HACER UN DEFACE DE WEB´S (HACKEARLAS) POR MEDIO DE EXPLOIT´S
Hola a todos.. este es mi primer manual y espero que sean considerados a la hora de criticarme xDD..
Bueno empecemos..
1) en que consiste esto?
Bueno.. esto consiste en hacer un scan a las URL´s con programas que verán a lo largo del manual para después aprovechar las vulnerabilidades que nos brindara el scan y aprovecharlos con exploits para obtener permisos privilegiados.. y hacer lo que quieran xDDD
(Hay un post sobre que es un exploit) Me siguen?? xD
Para esto necesitaran un scaneador de fallos como el Shadow Security Scanner (SSS) les dejo la descarga con su crack. Y un buen compilador de programas en C para compilar los exploits que la mayoria vienen en C pero para esto recomiendo que tengan Linux ya que los compiladores que bajan no son muy buenos y le faltan muchas librerias ej: (librería.h) eso es una librería xDDD
SCANNER:
Para ver los enlaces debes ser usuario
Crear Usuario o
Hacer SesionCRACK:
Para ver los enlaces debes ser usuario
Crear Usuario o
Hacer Sesion (este lo subí yo xDD) el crack es para que el scanner no se venza.. xDD
bueno.. una vez que tengan todo esto podremos proseguir
Para empezar debemos tener en mente una Web. La que mas rabia le tengamos xDD.. por ejemplo
Para ver los enlaces debes ser usuario
Crear Usuario o
Hacer Sesionwww.web.com
Después abrimos el scanner y seleccionamos “NUEVA SESION” o “NEW SESSION” (arriba a la izquierda) y seguimos los pasos..
Vamos a elegir que tipo de scan queremos hacerle, full, completo, rápido.. depende para lo que quieran.. si lo quieren defacear toda le recomiendo que le hagan un scan “full” ya que este va a exprimir todo lo que puede jejeje..
Bueno si eligen full acuéstense una siestita por que tarda mucho xDD.. después de seleccionar el tipo que queramos hacerle le damos continuar y agregamos un host con el botón que nos aparece a la izquierda.. host seria el nombre de la web o la IP.. en este caso la web que elegimos..
Damos continuar y cuando terminamos eso señalamos la URL o IP que pusimos y le damos “play” después dejamos que lo scanee..
Una vez terminado el scan nos dará las vulnerabilidades de la web.. y muchas cosas mas.. pero por ahora solo nos fijaremos en la vulnerabilidades.. hay de distintos riesgos.. por ejemplo una que tenga un cuadrito rojo será con la que mayor posibilidades de entrar tengamos y asi sucesivamente.. ya con el tiempo nos daremos cuanta de para que sirve cada una de las vulnerabilidades.. ni yo lo se bien todavía xDD..
Ahora viene la parte de aprovechar esto con un exploit..
Para esto lo que tenemos que hacer es señalar la vulnerabilidad que queramos explotar y abajo en otro cuadrito nos aparecerá algo que se llama “bugtrack ID” y nos dará un numero.. hacemos click en el numero que nos da que generalmente esta en azul y este nos lleva a una pagina donde se encuentran códigos de exploits listos para compilarlos.. la pagina es
Para ver los enlaces debes ser usuario
Crear Usuario o
Hacer Sesionwww.securityfocus.com
.. Una vez que estamos hay nos deja en la parte de la info de la vulnerabilidad.. eso nos da datos de la vulnerabilidad que a veces es recomendable leer.. pero nosotros nos iremos a la parte de exploit.. cuando estemos hay si el exploit esta en la web nos dará un link que nos llevara hacia donde se encuentra el código del exploit.. de lo contrario nos dirá que el exploit puede estar en proceso de creación, o que esta vulnerabilidad no se aprovecha con un exploit etc..
Si esta tiene el link, los que nos queda por hacer es ver en que esta echo el código del expoit.., copiarlo y compilarlo en su debido compilador..
Bueno.. si esta echo en C, que si es así el código generalmente empieza con “include<stdbio.h>” (un ejemplo)
Lo copiamos desde donde vemos que empiezan los includes o el exploit.. nos daremos cuenta no se preocupen, solo guíense por los includes..
Ahora solo queda compilarlo con un compilador que bajemos o que es mejor, con Linux..
Para compilar con Linux lo que debemos hacer es:
Ir a la RootShell que es la que solo el que sepa el pass lo podra usar.. bueno colocamos el pass y nos dejara manejarlo..
Al código del exploit lo dejamos en el desktop de Linux y le ponemos un nombre cualquiera pero con la extensión “.c” que le indica a Linux que ese código esta echo en C, vamos a la Root Shell y escribimos esto “/desktop” o “cd desktop” o le buscan la forma que nos dejara en esa carpeta donde se encuentra el exploit una vez hay lo que haremos es compilarlo de una vez xDD..
Para eso lo que tenemos que escribir en la Root Shell es esto..
gcc (nombre que pusimos al código).c –o (el nombre que quieras que le quede al exploit..
escribimos –o y le damos un nombre por que o sino nos dejara el exploit con el nombre “a.out”
se acerca el final jejeje..
Bueno ahora lo único que queda es ejecutarlo eso lo hacemos asi de simple:
Escribimos esta sentencia en la RootShell “./” sin comillas obvio seguido de nuestro exploit..
por ejemplo:
si nuestro exploit se llamo lindo.c lo que tenemos que escribir en la Root Shell es esto:
./lindo.c
y listoooo xDD!!
Si todo salio bien esto se ejecutara y nos dira la forma de poder aprovecharlo igual creo que ya nos daremos cuenta con la practica jeje..
Y esto es todo.. espero que les guste mi primer manual que no se uds diran
Nos vemos.. espero le saquen provecho jejeje..
Ha, y una cosa mas.. si postean este manual en otro lado por favor déjenlo como esta con nombre de autor y todo.. gracias..
******************************************************************************
Defacear una Web por medio de exploit:
Manual echo por MISCELANEUS el día 08/12/05
Autor