Éste es un nuevo proyecto de hackerss.com. Ya se hizo alguna vez y a la gente le gustaba, pero por lo general el organizador se olvidaba del proyecto y no lo seguían xD.



Temas:
--> SQL inyection
--> XSS
--> HTML inyection
--> RFI
--> Mass defacement
--> Buffer Overflows:
---> Stack Overflows
---> Heap Overflows
---> Shellcodes
--> Danling Pointers
--> Race Conditions
--> errores de DeadLock
--> Escala de privilegios en distintos sitemas.
--> E-Mail Injection
--> Directory Traversal
--> Format string attacks
--> DOS & DDOS
--> Escaneo de Puertos
--> Escaneo de Vulnerabilidades
--> Obtención de información 'util' sobre el servidor.
--> Programación de Xploits
--> Ingenieria social?
--> Fuerza Bruta (Brute force)
--> Criptografía
--> Tunneling (de todo tipo)
--> Spoofing (de todo tipo)
--> Fingerprinting
--> Hacking Wireless
--> Infectando con un troyano.
--> Rootkits
--> Uso de algunas 'hacker tools' (wincap, rainbow, nmap, JTR, achilles, CIA commander, etc)
--> Borrando nuestros logs en distintos sistemas.
--> Algo de historia, tecnicas que nos volvieron locos (ping of death...¿?)
--> Netbios
--> Netcat
--> Telnet
--> Object Data
--> Keyloggers
--> Sniffing
--> Ingenieria Inversa (o reversing)
--> Phreaking?
--> Carding?
--> Anonimato, trabajar desde una shell remota, usar proxys
--> Algo que se te ocurre.. xD

¿Qué es Hacking labs?
Es un proyecto de hackerss.com para poner en practica las técnicas de hacking.
Para practicar se harán páginas y/o servidores que deberán ser atacados de una forma específica. Se dará un plazo determinado para probar ataques y se discutirá en el foro para que quienes no sepan como hacerlo logren finalmente explotar el bug.
Se introducirán páginas teóricas de referencia y se asesorará a quienes lo necesiten. El objetivo no es hacer un reto imposible de pasar sino que todos terminen aprendiendo y aplicando correctamente una técnica específica.


Hacking ético.
Hackerss nunca (o almenos no durante el 99% de su existencia) a estado a favor de destruir. Precizamente ésta es una página para ayudar, ser ayudado, compartir el conocimiento y enriquecernos intelectualmente todos juntos. Por ende no recomendamos hacer ataques a terceros. Dado el caso de que se encuentre un bug en una página recomendamos avisar a los administradores de ésta para que solucionen el bug y eviten futuros ataques.

Prohibido.
Lo único que está prohibido es dar respuestas o ayudas demasiado claras para explotar el bug.
Está permitido explotar la vulnerabilidad y modificar todo a gusto siempre y cuando no se altere de tal forma que no pueda ser explotada por el resto de los usuarios.
Pueden poner ayudas, links sobre teoría, etc, cualquier cosa que no lleve directamente a la respuesta y que obligue al usuario a leer y aprender lo que está haciendo.

After.
Después de un plazo que se considere adecuado se posteará la respuesta y un artículo (si ya existe en la comunidad solo se enlazará). Aparte se explicarán métodos para evitar el bug.

Niveles.
La idea es poder hacer todo tipo de cosas, desde un XSS hasta explotar las últimas vulnerabilidades de la red o programar tu propio exploit.

¿Cuando empezamos?
Los primeros días de septiembre (o talvés en los próximos días de agosto) se posteará el primer lab en éste mismo subforo. El objetivo de éste post es avisa para que estén al tanto del subforo así no se lo pierden

Empezaremos con temas básicos, para no dejar abajo del tren a quienes no sepan mucho. Probablemente alguna inyección SQL simple, o algún XSS.

Espero que les guste la idea.

Hola, Farid justo mañana daré un hacklab el segundo de este año, en el primero vimos:

- Que es un hackLab?
- Que Hacemos dentro del HackLab?
- De donde vino la palabra HackLab?
- Definiciones de palabras (hacker, cracker, etc..)
- El Famoso "darkside" & "whiteside" jejej.
- Usar Guindo$ o Linux ?
- Que herramientas usar (en este caso seleccionamos el s.o de nuestro sabor favorito)
- Unas reglas en internet que es lo que se ve mal y lo que se ve bien
--------Empezamos los laboratorios
--------Defacing
--------Sniffing
-------etc..
Damos las gracias y tenemos 30 min para salir antes de que llegue el FBI

Eso vimos en el primero, en el segundo me enfoque más al deface :< jiiij en este se vería más enfocado a deface?...

a mi me dijo zer0 otra cosa =x otaku :$
--
Te pasas :< no cuentes mi vida personal. ese fue una geekparty U_U

Ahi te respondí el PM con temas para tu expo xD

En cuanto a éste abarcaremos todos los temas que podamos. Criptografía, cracking, reversing, defacing.

Onta? :S

Comiencen por lo básico, por ejemplo entender Nmap en diferentes ambientes.
Luego de eso, montar en máquinas virtuales diferentes sistemas.

Lo que pasa es que montar estos 'labs' a distancia es complicado, toca tener buen ancho de banda y abrir unas DMZ para que los demás accedan al server. Tuve una experiencia hace tiempo y mantener el servidor de pruebas fue difícil con el tiempo.

Lo mejor sería que cada uno pueda tener su propio laboratorio a partir de máquinas virtuales y así hacer su pruebas

yo no estoy mucho en tema, pero con ganas de volver a aprender.

podriamos generar imagenes para maquinas virtuales, subirlas a rapid share y ir practicando todo sobre la misma imagen de esta forma... podemos compartir mas facil

Apoyo a alluz, Algo basico sobre Nmap, Creo que es el scanner o como le quieran llamar, GENERAL.

E ir viendo cada parte de este, creo que es un buen forjamiento.

Saludos

Ahí puse una lista de temas que podemos (debemos) ampliar a medida que se nos vayan ocurriendo temas... hice una mini tormenta de ideas, capas que algunos temas no se hacen y faltaran otros tantos... opinen lo que quieran agregar o quitar para tenerlo en cuenta.


Alluz, woko es muy buena la idea de manejarnos con maquinas virtuales. En cuanto a los temas de defacing y analisis de códigos es más facil porque se pone un código acá para que sea analizado o se monta una página para pruebas. Para los bugs de un servidor en sí creo que haremos eso de VMs subiendo la imagen a rapidshare como dijo woko.
Puse algunos temas que requieren una LAN o incluso una red wi-fi... con eso no se como haremos, talvés solo documentar para que los usuarios prueben.

Nota: Usaremos este post como post Madre (o padre) y de aquí iremos enlazando todos los temas así si alguien quiere encontrar alguno otro día o saber sobre algun tema lo encuentra fácil.


Saludos.

Alluz dejo un laboratorio hace decadas, nadie le hiso caso después del primer mes jaja, tiene razón primero por algo fácil como el nmap U_U escriban quede aca sacaré mi 3 hacklabxD

Un lab interesante es hacer un MITM entre máquinas virtuales.

REQUISITOS:
0. Contar con al menos 2gb de ram
1. Sistema operativo Host de máquinas virtuales
2. Internet
3. Dos máquinas virtuales, sean windows xp y linux (backtrack), configuradas en tipo Bridge con el adaptador de red por el cual se accede a internet.

LABORATORIO
1. Probar que en ambas máquinas virtuales funcione internet
2. Hacer un Man in The Middle desde el host 1 al host b de la siguiente manera: Si es windows, usar Cain; si es linux, usar ettercap.
3. Al mismo tiempo que se ejecuta "el hombre en la mitad", ejecutar wireshark.

Happy hacking.

H0l@,

Excelente Iniciativa, me apunto para aprender!!

Sugiero descargar Sauron para realizar Labs, montar las maquinas virtuales con diferentes y Distros de Seguridad y Herramientas Libres!, de igual forma se pueden crear videos-tutoriales.

Como tambien seguir metodologias de Hacking Etico o Pen Testing, en donde no solamente se aprende a utilizar herramientas si no aplicar un orden practico-metodico para objetivos claros en un proceso de Black-Box, White-Box, Gray-Box.


Dino

La triste realidad es que esto solo funciona si cada uno lo hace. En grupo es difícil que funcione. En grupo se comparte, pero no se obliga a hacer los labs.

El sabado casi seguro que pondré el primer lab. Defacing, alguna tecnica en especial. El tema de las maquinas virtuales está muy interesante pero no se puede empezar con eso, hay que iniciar con algo que no requiera por parte de los participantes pasarse 3 horas instalando una VM y SO en ella mas el tiempo que le tome realizar el experimento =>.

No es triste realidad. Es solo realidad. Los grupos están para ayudarse, no solo ahora. Los labs se pondrán como consejo para seguir una rutina o practica, de ahí si alguien lo sigue ahora o dentro de un año es su elección en cuanto a metas y proyectos personales, pero cuando sea que se interese el proyecto estará acá.

Defacing???? nahhh que tema tan malo. Además, el deface es un Fin, pero no es un medio. En un hack lab se estudian los medios, no los fines.
Además, el deface es como hacer un Grafiti... no nos vamos a poner a hacer grafitis, más bien estudiemos pintura y técnicas para mezclar pinturas.

Me expresé con las palabras incorrectas entonces. Yo me refería a las tecnicas (osea las del primer post).

Pues ir por partes no?
Que tal un típico guessbook que para escribir un mensaje sea necesario estar logueado, pero que el campo de texto no filtre el mensaje y se pueda hacer una inyeccion sql y por ende un cross site scripting para sacar la cookie? Si solo fuera un deface, se haría un html injection que hiciera un cambio de web, pero para sacar la cookie se puede hacer algo más chevere jijiji.

Es una buena idea para empezar. Haré eso

No spamies farid xD! . si vas a aportar algo contesta xD!!...aun recuerdo esas dulces palabras xD!!!

simplemente podias contestar las preguntas que Alluz hizo.



Pero en fin, quiero dar mi punto de vista, sobre su conversacion. En si como dijo alluz el defacing, no tiene provecho. y como mencionas farid, enseñar tecnicas (Por asi decirlo) seria lo mas adecuado, tambien ir tomando material para la segunda edicion de la zine. Pero en fin.

Pero eso es una opinion o mas bien un tipo de entendimiento a mi punto de vista.

Pero cambiando de tema, Como manejaran este lab?

Un lab se sugiere y cada uno lo hace.

Miren este code, se llama error.php

error.php?error=no se puede mostrar la pagina



Entonces para ese código vulnerable, identificar la vulnerabilidad y explotarla.

Me interesaria bastante aprender a leer la informacion de Wireshark...