Mandingo ha ganado los dos últimos retos [Ganadores 3er Reto] [Ganadores 4o Reto] y en ambos ha utilizado una herramienta suya pensada para ayudar en las auditorías de aplicaciones web. Todos en este mundo tienen sus juguetitos preferidos y el de Mandingo me encanta, porque es como ver una carrera de Formula 1 solamente mirando la tabla de tiempos sector a sector.
La herramienta se llama Pipper y tiene cosas curiosas que la hacen muy útil. A saber:
- Permite realizar construcción de peticiones URLs a partir de ficheros. Con esta característica se pueden realizar escaneos de fuerza bruta para encontrar rutas y ficheros ocultos o para realizar ataques de fuerza bruta o diccionario a parámetros.
- Construye automáticamente peticiones con combinaciones usando Payloads ya generados o personalizados.
- Realiza análisis de SQL Injection y Blind SQL injection para distintas bases de datos y permite realizar ataques de fuerza bruta o diccionario para descubrir tablas en bases de datos.
- Payloads para descargas de ficheros al estilo del “cucharón”.
- Construye las URLs utilizando valores numéricos, nulls, secuencias de escape…
- Casi cualquier cosa que quieras automatizar con una URL…
Al final, lo fantástico, es que los resultados no son páginas webs, sino datos para un auditor mostrando para cada URL los códigos de error, las palabras en la respuesta, las líneas, los bytes o simplemente descargando los heads. Filtrando estos resultados permite a un ojo acostumbrado descubrir rápidamente los fallos de seguridad. Yo he jugado un rato con ella y ¡mola!
En la página de la descarga de la herramienta tienes ejemplos muy didácticos sobre cómo manejar la herramienta. Espero que siga con ella, y después de haber sacado el cuarto reto añada algún payload más ;).
Puedes descargarla de la siguiente URL: http://www.yoire.com/downloads.php?tag=pipper
Saludos y ánimo con el IV Reto Hacking que aún falta el 5º puesto!
Todo el mundo sabe que la "herramienta" de Mandingo es de las más potentes y de las que más asustan.
ResponderEliminarEl que no sepa de lo que hablo, que se documente aquí
Ohh Dios mio!!! Pecador!!! Pecadores!!!
ResponderEliminarUna herramienta para esa cosa mala mala mala que se llama.... LLIINNUUXX!!!
Pero como es posible...
Maligno y Mandingo pecadores, ireis al infierno,no hay penitencia para esto, ¿pero como habeis osado?...
Dios! es verdad! Me perdonará Balmer?
ResponderEliminarMucho me temo que está escrita en perl y que funciona en cuasi-cualquier sistema operativo...
ResponderEliminarPues según la web de la herramienta:
ResponderEliminarLa versión actual necesita de lo siguiente para funcionar correctamente:
- Sistema operativo Unix/Linux.
- Interprete PERL.
- ...
Dios, creo que la comunidad se ha enterado y va a por mi Amenaza
ResponderEliminarJur, jur, muy gracioso el vídeo. Para acabar de hacerlo realista la escena del crimen debería ser un CPD y los tíos de blanco tendrían que estar haciéndole el análisis forense a un servidor web.
ResponderEliminarVaya, qué idea para tu próximo evento. Con lo que te mola hacer de drag-queen }:-D
¿Qué cabrón el tío ese no?
ResponderEliminarYou are the next! xD
Buenísimo, ciao!
Si, Mandigo dice que Linux, pero a mi en cygwin me va... aunque tampoco la he probado mucho
ResponderEliminarQue gran serie Dexter, el proximo reto podriamos ser Morgan :D
@El niño santo de Emaús, es cierto, debo tener algún trastorno, jeje. Ya entiendo porqué el día del orgullo gay....mmmm, mejor me callo. ;)
ResponderEliminar@Mike, jeje ha sido el capuyo de Ander!!
@aramosft, has de reconocer que la sydney tiene "algunas buenas razones" tb. ;)