Sec-Track

After a short and intense setup, we are ready to present the Offsec Exploit Archive. We’ve recreated the milw0rm database, updated it and are now accepting submissions. The purpose of the site is to provide researchers and security enthusiasts a repository of exploits, and when possible, the relevant affected software. We’ve started the party by posting a few new exploits of our own – namely a Novell eDirectory 8.8 SP5 iConsole Buffer overflow exploit and a HP Power Manager Administration Universal Buffer Overflow Exploit.

Test de Penetración, Tools

Desarrollo del Entorno De-Ice nivel I – Escalada de Privilegios y Revelación de Información Crítica

Posted by S3cTr4ck On November - 16 - 2009

Sorry, this entry is only available in Español.

Test de Penetración

Desarrollo del Entorno De-Ice nivel I – Recolección de Información / Enumeración de usuarios

Posted by S3cTr4ck On November - 9 - 2009

Una vez identificada la información correspondiente al mapa de red, aplicaciones y servicios disponibles en el sistema objetivo. Podemos comenzar con la recolección de información sensible o de interés para posibles ataques.

Se hace necesario realizar varios tipos de test; entre ellos un escaneo de directorios y archivos (árbol de directorios del aplicativo web), pruebas de conexión a los diferentes servicios, etc. Todos estos procedimientos son detallados en las metodologías ISSAF y OSSTMM.

Read the rest of this entry »

Test de Penetración

Recopilación de Diccionarios para Auditorías a Contraseñas (Brute Force)

Posted by S3cTr4ck On November - 8 - 2009

El siguiente es un listado a modo recopilatorio de diccionarios publicados en diferentes sitios web. La finalidad de este es ofrecer a los usuarios del proyecto Sec-Track una base de datos de posibles contraseñas para los diferentes entornos y retos que se van publicando en la Web.

¿Conoces y/o tienes otros diccionarios que quieras compartir?

Tools

Metodología: NIST SP 800-42

Posted by S3cTr4ck On November - 7 - 2009

NIST (National Institute of Standards and Technology) Special Publication 800-42 es una línea guía de recomendaciones en pruebas (Testing) de la seguridad de la información.

Entre su contenido se destaca lo siguiente:

System Development Life Cycle
Documenting Security Testing Results
Senior IT Management/Chief Information Officer
System and Network Administrators
Roles and Responsibilities for Testing
Network Scanning
Vulnerability Scanning
Password Cracking
Log Reviews
File Integrity Checkers
Virus Detectors
Wireless LAN Testing
Penetration Testing

Más información sobre la metodología NIST SP 800-42>>

Descargar Metodología NIST SP 800-42 >>

Documentos, Test de Penetración

Penetration Testing Framework

Posted by S3cTr4ck On November - 7 - 2009

Penetration Testing Framework es un entorno para la realización de Test de Penetración. En este se describen/definen las etapas involucradas en un Pen-Test y una recopilación de herramientas necesarias para el cumplimiento del mismo.

Entre las etapas podemos encontrar las siguientes:

Network Footprinting (Reconnaissance)
Authoratitive Bodies
Internet Search
Metadata Search
Social/ Business Networks
DNS Record Retrieval from publically available servers
Social Engineering
Dumpster Diving
Web Site copy
Discovery & Probing
Default Port Lists
Enumeration tools and techniques
Active Hosts
Service Probing
Banner Grabbing
ICMP Responses
Source Port Scans
Firewall Assessment
Enumeration
Fingerprint server/ service
DNS Enumeration
Web Directory enumeration
Vulnerability Assessment
Method Testing
Vulnerability Scanners
Examine configuration files
Exploit Frameworks
Privilege Escalation
Current Level of access
Access passwords
SQL injection
Password cracking
Bluetooth Specific Testing
Penetration
Wireless Penetration
Physical Security

Entre las herramientas a utilizar:

Netcraft
Robtex
Maltego
Sam Spade
Google
FOCA
VMWare
Httcrack
Nmap
Netcat
Amap
Xprobe2
Hping
Unicornscan
Fping
Firewalk
Scanssh
Hydra
Brutus
Firecat
Httprint
Nikto
Dirbuster
Cadaver
W3AF
GrendelScan
JoomlaScan
Paros
WebScarab
Cain & Abel
LDAP_Brute.pl
Repscan
TSGrinder
VNCrack
Ophcrack
Medusa
SARA
Nessus
Xscan
Metasploit

Más información / Página Oficial de Penetration Testing Framework >>

Descargar Penetration Testing Framework >>

Documentos, Test de Penetración

Video tutorial: Identificación / Conectividad de Sistemas con Nmap

Posted by S3cTr4ck On November - 7 - 2009

Una vez realizada la introducción sobre la herramienta Nmap en el video anterior, podemos comenzar a interactuar con esta. Nada mejor que comenzar por la etapa de identificación y reconocimiento del/los sistemas, tanto desde su conectividad como automatización del proceso, además de los puertos abiertos en el sistema.