Kali Linux 2.0 – poznaj programy hakerskie…

Dzisiaj przedstawimy Tobie w przystępny sposób darmowe narzędzia hakerskie dostępne w systemie operacyjnym Kali Linux 2.0. Hierarchia aplikacji od czasów bardzo popularnego kiedyś systemu BackTrack Linux nieco się zmieniła. W obecnej dystrybucji wszystkie programy zostały posegregowane w 12 ogólnych kategoriach. Niektóre sekcje posiadają dodatkowe podkategorie segregujące aplikacje.

Zwróć uwagę na wersję swojego systemu dla hakerów, ponieważ odmienne edycje posiadają różną ilość aplikacji. Przykładem może być Kali Linux 2016.1 w wersji Light. Zajmuje ona jedynie 800 megabajtów na dysku twardym, jednak jest pozbawiona praktycznie całkowicie wszystkich narzędzi pentesterskich. Ta dystrybucja dedykowana jest dla osób, które lubią dostosowywać system operacyjny całkowicie pod siebie. W dzisiejszym artykule demonstrujemy aplikacje zawarte przez autorów w pełnej wersji systemu. Read More

WEP lekcja #22 – Narzędzia hakerskie Vega Vulnerability Scanner, NMAP, Paros i wiele innych…

Dzisiaj film wyjątkowy. Przyjrzymy się narzędziom hakerskim dostępnym w systemie operacyjnym Kali Linux. Oczywiście wybraliśmy te dedykowane dla audytorów stron internetowych z naciskiem na zaawansowane skanery luk. Na liście znalazły się takie perełki jak Vega Vulnerability ScannerWappalizer, Nikto 2, clusterd, wpscan, Paros, skipfish, HexorBase, nmap, hashcat. Wszystkie demonstrowane narzędzia, które wybraliśmy są w pełni darmowe.

Mimo faktu, że zademonstrowaliśmy tylko kilkanaście popularnych programów dla hakerów materiał poradnika wideo jest dosyć długi i trwa aż 00:32:25. Pominęliśmy oczywiście aplikacje Kali Linux wykorzystane już wcześniej w kursie takie jak beef-xss, Burp Suite, jSQL Injection lub sqlmap. Jest oczywiście dużo więcej świetnych darmowych aplikacji, takich jak lubiany przez niektórych kombajn audytorski OWASP ZAP, w3af lub WebScarab Framework. Ile by wtedy trwał kurs… 🙂
Read More

WEP lekcja #11 – Atak LFI (Local File Include) i narzędzie fimap w Kali Linux

Dzisiaj pokażemy czym jest atak LFI, czyli rozwijając ten skrót local file lnclusion. Zaprezentujemy również świetny darmowy skaner fimap dostępny w systemie Kali Linux umożliwiający automatyczne wyszukiwanie podatności typu local file includeremote file inclusion.

Na wstępie powinieneś wiedzieć, że tego typu luka pozwala na dołączenie, wyświetlanie i wykonywanie lokalnych plików znajdujących się na serwerze www. Dzięki tej hakerskiej sztuczce cyberprzestępca może poznać zawartość plików konfiguracyjnych serwera a nawet systemu operacyjnego. Jak pewnie już wiesz z poprzednich lekcji, często w takich plikach występują hasła. Najczęściej występującym przykładem w literaturze jest plik z użytkownikami i hasłami w systemie Linux o nazwie /etc/passwd i /etc/shadow.

Read More

Startujemy z nową wersją web szkoły hakerstwa na YouTube

Miło nam poinformować Ciebie, że właśnie wystartowaliśmy z nowym cyklem kursów na naszym kanale YouTube. Dotyczyć one będą audytowania webowych aplikacji. Na chwilę obecną nosi on nazwę roboczą Web Application Pentesting – haker.edu.pl. Będziemy w nim prowadzić praktyczny podstawowy trening z zakresu atakowania i obrony wszelakimi metodami stron internetowych. Duży nacisk kładziemy na aspekt szybkiego wprowadzenia do tematu i praktykę. Do wielu zadań zamierzamy oczywiście zamieszczać prace domowe na naszym blogu, a odnośniki do nich znajdować będą się pod danym filmem. Chcemy Was wprowadzić w podstawowe tajniki wykrywania i wykorzystywania potencjalnych luk w aplikacjach webowych. Dzięki tej wiedzy w przyszłości łatwiej będzie Wam je naprawiać, jeśli zostaniecie programistami webowymi. Read More

Exploit php – cURL uploaduje plik…

Dzisiaj uzupełnimy jeden z poprzednich wpisów dotyczącego ataków na uploadery php. W dalszej części wpisu dodany jest film pokazowy w serwisie YoTube. Jako że najlepszą formą nauki jest czytanie kodów źródłowych i ich studiowanie, to postanowiliśmy zademonstrować skrypt automatyzujący taki atak na serwer HTTP uruchomiony w środowisku Microsoft Windows. Użyjemy do tego skryptu napisanego w systemie operacyjnym Kali Linux w powłoce Bash. Skrypt wykorzystuje bibliotekę cURL, plik wykonywalny netcat.exe i prościutki skrypt w języku PHP. Wpis ma tylko charakter poglądowy i został napisany w celach edukacyjnych. Być może ktoś szuka informacji jak wysłać plik za pomocą formularza HTML znajdującego się na stronie WWW z poziomu skryptu lub konsoli. Zapewne po modyfikacjach i doinstalowaniu odpowiedniego oprogramowania udałoby się uruchomić ten exploit pod systemem Windows. Read More

Kali Linux polish man – spolszczamy system!

W dzisiejszym wpisie pokaże jak spolonizować system operacyjny Kali Linux lub Debian z środowiskiem graficznym GNOME. Dodatkowo dzisiejsza porada zawiera informacje jak zainstalować polską dokumentacje HOWTO, wraz z polskimi podręcznikami man. O ile pierwszy problem nie powinien dla nikogo stanowić zagawostki, bo można to wyklinać w ustawieniach… to dwa kolejne wymagają jednak kilku dodatkowych drobnych kroków. Dla niezorientowanych dodam, że polecenie man w systemie Linux i uniksopodobnych służy do przeglądania podręczników użytkownika. Za jego pomocą bardzo szybko możemy sprawdzić do czego służy dana aplikacja i jaką dodatkową funkcjonalność udostępnia (parametry opcjonalne). Jest to też idealna darmowa kopalnia wiedzy dla początkujących hakerów i przyszłych administratorów systemu Linux. Read More

Generowanie słownika w Kali Linux | Crunch

W dzisiejszym short wpisie pod impulsem ostatniego komentarza napiszemy o generowaniu słownika w systemie Linux. Użyjemy do tego celu zainstalowanego narzędzia crunch. Wielu z Was ma problem z tak błahą rzeczą, jak przeniesienie słownika z systemu operacyjnego do swojej wirtualnej maszyny z Kali Lunux. Narzędzie jest bardzo proste w obsłudze i posiada bogaty podręcznik w języku angielskim z opisem jego dodatkowych opcjonalnych parametrów. Aplikacja crunch jest oczywiście aplikacją konsolową. Za pomocą crunch powodzeniem możemy generować duże słowniki potencjalnych haseł zdalnie za pomocą SSH. Jeśli jesteś na naszym blogu pierwszy raz to przypomnimy, że takie narzędzia hakerzy cyberprzestępcy używają do tzn. ataków słownikowych i ataków brute-force. Read More

ASK.FM hack, czyli jak włamać się na aska?

Jeśli interesuje Ciebie informatyka i bezpieczeństwo a konkretniej jak włamać się na aska (ask.fm hack), bądź zadajesz sobie pytanie jak włamać się na nk lub dowolnie inną stronę to dobrze trafiłeś (chodzi oczywiście o przejęcie tożsamości: login+hasło). Tym razem wykorzystamy Phishing ale w zupełnie nowej formie. Użyjemy potężnego narzędzia Social Engineering Toolkit. Po krótce przypomne czym jest Phishing, jest to imitowanie oryginalnej strony w celu przejęcia danych do logowania takich jak nazwa użytkownika i hasło. Warto przeczytać przed dzisiejszą lekturą, nasz poradnik Jak włamać się na Facebooka. Dzisiejsza prezentacja pokazuje jak łatwo cyberprzestępcy (więc strzeżcie się łamacze haseł aska:)) utworzyć taką stronę na przykładzie serwisu społecznościowego ask.fm. Jeżeli wydaje Ci się czytelniku, że nie potrzebujesz tej wiedzy to… polecam jednak przeczytać ten wpis, bo demonstruje potężne darmowe narzędzie SET. Plusem tej metody jest, że nie wprowadzamy i nie edytujemy ani grama kodu źródłowego strony. Read More

47 ciekawych dystrybucji Linux dla Hakerów… | SPIS

Zbliżając się do wzięcia się za siebie i przygotowując Was na nową porcje materiałów, dotyczących dużo ciekawszych i praktyczniejszych aspektów bezpieczeństwa komputerowego (hakerstwa) przedstawiam w tym krótkim wpisie 10 systemów operacyjnych Linux, służących do audytów bezpieczeństwa (bądź hackingu:)). Popularność niektórych z systemów dla hakerów bierze się z propagowania ich przez środowiska zajmujące się wardrivingiem, crackingiem, pentestami i warchalkingiem.

Read More