Sí, soy un delincuente.

Mi delito es la curiosidad. Mi delito es juzgar a la

gente por lo que dice y por lo que piensa, no por lo
que parece. Mi delito es ser más inteligente que
vosotros, algo que nunca me perdonaréis. Soy un
hacker, y éste es mi manifiesto. Podéis eliminar a
algunos de nosotros, pero no a todos... después de
todo, somos todos iguales." THE MENTOR

5 Heramientas útiles en Penetration Testing para Aplicaciones Web

En esta entrada les presento una selección de (a mi criterio) diez herramientas muy útiles para la
realización de tests de penetración (Pen Testing) sobre aplicaciones web.
Está claro que existen muchísimas y para todo tipo de tests, es por eso que un consultor debe identificar
de antemano el tipo de trabajo a realizar y de ese modo seleccionar las mejores herramientas para llevar
adelante el “engagement”. Algunas herramientas son gratuitas y de código abierto, otras de pago y
propietarias, pero en ambos casos, igual de potentes.

Mas adelante hablaré sobre las fases de un Pen Testing y utilización de algunas herramientas
mencionadas en este post.

Ok, pasemos a la lista de aplicaciones. Quiero destacar que el orden en el que aparecen NO
determinan su importancia o preferencia, no es un “Top five” de herramientas mas usadas, sino la
presentación de algunas que son muy útiles para el trabajo de un consultor.
1- Burp Suite (http://portswigger.net/)
Sin dudas, una de mis predilectas. Burp Suite es una excelente plataforma para PenTest y seguridad en
sitios web. Esta herramienta posee muy buenas características como:

 Intercept Proxy
 Spider (para hacer “crawling”)
 Detección automática de vulnerabilidades
 Herramienta de repetición
 Posibilidad de escribir plugins propios
2- Acunetix – Scaner para vulnerabilidades web (http://acunetix.com)
Potente herramienta para MS Windows que detecta un gran número de vulnerabilidades, entre ellas
Cross-Site Scripting, SQL Injection, CRLF injection, Code execution, Directory Traversal, File
inclusion, busca vulnerabilidades en formularios de subida de archivos (file upload) y muchísimas mas.

Además, cuenta con un scaner de puertos propio integrado, que si bien no reemplaza a nmap (nmap.org)
muesta un estado general de puertos que están expuestos. También posee diversas herramientas
independientes para realizar tareas específicas como HTTP Fuzzer, HTTP Editor, Authentication Tester,
etc.
Es destacable también la posibilidad de guardar en una base de datos los resultados como así tambien
exportarlos en el formato deseado y por sobre todo eso, la posibilidad de generar completos y detallados
reportes de un gran nivel.

3- SQLmap (http://sqlmap.sourceforge.net/)
Desarrollada por Bernardo Damele (co-worker en mi paso por NGS Secure) y Miroslav Stampar,
SQLmap es una herramienta que ningún auditor de aplicaciones web debe prescindir.
Se trata de una
herramienta Open Source
y gratuita basada en línea
de comandos que
automatiza la detección y
explotación de
vulnerabilidades SQL
Injection y extracción de
información de bases de
datos.

Actualmente soporta:

 MySQL
 Oracle
 PostgreSQL
 Microsoft SQL Server
También soporta parcialmente otras DBs como:

 Microsoft Access
 DB2
 Informix
 Sybase
 Interbase
4- WhatWeb (http://www.morningstarsecurity.com/research/whatweb)
Esta herrmienta es útil para uno de los primeros pasos en una auditoría o PenTesting, la recolección de
información (o “Information Gathering”) ya que permite identificar si el “target” utiliza algun Content
Manager (CMS), plataforma de Blog, Servidores, Javascipts, etc…
Soporta gran cantidad de plugins y la ayuda es bastante clara, ofreciendo ejemplos de sintaxis, etc.

Recomendable para el trabajo previo de reconocimiento de lo que se va a testear.

5- Nessus (http://tenable.com)
Al igual que Burp Suite, Nessus desde hace tiempo forma parte de mi set de herramientas automáticas
que es utilizable en la mayoría de trabajos de auditorías.

Si bien Nessus está orientada a un uso mas extensivo en materia de tests (es decir, redes amplias, gran
cantidad de dispositivos, etc) también es muy útil para realizar PenTesting a aplicaciones web
habilitando y configurando los módulos correctos.
La recientemente liberada versión 5 trae muchas mejoras respecto a sus antecesoras, recomiendo
leer este link para descubrir las mejoras mas notables.
Subterfurge. Extracción de contraseñas.
mayo 6, 2013 / Manuel Camacho / No comments

No hace mucho publicamos un artículo que hablaba del Websploit. El cual conseguia hacerse con credenciales de
acceso de facebook, twitter, o lo que se pusiera por medio, estando conectado a la misma red.

Hoy traemos otra utilidad muy similar, con interfaz gráfica, y bastante potente. Si bien hemos utilizado bastante
menos esta herramienta para testear nuestras conexiones en nuestra LAN si que lo poco que lo hemos hecho, ha
dado buenos resultados.

Se trata de la herramienta Subterfurge. Esta herramienta nos permite hacer un MITM (Man-in-the-middle). Nos
ahorrará tiempo en el caso de probarla para realizar un pentest a nuestra red.

Os recordamos que esto es solo educativo y únicamente debéis probarlo en redes de vuestra propiedad, ya que de
lo contrario estaríais incurriendo en un delito.

Es otra alternativa a las muchas que hay para testear tus propias redes, y observar en que punto son vulnerables.

Para comenzar basta con hacer clic aquí y se nos abrirá la ventana de descarga directa al sitio Web del proyecto.

Una vez descargado procedemos a extraerlo. Aquí suele haber ciertas dudas de “¿cómo se extraía por comandos?”
Pues bien, yendo a donde esté el fichero descargado “.tar.gz” y escribir lo siguiente:

tar xfvz SubterfugePublicBeta5.0.tar.gz

El nombre SubterfugePublicBeta5.0.tar.gz puede variar dependiendo si ha salido o no nueva versión. una vez
extraido basta con ejecutar la orden:

./install.py
Una vez realizado esto, entrando en el directorio(aunque se supone que debemos estar dentro) ejecutamos
“subterfuge”. Si todo va bien veremos un mensaje como este:

Ahora nos iremos a nuestro navegador y poniendo en nuestra barra de direcciones 127.0.0.1 estaremos ya dentro de
la interfaz Web del programa. Algo parecido a esto:

En esta pantalla saldrían supuestamente el usuario y contraseña de los diferentes sitios atacados(siempre propios).
Clicando en Modules tendremos acceso a los diferentes ataques. Mejor os mostramos una captura.

A partir de aquí, podremos seleccionar el modo que queramos. El programa se encargará de recopilar información.

La primera opción Network View escanea la red en busca de los equipos que están conectados a tu red, reflejando a
que son sensibles de atacar.

A partir de ahí, solo queda esperar ya que es posible que los sistemas atacados estén protegidos, pero lo normal es
que no.

De seguir adelante el ataque veríamos usuario y contraseña de diferentes servicios, y podemos verificarlo usando
nuestras cuentas facebook, twitter, etc..

Otra utilidad más para poner a prueba la seguridad de nuestros equipos, algo que hasta ahora era desconocido, y
propio de películas pero que en los últimos años está floreciendo entre los usuarios mas comunes hasta las empresas.

- See more at: http://hacking-etico.com/2013/05/06/subterfurge-extraccion-de-

contrasenas/#sthash.Muxwanh4.dpuf