevo la contraseña de administrador.
Ahora si quieres puedes eliminar la cuenta de administrador en la cual no tenías la contraseña y listo.

Saludos.

Podrías probar con otra para salir de dudas  .
Me temo que se ta ha dañado la microsd, ya has probado varias cosas sin obtener resultado.
Este tipo de tarjetas no incorporan la pestaña de bloqueo, con lo que no creo que puedas hacer mucho más.

Saludos.

Según la aplicación, sólo podrás ver el nodo o host desde el que se envió el mensaje pero no el destinatario o el origen.

Los atacantes están usando un tipo de archivo engañosamente simple para evitar AV y engañar a los usuarios para que descarguen y ejecuten scripts maliciosos a través de Excel.

Detalles clave:

¿Qué esta pasando?
Las nuevas campañas de spam utilizan archivos adjuntos .iqy para eludir AV e infectar a las víctimas con un troyano de acceso remoto.

¿Qué son los archivos .iqy?
Los archivos de Excel Web Query (.iqy) se utilizan para descargar datos de Internet directamente a Excel. Son extremadamente simples (solo unas pocas líneas de texto), pero también de gran alcance. Los archivos .iqy utilizados en estas campañas descargan un script de PowerShell, que se inicia a través de Excel y pone en marcha una cadena de descargas maliciosas.

¿Cómo se ven los correos electrónicos no deseados?
Actualmente, están disfrazadas como alertas de "factura no pagada", que parecen haber sido enviadas por alguien dentro de la organización de la víctima. Ej .: random.name@victimsdomain.com.

¿Cuál es la carga útil?
Actualmente, un troyano de acceso remoto (RAT) llamado FlawedAmmyy. Basado en el código fuente filtrado para el software de escritorio remoto Ammyy Admin, efectivamente da a los atacantes acceso completo a las máquinas infectadas.

¿Qué hace que esto sea diferente de otros ataques?
Si bien los investigadores ya han escrito sobre el potencial del uso indebido de archivos .iqy, esta puede ser la primera vez que se ve en una importante campaña de spam en la naturaleza. Como resultado, y debido a que los archivos .iqy tienen casos de uso legítimos, están pasando por alto la mayoría de los filtros y AV. La capacidad de estos archivos para abrir Excel y (si los usuarios eligen ignorar las advertencias) descargar cualquier dato de Internet los hace extremadamente peligrosos.

¿Cómo me protege Barkly de estos ataques? A diferencia de las soluciones antivirus, Barkly no se limita a bloquear archivos maliciosos basados ​​en firmas o atributos. También bloquea la actividad sospechosa del sistema y los patrones de proceso. En este caso, se ve a Excel intentando ejecutar cmd.exe para iniciar powershell.exe, y bloquea ese comportamiento antes de que pueda dar lugar a cargas descargadas de Internet.

Se detectó una ola más pequeña posterior el 5 de junio de 2018.

El cuerpo del correo electrónico está en blanco, pero como se explicó anteriormente, el archivo adjunto .iqy es donde las cosas se ponen interesantes.

Como se mencionó, los escáneres AV claramente no están preparados para archivos .iqy. El archivo adjunto incluido en la campaña del 5 de junio tuvo cero detecciones de acuerdo con VirusTotal. Un día después, las detecciones totales aumentaron a solo cinco.

Cuando se abre, el archivo .iqy se inicia a través de Excel (su programa predeterminado) e intenta obtener datos de la URL incluida en el interior. Como señala Jon Wittwer en su explicación de los archivos de Excel Web Query, en su forma básica, un archivo .iqy es increíblemente simplista.

Abierto en el Bloc de notas, el archivo .iqy incluido en la segunda ola de correos electrónicos no deseados, por ejemplo, simplemente se ve así:



Eso es. Con esa instrucción simple, Excel intenta extraer datos de esa URL, que, en este caso, pasa a ser una secuencia de comandos de PowerShell.



El script de PowerShell descarga un segundo archivo de script (1.dat):



Ese script descarga un archivo .xls, que en realidad es un archivo .exe disfrazado. La carga final es FlawedAmmyy, una RAT que tiene una historia de fondo interesante por sí misma.



Creado a partir del código fuente filtrado del popular software de escritorio remoto Ammyy Admin, FlawedAmmyy ofrece a los atacantes muchas de las capacidades que ofrece la herramienta legítima. En otras palabras, esencialmente les otorga a los atacantes acceso completo a las máquinas de las víctimas, lo que les permite robar archivos y credenciales, secuestrar las computadoras para enviar más correos electrónicos no deseados, y más.



Fuente:

https://blog.barkly.com/iqy-file-attack-malware-flawedammyy
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=5032

Saludos.

Una cuenta más bien anónima se comunicó conmigo en Twitter pidiendo ver una muestra "aterradora y realmente desagradable".
Resultó ser RedEye ransomware, una nueva variedad o variante del mismo creador de Annabelle ransomware, que descubrí en febrero a principios de este año.

Este ransomware se llama "RedEye" por el autor "iCoreX".

Lo primero que se nota sobre este archivo es el enorme tamaño del archivo: 35.0 MB (36657152 bytes). Esto se debe a varios archivos multimedia, específicamente imágenes y archivos de audio, integrados en el binario.

Contiene tres archivos ".wav":
child.wav
redeye.wav
suicide.wav
Los tres archivos de audio reproducen un sonido "escalofriante", destinado a asustar al usuario.



Fuente:
https://bartblaze.blogspot.com/2018/06/redeye-ransomware-theres-more-than.html
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=5029

Muestra:
https://www115.zippyshare.com/v/pQucCsqX/file.html
Password: infected

Saludos.