miércoles, 25 de enero de 2012

LimaHack@UTP

El sábado de la próxima semana (04/02) se estará llevando acabo una nueva réplica del LimaHack 2011 en la Universidad Tecnológica del Perú (UTP).

Como es característico de este evento, el ingreso es libre previa inscripción.

domingo, 22 de enero de 2012

PHPIDS 0.7 SQLi Bypass

PHPIDS es una aplicación web de detección de intrusos open source que podemos configurar en nuestras propias aplicaciones a fin de bloquear ataques conocidos (XSS, SQLi, LFI, RCE, etc).

Ayer me dieron ganas de jugar un poco con este IDS y buscar alguna forma de "bypassearlo" para poder explotar un SQLi. Luego de muchas pruebas, logré encontrar algo y, aunque aún no estoy satisfecho con los resultados, creo que no estaría mal publicar los avances.

jueves, 19 de enero de 2012

Modificando los payloads de sqlmap

Hoy quiero escribir sobre algo que me ha resultado muy útil en algunas ocasiones. Se trata de la posibilidad de modificar los payloads de sqlmap. Seguro te estarás preguntando ¿Y para que quiero yo modificarlos? Bueno pues a veces sucede que algunos segmentos del payload como nombres de funciones, bases de datos o clausulas hacen match con una firma del IDS y te echan al agua la explotación. Pero claro como tu eres un ninja en SQL descubres al cabo de un rato una forma alternativa de inyección que se salta el IDS :D Lo único malo es que deberás hacer todo el trabajo manualmente porque no hay ninguna herramienta que utilice esa forma de inyectar o quiza debas programarte tu propia tool.

martes, 3 de enero de 2012

Fondo Editorial UNMSM - Hacked

Bueno, ahora que estoy de vacaciones y tengo algo de tiempo libre me he puesto a buscar más errores en los sistemas de la universidad y he encontrado algunas cosas interesantes.

Por lo pronto quiero contarles de un defacement que ha sufrido la web del "Fondo Editorial de la UNMSM" ¿Cómo? ¿No sabes que es el Fondo Editorial? Bueno la verdad yo tampoco lo conocía hasta ahora xD