Experiencias con Kali 2016.2 (II) – Creación de una VM con VirtualBox y Ubuntu 16.04

En esta entrada mostraré el proceso de creación de una Máquina Virtual  (VM) de Kali 2016.2. Anteriormente, había realizado una introducción a Kali 2016.2, abordando algunas cuestiones de interés para iniciados en la temática del pentesting. El proceso de creación se realizó utilizando VirtualBox 5.0.32 y Ubuntu 16.04. El ISO de instalación utilizado fue kali-linux-lxde-2016.2-amd64. Estoy…

Cómo deshabilitar el XML-RPC en WordPress (Apache y Nginx)

El siguiente tutorial explica como deshabilitar la funcionalidad XML-RPC en WordPress, para evitar la realización de ataques de fuerza bruta amplificados contra nuestros sitios a través del método system.multicall. Las directivas de acceso mostradas, en teoría, deben ser similares para la mayoría de los CMS que utilizan XML-RPC y son desplegados en servidores web Apache…

Experiencias con Kali 2016.2 (I)

Kali 2016.2 es una distribución de GNU/Linux especializada en Pentesting e Informática Forense. No es la única de su tipo, otras como BackBox, Parrot Security o BlackArch, por solo citar algunos ejemplos, persiguen el mismo objetivo. Por supuesto, ya imaginaras cual es mi distro preferida. Está basada en Debian y tiene entornos de escritorio como…

Análisis de la shellcode IndoXploit

La explotación de vulnerabilidades en aplicaciones web no constituye un fin mismo para los ciberdelincuentes. El verdadero objetivo del ataque se manifiesta en la etapa de post-explotación, donde se ejecuta el código dañino definitivo, más conocido por el término payload o carga útil en español. Las shellcode son un tipo de payload muy utilizado en…