Bruteforce Fácil: Hackear WordPress con plugin de Firefox




 Les dejo una breve explicación de DEFACING EN WORDPRESS.
1º.- Esta vez se viene una forma mas fácil de atacar un formulario por medio de fuerza bruta; y es con un plugin para Firefox, este se llama Fireforce y lo pueden bajar de aqui Fireforce:


Bueno, en este momento ya tienes instalado el plugin y ya seleccionaste un password, seguramente estás pensando en que formulario probarlo, yo te recomiendo en alguno de WordPress, por defecto no trae muchas protecciones así que puedes empezar a probar con una instalación de wordpress simple...

Revisando la aplicación:

Para wordpress lo típico es que la página de login sea: wp-login.php, y el usuario administrador por defecto suele ser: admin

Una configuración por defecto te dirá si el usuario es válido o no, he aquí la respuesta cuando te intentas loguear con un usuario inválido:


y el típico login pedírá Username y Password, lo que necesitamos saber es con qué cadena nos responde el servidor cuando una password es inválida...


Como podemos ver aqui, luego de ingresar una password ERRONEA nos devuelve el string: Incorrect Password, ese es el dato que necesitamos para trabajar con FireForce.

Manos a la obra:

Supuestamente tenemos lo mínimo para empezar entonces: Fireforce, diccionario, nombre del usuario administrador: admin y el string cuando la contraseña es erronea. Nos falta algo más? Bueno solo un detalle, WordPress nos dice que cuando la password está vacía: The password field es empty, así que se puede transformar en un falso positivo, por lo que mejor quitar las líneas en blanco de nuestro archivo...


Ahora lo que viene es el ingresar el string cuando la password es incorrecta y el número de consultas por segundo.


Si todo sale bien y la password estaba en el diccionario, nos encontraremos con que nos aparecerá esto:...

miércoles, 16 de mayo de 2012
Publicado por andres 0 comentarios

Google Dork - Contraseñas de facebook con Phishing

Aqui les dejo este espetacular dork, para que lo copie y peguen
y pongan en google, encontraran contraseñas y email de facebook de personas
que han caido utilizando con phishing o pharming.

En Formato txt


intext:charset_test= lsd= locale=en_US ext:txt
martes, 15 de mayo de 2012
Publicado por andres 0 comentarios

Quitar copia de evaluacion del WINRAR





Solo debeis copiar este codigo y guardarlo en C: y donde este el winrar

RAR registration data
Federal Agency for Education
1000000 PC usage license
UID=b621cca9a84bc5deffbf
6412612250ffbf533df6db2dfe8ccc3aae5362c06d54762105357d
5e3b1489e751c76bf6e0640001014be50a52303fed29664b074145
7e567d04159ad8defc3fb6edf32831fd1966f72c21c0c53c02fbbb
2f91cfca671d9c482b11b8ac3281cb21378e85606494da349941fa
e9ee328f12dc73e90b6356b921fbfb8522d6562a6a4b97e8ef6c9f
fb866be1e3826b5aa126a4d2bfe9336ad63003fc0e71c307fc2c60
64416495d4c55a0cc82d402110498da970812063934815d81470829275


lo guardais en el bloc de notas como rarreg.key y listo a tomar por culo¡¡¡¡¡¡¡ la copia de evaluacion


domingo, 13 de mayo de 2012
Publicado por andres 0 comentarios

Como usar Google DoSear contra sitios web alojados en grandes dominios

Panos Ipeirotis, profesor de la Universidad de Nueva York ha descubierto accidentalmente una forma muy sencilla de realizar un ataque DoS a través de los servidores de Google.

Esto podría suponer la disposición de una herramienta muy "destructiva" capaz de generar más de 100 peticiones por segundo y ofrecer a un atacante cierto anonimato.

¿Qué que permite esto?

Pues aparentemente Google utiliza el agente Feedfetcher como recolector de todo tipo de URLs (no sólo feeds) y, como las URLs pueden ser privadas, Google no las cachea porque no puede almacenar datos personales. Esto hace que el crawler se tenga que lanzar periodicamente cada hora, con el añadido de que Feedfetcher ignora el fichero robots.txt. Además Google tampoco puede limitar el tráfico a dominios enormes como s3.amazonaws.com que tienen terabytes de contenido web, por lo que un ataque a un sitio alojado en Amazon o un gran dominio de Internet sería posible.

¿Y cual es la técnica para realizar el ataque?
Panos explica un sencillo procedimiento para utilizar a Google como medio para atacar a otros sitios:

1.- Conseguir un gran número de URLs del sitio web objetivo. Preferiblemente URLs con ficheros grandes (jpg, pdf, etc.)
2.- Poner las URLs en un feed de Google Reader, o dentro de una hoja de cálculo (Google spreadsheet) en Docs
3.- Poner el feed dentro de un servicio de Google, o usar el comando image(url) en Google spreadsheet
4.- Sentarse y ver como Google lanza un ataque de denegación de servicio contra el objetivo

En conclusión, no importa cuan nobles sean las intenciones por las que se crea una herramienta, si esta mal diseñada o es susceptible a explotar cualquier mínimo fallo puede convertirse en una herramienta altamente destructiva.

Podéis leer el caso en detalle en el post de Panos Ipeirotis: http://www.behind-the-enemy-lines.com/2012/04/google-attack-how-i-self-attacked.html

FUENTE: hackplayers
sábado, 12 de mayo de 2012
Publicado por andres 0 comentarios

Bajar vídeos de cualquier web con Firefox


  Encontre una  programa que permita descargar videos desde stage6 desde otro enlace.
Aquí es donde aparece Unplug. Unplug es un plugin capaz de encontrar audio o video incluido (embebido) en una web y proporcionarnos sus enlaces de descarga. Es un plugin que funciona con cualquier sistema de vídeo o audio, lo que significa que tan pronto podemos usarlo para Stage6, como para YouTube, Metacafe…
Requisitos tener Firefox (Ese gran navegador, seguro y lleno de plugins para hacernos la vida sencilla). Una vez instalado en la parte superior derecha de la pantalla veremos el logotipo de Unplug (el pez verde) y pinchando él hará todo por nosotros. Pincha en la siguiente imagen para verlo en grande:
unplug.png


viernes, 11 de mayo de 2012
Publicado por andres 0 comentarios

iJAVA Drive-Generator v2.5.1 y tutorial

Aquí les voy a dejar el nuevo Java Fake v2.5.1 con panel de admin.
Versión limpia e indetectable hasta el momento.
Imagen
Bueno comencemos: descargamos el archivo (la descarga abajo)
ejecutamos iJAVA v2.5.1. Drive-by Generator.
Imagen
Imagen
Una vez que ejecutó vamos a seleccionar el metodo; en este caso HTML o JAR.
Yo elegí HTLM
En opciones del theme colocan su pagina fake.
En drop option seleccionamos donde bajará el archivo (Server).
Lo pueden subir aquí: http://consumervideoreviews.net/
En general option ingresamos la ruta del servidor.
En advanced option encriptan la pagina fake.
En redirect option pueden redirigir al ejecutar el java fake o al cancelarlo.
Luego generate now y listo.
Solo falta subirlo a su servidor.
Imagen






 DESCARGAR

FUENTE:indetectables.net
jueves, 10 de mayo de 2012
Publicado por andres 0 comentarios

Incrementar potencia WIFI de un portatil sin antena

En este caso les traigo un pequeño truco para incrementar la potencia de la señal de interfaces inalambricas.
Lo que tenemos que hacer es ir a Inicio > Panel de control > Sistema

Vamos a la pestaña Hardware como muestra la imagen y a continuacion entramos a el Administrador de Dispositivos.

En la lista de controladores, desplegamos el que se llama Administradores de Red.
Veremos seguramente dos controladores, como muestra la imagen. 
Al que dice Wireless, lo clickeamos con el otro boton del mouse y vamos a Propiedades.

Nos dirigimos a las Opciones Avanzadas y al que dice Power Level lo incrementamos al 100%
Puede haber una alternativa, y en lugar de decir Power Level, dice algo de Ahorro de energia que en su defecto seria algo similar.

Espero que les sirva!
miércoles, 9 de mayo de 2012
Publicado por andres 2 comentarios
 
VEN © Creative Commons 2010 | Plantilla Quo creada por Ciudad Blogger