Professional Documents
Culture Documents
Saludos a tod@s ante todo quiero agradecerles por compartir y leer este pequeo libro sobre defacing. Advertencia: NO me hago cargo del mal uso de la informacin proporcionada.
Qu significa Defacer?
Defacer viene de la palabra DEFACING o DEFACEMENT que en espaol significa DESFIGURAR, defacer en trminos Informticos significa DESFIGURAR SITIOS WEB.
Hacker vs Defacer?
Personalmente pienso que hay una parte de hacking en el defacer ya que penetra sistemas, robar archivos y muchas cosas ms. Todo depende de la tcnica empleada, Ej: Si se hace con una tool que ni siquiera programamos y es automtico eso no es Hacking ni Defacing eso es ser un LAMMER XD!!! , En Fin. El trabajo de defacer es INVESTIGAR todo sobre un target, buscar posibles vulnerabilidades en los distintos tipos de sistemas.
Bueno antes de comenzar con la explicacin de los distintos tipos de mtodos quiero cortarles experiencias propias para que logren entender que tan bueno es ser un defacer. Actualmente vivimos en un mundo con muchos problemas que nos afectan a todos y es muy difcil expresar lo que piensas que ya nos viven censurando por este motivo fue que hace 5 aos estoy expresando mi punto de vista haciendo defacing a sitios de entidades gubernamentales , multinacionales y muchos sitios ms. Pero recuerden que hay que ser responsables , No tenemos que utilizar nuestro conocimiento para hacer dao a personas que no daan a nadie.
Mtodos ms utilizados:
Esta es la parte donde hablare sobre los mtodos, para los que recin inician con el defacing seguramente hay muchos trminos que no van a entender pero no se hagan problema que dejare las definiciones al final. Mtodo 1: SQLi: Este mtodo es el ms utilizado para robar datos de la base de datos de las pginas webs, (SQL INYECTION), Esto significa inyectar la base de datos aprovechando las distintas vulnerabilidades en parmetros de algn sitio. Ej : supongamos que queremos obtener acceso a la administracin del sistema de www.noticias.com y dicho sitio hace peticiones a la base SQL www.noticias.com/noticias.php?id=noticia1ok seguramente nos mostrara la noticia 1 perfectamente pero si hacemos una peticin errnea como por ejemplo www.noticias.com/noticias.php?id= nos mostrara un error que dicha peticin no puede ser mostrada por el simple motivo que no existe. Despus de verificar que el parmetro es vulnerable podemos ejecutar cdigo remoto para que nos muestre la informacin de la base de datos como por ejemplo los usuarios y contraseas de los usuarios registrados. SQL: TIPO DE BASE DE DATOS. INYECTION: INYECTAR BASE DE DATOS. Para aclarar: Dicho mtodo es el ms comn y el ms antiguo utilizado por los defacer pero actualmente nos ayuda a obtener informacin. Tambin hay muchas formas de automatizar la inyeccin con programas. Ej: SqlMap: Este programa nos permite hacer una inyeccin automatizada
Mtodo 2: Exploit (CMS) Bueno este mtodo tambin es uno de los ms utilizados consiste en explotar el sistema de administracin que tenga instalado. Ej: Supongamos que la pgina www.wtf.com tiene instalado una versin antigua de drupal o wordpress, Bien esto puede poner en riesgo la seguridad de dicho sitio ya al ser la
versin antigua puede tener vulnerabilidades en los plugins o complementos de dicho sitio.
Mtodo 3: Remote file Upload Este mtodo es buscado mucho porque es elms fcil de explotar, el punto de dicho mtodo es subir archivos remotamente buscando vulnerabilidades en un target especifico.
Ejemplo: Supongamos que estamos buscando vulnerabilidades en la pgina www.wtf.com y dicha pgina tiene instalado un complemento en la administracin (Plugin) www.wtf.com/wp-content/plugins/uploader/fileupload.php , la idea es buscar un parmetro donde no nos solicite permisos para subir archivos.
Jejejeje de seguro piensan que esto no es posible pero en muchas ocasiones me sirvi xD, en fin tambin hay algunas como por ejemplo: Usuario: admin Password: 12345. En fin esos son algunos de los tantos mtodos empleados para hacer ataques como estamos hablando de defacinges siempre a un sitio web pero tambin atacando el sitio web podemos obtener acceso al WEBMAIL y poder tener el control de los distintos correos electrnicos del sitio. Ejemplo: Supongamos que tenemos acceso al servidor de www.fucksystem.gob.ar tambin podemos tener acceso a www.fucksystem.gob.ar (Todo dependiendo de la versin de WEBAMIL que tenga instalada.)
persona descargue esa copia y pueda ver el archivo de configuracin de la base de datos, lo nico que queda por hacer es conectar y robar o modificar toda la informacin de dicha base de datos.
Ej: supongamos que sabes algo de python y queremos automatizar un ataque al saber programar poder crear nuestra propia herramienta para ahorrar tiempo y trabajo. Ahora que recuerdo les contare una experiencia personal que de seguro les ayudada para terminar de entender. Hace unos meses quera explotar una vulnerabilidad SQLi en una pgina del gobierno pero el problema era que el administrador al ver que intentaba hacer SQLi me sacaba del sistema, al no poder hacer nada cuando el administrador este online programe un simple archivo en bat para que ejecute Sqlmap a una hora que el administrador no estuviera online esto me permiti obtener la base de datos COMPLETA de dicho sitio. Tambin eh creado muchas herramientas en perl y python puede que sean sencillas pero nos facilitan MUCHO trabajo ;).
Otros objetivos.
Dentro de los distintos tipos de objetivos de los defacer uno de los ms realizados es el objetivo econmico, esto consiste en instalar script ocultos a pginas para robar dinero de los visitantes. Ej: Supongamos que tenemos SHELL dentro de una pgina de ventas, lo que podemos hacer es re direccionar los pagos y transferir el dinero a nuestra cuenta. Esto es muy poco tico y personalmente yo no lo prctico, ante todo la honestidad. Otro de los objetivos es infectar servidores para hacer ataques DDOS a empresas (LA COMPETENCIA). Todos estos objetivos son con fines econmicos o para hacer maldad, escribo esto para que entiendan que hay mucha gente mala y estpida pero en fin esa es cosa de ellos.
Bueno este es el final de la primera parte, pronto escribir ms informacin y vamos a poner en prctica algunos mtodos, como es la primera vez que realizo esto espero que
sepan comprender si hay algn error o algo que no est bien explicado, muchas gracias por leer y compartir.