Kali Linux 2.0 – poznaj programy hakerskie…

Dzisiaj przedstawimy Tobie w przystępny sposób darmowe narzędzia hakerskie dostępne w systemie operacyjnym Kali Linux 2.0. Hierarchia aplikacji od czasów bardzo popularnego kiedyś systemu BackTrack Linux nieco się zmieniła. W obecnej dystrybucji wszystkie programy zostały posegregowane w 12 ogólnych kategoriach. Niektóre sekcje posiadają dodatkowe podkategorie segregujące aplikacje.

Zwróć uwagę na wersję swojego systemu dla hakerów, ponieważ odmienne edycje posiadają różną ilość aplikacji. Przykładem może być Kali Linux 2016.1 w wersji Light. Zajmuje ona jedynie 800 megabajtów na dysku twardym, jednak jest pozbawiona praktycznie całkowicie wszystkich narzędzi pentesterskich. Ta dystrybucja dedykowana jest dla osób, które lubią dostosowywać system operacyjny całkowicie pod siebie. W dzisiejszym artykule demonstrujemy aplikacje zawarte przez autorów w pełnej wersji systemu. Czytaj więcej

Msfcli w Kali Linux 2.0

W jednym z poprzednich wpisów tworzenie payload z pomocą msfvenom wykorzystaliśmy specjalną aplikacje Metasploit Framework o nazwie msfcli. Służy ona do wykonywania złożonych poleceń pakietu za pomocą jednej komendy terminala Linux. Niestety w najnowszej wersji systemu Kali Linux i pakietu Metasploit aplikacja ta została oznaczona jako przestarzała i wycofana. W taki sam sposób kiedyś narzędzia msfpayload i msfencode zostały połączone w jedność o nazwie msfvenom.

Na szczęście autorzy pakietu narzędzi dla hakerów nie zrezygnowali całkowicie z pracy z nim właśnie w ten sposób. Dzisiaj zaprezentujemy trzy ciekawe sposoby na wykonywanie swoich skryptów w sposób zautomatyzowany podobny do konsoli msfcli. Na końcu tego poradnika zamieściliśmy film dotyczący poprzedniego wpisu o exploitach w PDF w której prezentujemy dzisiejszą prostą sztuczkę. Czytaj więcej

Jak włączyć kamerkę w laptopie za pomocą exploita PDF

Jeśli zastanawiasz się jak włączyć kamerkę w laptopie po cichu i czy zdalne podglądanie kobiet i dziewczyn jest możliwe, to dzisiaj odpowiemy na to pytanie. Oczywiście ten wstęp to w pewnym sensie sarkazm z naszej strony. Chcemy tylko zaprezentować jak w prosty sposób zły haker może stworzyć z Twojego laptopa kamerę szpiegowską wykorzystując lukę w Adobe Reader.

Do utworzenia ukrytej kamery wykorzystamy najprostszy sposób, czyli system operacyjny Kali Linux 2.0 i pakiet Metasploit Framework. Wykorzystamy do tego PDF exploit, czyli złośliwy dokument PDF z podczepionym malware. Umożliwia on zarówno nagrywanie wideo, jak i wykonywanie potajemnie zdjęć i zrzutów ekranu systemu operacyjnego, ale nie tylko… Oczywiście poradnik można również wykorzystać w stosunku do standardowych zewnętrznych urządzeń nagrywających pod port USB jak i do komputerów bez kamery (inna funkcjonalność Meterpretera np. keylogger). Czytaj więcej

ProxyChains – czyli anonimowość i sieć Tor w systemie Kali Linux

Na pewno nie muszę Ciebie przekonywać jak ważne są aspekty anonimowości w sieci Internet. Ostatnio dostaliśmy od jednego z czytelników pytanie o użytkowanie sieci Tor w systemie Kali Linux i zaproponowaliśmy narzędzie ProxyChains

Więc dzisiaj powiemy jak najprościej wykorzystać sieć cebulkową w Kalim. Tak naprawdę sprawa jest bardzo prosta i istnieje pewne sprytne narzędzie hakerskie, za pomocą którego możesz używać wszystkich swoich narzędzi sieciowych z wykorzystaniem anonimowej sieci cebulkowej Tor.

Za pomocą programu ProxyChains możesz wykorzystać protokół pośredniczący proxy TCP o nazwie SOCKS. Oczywiście jego możliwości nie ograniczają Ciebie tylko do przeglądania stron internetowych za pomocą protokołu HTTP tak jak w przypadku pakietu Tor Browser. Czytaj więcej

Firewall w cmd, czyli narzędzie netsh w akcji!

W dzisiejszym krótkim wpisie ciekawostka, która może się niektórym przydać. Czy wiesz że w systemie Windows można zarządzać swoją zaporą sieciową z poziomu wiersza poleceń (cmd.exe) za pomocą komendy netsh firewall? Systemowe narzędzie firewall cmd nie odbiega za bardzo możliwościami od funkcji dostępnych w panelu sterowania. Polecenie jest bardzo przydatne dla administratorów systemów z rodziny Microsoft Windows. Jak pewnie niektórzy wiedzą w Linuksach często używa się do tego celu programu iptables.

Możliwości polecenia netsh na tym się nie kończą, ponieważ udostępnia ono cały arsenał funkcjonalności związanych z sieciami komputerowymi w systemie operacyjnym Microsoft Windows. W stosunku do poleceń dotyczących samego firewalla, możesz dodawać i usuwać nowe reguły do zapory systemu Windows niczym z poziomu panelu sterowania swojego systemu.

Nie zabrakło również w narzędziu netsh możliwości wyświetlania obecnej konfiguracji wyjątków firewalla systemowego jak i ich całkowitego resetowania. Czytaj więcej

Nietypowy atak SQL Injection w skrypcie dla hakerów DVWA

Podczas naszego kursu dla początkujących hakerów Web Application Penetration, zaprezentowaliśmy wszystkie dostępne na pierwszy rzut oka podatności występujące w poszczególnych lekcjach oprogramowania webowego Damn Vulnerable Web Application.

Jeśli oglądałeś uważnie nasze materiały wideo, pewnie zauważyłeś że skaner podatności Vega wykrył podatność typu SQL Injection w module prezentującym formularz logowania podatny na atak na hasła metodą słownikową lub brute-force.

Dzisiaj będzie bardzo krótko i na temat. Pokażemy Tobie na przykładzie wykorzystanie wstrzykiwania zapytań tzn. SQL Injection do obejścia mechanizmów logowania witryny internetowej. Czyli w uproszczeniu mówiąc, tym razem nie będziemy wyciągać żadnych informacji z bazy danych a logować się bez znajomości i łamania hasła. Czytaj więcej

#24 Koniec kursu Web Application Pentesting!

Wszystko co dobre musi się kiedyś skończyć. To już niestety ostatnia 24 lekcja naszego szkolenia Web Application Pentesting z skryptem DVWA. Fajnie że z nami byłeś, ale żeby wiedza nie poszła na marne musisz działać dalej we własnym zakresie hakerze! 🙂

Dzisiaj opowiadamy Tobie co o tym co dalej możesz działać w kierunku nauki audytowania bezpieczeństwa aplikacji webowych.

Podsumowując cały dzisiejszy nasz film na YouTube w jednym zdaniu: musisz trenować, czytać, trenować, czytać i jeszcze raz trenować i czytać. Materiałów w sieci jest pod dostatkiem. Wystarczy, że ich poszukasz.
Czytaj więcej

#23 Przykładowy atak hakerski w systemie Kali Linux (A-Z)

W dzisiejszej lekcji zaprezentujemy w praktyce przykładowy symulowany atak hakerski na webowy system WordPress. Dowiesz się również czym jest zbieranie informacji, mapowanie zagrożeń, analiza podatności, sam atak, eksploracja systemu i raport bezpieczeństwa. Film dosyć długi, ciekawy i w sposób praktyczny podsumowujący informacje z całego naszego kursu Web Application Pentesting.

Wiele osób nie zdaje sobie sprawy, że prawdziwy audyt bezpieczeństwa składa się z tych sześciu kluczowych elementów. Oczywiście w dzisiejszym wideo wykorzystamy wiele wektorów ataku, a nawet gotowe exploity LFI/SQL Injection ogólnodostępne w sieci Internet.
Czytaj więcej

Jak odzyskać hasło Windows z programem ophcrack?

Dzisiaj powiem Tobie jak za pomocą narzędzia ophcrack odzyskać hasło do systemu operacyjnego Windows XP, Vista, 7, 8, 8.1 i 10. Niestety w zaktualizowanych wersjach systemu z rodziny Microsoft Windows nie istnieją żadne magiczne sztuczki umożliwiające usunięcie hasła lub jego zresetowania. Jedynym ratunkiem jest tajemniczy plik NTLM SAM.

Pamiętaj, że podczas ustawiania hasła do konta systemowego mogłeś podać podpowiedź która być może umożliwi Tobie nieco szybsze złamanie dostępu do konta. W naszym poradniku użyjemy często prezentowanego przez nas darmowego systemu operacyjnego Kali Linux. Do zastosowania porady wymagane jest posiadanie czystej płyty DVD lub nośnika USB. Pendrive powinien być co o pojemności co najmniej 4 gigabajtów. Pod koniec tego wpisu został dodatkowo umieszczony film demonstracyjny na temat narzędzia do łamania haseł Windows ophcrack. Czytaj więcej

WEP lekcja #22 – Narzędzia hakerskie Vega Vulnerability Scanner, NMAP, Paros i wiele innych…

Dzisiaj film wyjątkowy. Przyjrzymy się narzędziom hakerskim dostępnym w systemie operacyjnym Kali Linux. Oczywiście wybraliśmy te dedykowane dla audytorów stron internetowych z naciskiem na zaawansowane skanery luk. Na liście znalazły się takie perełki jak Vega Vulnerability ScannerWappalizer, Nikto 2, clusterd, wpscan, Paros, skipfish, HexorBase, nmap, hashcat. Wszystkie demonstrowane narzędzia, które wybraliśmy są w pełni darmowe.

Mimo faktu, że zademonstrowaliśmy tylko kilkanaście popularnych programów dla hakerów materiał poradnika wideo jest dosyć długi i trwa aż 00:32:25. Pominęliśmy oczywiście aplikacje Kali Linux wykorzystane już wcześniej w kursie takie jak beef-xss, Burp Suite, jSQL Injection lub sqlmap. Jest oczywiście dużo więcej świetnych darmowych aplikacji, takich jak lubiany przez niektórych kombajn audytorski OWASP ZAP, w3af lub WebScarab Framework. Ile by wtedy trwał kurs… 🙂
Czytaj więcej