Como bien hemos mostrado por Twitter, el equipo de AllPentesting ha tenido el placer de impartir el primer módulo en C1b3rWall Academy. Mas concretamente nuestro CEO Eduardo Sánchez (@edusatoe) junto a Rafael Sojo (@RaSr98) y Rafael López (@RafaLPeC).

Hemos tenido el placer de impartir el módulo 1 de #C1b3rWallAcademy @C1b3rWall donde hemos explicado diferentes herramientas:
Buscador Carrot2: https://t.co/oztZdF0ORR
Buscador de correos: https://t.co/pJFWq8bCwU
Comprobar correos comprometidos: https://t.co/Ioq8KTUtzw pic.twitter.com/0sOPsPGrLX

— AllPentesting (@AllPentesting) July 9, 2020

Este módulo ha estado divido en 4 partes donde hemos estado explicando y enseñando diferentes aspectos de la Ciberseguridad a modo de introducción. Las partes de los módulos han sido las siguientes:

1 – Uso de recursos de Internet con OSINT

En este módulo hemos visto como encontrar información usando OSINT. Para ello se utilizan herramientas como:

• Google (Operadores de búsqueda)
  • «palabra» : Entrecomillar texto para búsqueda exacta
  • -palabra: Operador – (menos) para quitar una palabra de la búsqueda
  • +palabra: Operador + (mas) para forzar una palabra en la búsqueda
• Carrot2 (https://search.carrot2.org): Información separada por temas (topics)
• Hunter (https://hunter.io): Web y extensión de Chrome para búsqueda de emails dentro de un dominio.
• Comprobar correos comprometidos o búsqueda de credenciales en Leaks
  • https://haveibeenpwned.com
  • https://dehashed.com
  • (Búsqueda en Google): site:pastebin.com «gmail.com»
  • http://pwndb2am4tzkvold.onion (Accesible sólo por Tor)
  • H8mail https://github.com/khast3x/h8mail (Para automatizar el buscar en diferentes servicios)
  • Foros como https://raidforums.com/
• Información sobre dominios o IPs
  • DomainTools (http://whois.domaintools.com/)
  • Robtex (https://www.robtex.com/)
  • NIC de cada país, en España https://dominios.es/
  • Maxmind (https://maxmind.com): Geolocalización de una IP
  • IPLocation (https://iplocation.net): Geolocalización de una IP
  • Shodan (https://www.shodan.io/): Búsqueda de información acerca de IPs
• Para ver web antigua o cambiada
  • WayBack Machine / Archive (https://archive.org/web/)
  • Caché en los buscadores (Se puede intentar consultar directamente en los resultados del buscador o en http://cachedview.com/)
• OSRFramework
  • Módulo para automatizar búsqueda de emails (mailfy)
  • Módulo para encontrar información de un número de teléfono (phonefy)
  • Módulo para buscar un nombre de usuario (usufy)
  • Módulo para encontrar perfiles en RRSS con un nombre como entrada (searchfy)
• Buzón de correo electrónico temporal
  • https://www.mailinator.com/ (Sólo recibir)
  • https://temp-mail.org/en/ (Sólo recibir)
  • https://www.guerrillamail.com/es/ (Recibir y enviar mails)
• Información de una imagen
  • Búsqueda en buscadores (Google, Bing, Yandex…)
  • TinEye (https://tineye.com/): Buscador especializado en búsqueda inversa de imágenes
• Protección usando VPNs
  • F-Secure Freedome (https://www.f-secure.com/es/home/products/freedome)
  • UltraSurf (https://ultrasurf.us/)
  • Windscribe (https://windscribe.com/)
  • Opera (Ya trae una VPN integrada)

2 – Aprendiendo hacking con CTF

En esta parte hemos visto las distintas disciplinas que podríamos encontrar en un CTF, que son Criptografía, esteganografía, Análisis Forense, Análisis de Redes, Hacking Web, Programación, Reversing, Exploiting, OSINT, o Miscelánea (Contenido variado).

Además, también vimos que podemos clasificar los CTFs en tres categorias: Jeopardy, Ataque y Defensa y Mixto.

Para crear un CTF se pueden usar plataformas tales como:

• Facebook CTF (https://github.com/facebookarchive/fbctf)
• Mellivora (https://github.com/Nakiami/mellivora)
• CTFd (https://github.com/CTFd/CTFd)

Para practicar hay una multitud de plataformas, las más conocidas son:

• HackTheBox (https://www.hackthebox.eu/) Tienen máquinas además de retos de CTF
• Root-me (https://www.root-me.org/)Tienen máquinas además de retos de CTF
• Hack-me (https://hack.me/)
• Atenea (https://atenea.ccn-cert.cni.es/) Plataforma creada por el CCN-CERT. Tiene retos además de una «academia» para aprender sobre distintas disciplinas.

Algunas de las herramientas que más se usan para criptografía son:

• CyberChef (https://gchq.github.io/CyberChef/): Herramienta multiusos muy útil
• Hashes (https://hashes.org/): Para «crackear» hashes
• Hashkiller (https://hashkiller.io/) Para «crackear» hashes
• dCode (https://www.dcode.fr/): Para descifrar multitud de cifrados online

Para esteganografía alguno de los recursos que podemos usar son:

• Lista de cabeceras de ficheros https://en.wikipedia.org/wiki/List_of_file_signatures
• Editor hexadecimal como Ghex o HxD
• Comando strings en sistemas Linux
• Editores de imágenes como Gimp, Photoshop… para buscar cosas ocultas en fotografías.
• DeepSound (http://jpinsoft.net/deepsound) ocultar información en sonido

En la parte de forense hemos visto los distintos tipos de retos o evidencias desde las cuales empezamos, que suelen ser capturas de RAM y/o imágenes de un disco duro.

Para análisis de RAM podemos usar Volatility y ayudarnos de la wiki oficial o algún cheatsheet como el creado por SANS.

Para analizar una imagen de disco podemos utilizar Autopsy. Para montar una imagen en nuestro ordenador se puede hacer con la herramienta FTKImager u otra similar.

Para hacking web podemos utilizar herramientas como el proxy inverso Burpsuite, curl o incluso las herramientas de desarrollo que incluyen todos los navegadores.

3 – Escaneando mi red como hacker ético

En esta parte hemos aprendido cosas y términos básicos del hacking como los objetivos de la Seguridad Informática, los nombres de los diferentes tipos de amenazas más comes (phishing, malware, backdoors…), ciclo de vida de un Pentesting (Planificación, footprinting, fingerprinting, explotación e informes), los tipos de auditorías (Caja blanca y caja negra).

Para el hacking podemos utilizar distribuciones de Linux ya preparadas para hacking como Kali Linux o ParrotOS.

También vimos la principal herramienta utilizada para escanear los distintos puertos de un IP: nmap. Además también vimos algún ejemplo de los scripts de nmap (nse).

Explicamos qué es y como usar un programa para escaneao de vulnerabilidades muy conocido: Nessus. Por último, para explotar las vulnerabilidades que encontremos, podemos usar el famoso framework Metasploit.

4 – Fallos de seguridad en mi web

En esta última parte mostramos las principales vulnerabilidades que encontramos en las webs, así como un poco de teoría sobre como funcionan las webs. En esta teoría explicamos algunas prácticas de desarrollo seguro a la hora de hacer una web, como las siguientes:

• Modelado de Amenazas: determinar activos y evaluar los riesgos.
• Seguridad simple: modelar una estructura de seguridad simple.
• Defensa en Profundidad: tener varias capas de seguridad por si una falla.
• Menor privilegio: cada usuarios tiene que tener los mínimos privilegios posibles.
• Seguridad Positiva: hacer uso de listas blancas.
• Fallar de forma seguridad: controlar los fallos y no dar información a los atacantes.

También vimos el proyecto OWASP el cual nos establece cuales son las pautas o puntos que debemos verificar en una web.

Para parar e interceptar peticiones, vimos el proxy inverso ZAP Proxy así como Burpsuite. Para descubrir directorios y ficheros usamos herramientas como gobuster y dirbuster

Por último, vimos las vulnerabilidades más comunes así como ejemplos de las mismas. Para practicar y mostrar los ejemplos utilizamos DVWA. Las vulnerabilidades que vimos son las siguientes:

• XSS (Reflejado y almacenado).
• RFI (Remote File Inclusion)
• LFI (Local File Inclusion)
• SQL Injection (SQLi) y su explotación manualmente y con sqlmap.
• RCE (Remote Command Execution)

Si quieres seguir informado, no olvides seguirnos en nuestras Redes Sociales:

Twitter
LinkedIn
Facebook
Instagram