143
Canal donde se publican las novedades del blog whoissecure.xyz
Nueva entrada ❗
He escrito una entrada en la que os presento Yaset, una herramienta para enumeración pasiva de subdominios basada en plantillas que he escrito. Espero que os guste!
📎 https://www.whoissecure.xyz/2023/05/yaset.html
Nueva entrada ❗
¡Hola! He publicado una entrada en la que os enseño un CVE que he encontrado en una librería anti-SSRF de python. ¡Espero que os guste!
📎 https://www.whoissecure.xyz/2023/01/cve-2023-24622-y-mas.html
Nueva entrada ❗️
¡Buenas! He escrito la solución al reto Frasco de galletas de Una al Mes (@uamctf). Espero que os guste :)
📎 https://www.whoissecure.xyz/2022/10/una-al-mes-frasco-de-galletas.html
Nueva entrada ❗️
¡Hola! He resuelto la máquina All in One de TryHackMe y os dejo aquí la solución. Espero que os guste 😁
📎 https://www.whoissecure.xyz/2022/06/tryhackme-all-in-one.html
Nueva entrada ❗️
¡Hola a todos! Hoy os traigo una entrada sobre DeFi hacking. Vamos a resolver el primer reto de Damn Vulnerable DeFi, Unstoppable. En él vamos a ver cómo dejar inservible la función de flash loans de este smart contract.
📎 https://whoissecure.blogspot.com/2022/03/defi-hacking-1-unstoppable-dvdf.html
Nueva entrada ❗
¡Buenos días! He escrito una entrada sobre mi primer CVE. Cómo ha sido buscarlo, reportarlo y conseguirlo.
📎 https://whoissecure.blogspot.com/2021/10/cve-2021-41728-o-como-he-conseguido-mi.html
Nueva entrada ❗️
En esta ocasión os traigo un subdomain takeover que realicé para un programa de bug bounty de Hackerone.
📎 https://whoissecure.blogspot.com/2021/04/subdomain-takeover-en-heroku.html
Publicados los 2 primeros videos y la intro de la serie de NMAP desde cero!
https://www.youtube.com/playlist?list=PLNUnnya7JEX2h7D-1uZgULLnRlk2WQITQ
Nueva entrada ❗️
Feliz Navidad a todos! 🎄 Hoy os traigo una entrada en la que os enseñaré cómo usé una SQLi en una tienda de openbugbounty para tener un descuento de una tarjeta regalo sin poseer ninguna.
📎 https://whoissecure.blogspot.com/2020/12/sqli-vamos-de-compras-sin-pagar.html
Nueva entrada ❗️
Hoy traigo una máquina de TryHackMe llamada Bounty Hacker. Atacaremos el SSH del servidor gracias a la información obtenida en el servicio FTP para luego escalar privilegios por un fallo en el archivo sudoers.
📎 https://whoissecure.blogspot.com/2020/11/tryhackme-bounty-hacker.html
⏱ EMPIEZA BITUP ALICANTE 📡
💻 El evento de seguridad levantino tiene una modalidad ONLINE este año. 🎥 Mas de 10horas de formación en cyberseguridad gratuitas, además de CTF premiado, sorteos y muy muy buena compañía. 💥💥💥
Ojo! Hay un bot travieso por el chat, quidado con él!
📺 No te pierdas las charlas y talleres durante TODO EL DÍA en el STREAMING en YOUTUBE 📺
[+] Canal de Youtube: www.youtube.com/bitupalicante
[+] Agenda: bitupalicante.com
¿ESTAS SOLO/A? 😐 NO TE PREOCUPES! 😄 Puedes disfrutar de esta edición de bitup de forma semipresencial en nuestreo SERVIDOR DE DISCORD:
[+] DISCORD: https://discord.gg/MEpYwWP
🤜🤛 @bitupalicante
Hola a todos! Esta tarde, a la misma hora que la otra semana (18:30 hora española aproximadamente) vamos a estar @jomoza, @RoloSfh y yo, @Daniel_Marzo, en twitch stremeando un King of the hill de TryHackMe y luego nos pondremos con alguna máquina.
De nuevo, podéis vernos desde multistream, pudiendo ver todos los directos a la vez y comentando también en cualquiera seleccionándolo desde la pestaña de debajo del chat o podéis vernos en sólo uno de los canales. Os dejo los enlaces:
Multistream:
https://multistre.am/danielmarzo/jomoza/whateversec/layout7/
Canal de Rolo: https://www.twitch.tv/whateversec
Canal de Jomoza:
https://www.twitch.tv/jomoza
Canal de Daniel: https://www.twitch.tv/danielmarzo
Hola a todos! Hoy me abandona @RoloSfh pero estaré un rato en mi canal de twitch ( twitch.tv/danielmarzo ) haciendo alguna máquina en TryHackMe. Empezaré más o menos para las 22:15 ( quedan algo menos de 11 horas ). Si alguno quiere pasarse, ahí estaré 😁 a ver si se apunta alguien a entrar conmigo de última hora.
Читать полностью…
Hola a todos! Esta noche, a la misma hora que las otras semanas (22:20 hora española aproximadamente) vamos a estar Rolo y yo en twitch stremeando un King of the hill de TryHackMe y luego nos pondremos con alguna máquina. De nuevo, podéis vernos desde multistream, pudiendo ver ambos directos a la vez y comentando también en ambos seleccionándolo desde la pestaña debajo del chat o podéis vernos en sólo uno de los canales. Os dejo los enlaces:
Multistream: https://multistre.am/danielmarzo/whateversec/layout3/
Canal de Rolo: https://www.twitch.tv/whateversec
Mi canal: https://www.twitch.tv/danielmarzo
Nueva entrada ❗
Hoy os enseño a resolver la máquina que subí como CTF hace algo más de un mes. Espero que os guste mucho y aprendáis algo nuevo. ¡Ya no se admiten las flags!
📎 https://whoissecure.blogspot.com/2020/04/walkthrough-del-primer-ctf-del-blog.html
Nueva entrada ❗
Hoy traigo otro CVE en una librería anti-SSRF, esta vez en Golang ¡Espero que os guste!
📎 https://www.whoissecure.xyz/2023/04/cve-2023-24623.html
Nueva entrada ❗
Para cerrar el año os traigo una extensión para Burp Suite que he publicado y que sirve para generar wordlists basados en tu historial. Espero que os guste la entrada y que os sea útil la extensión :)
📎 https://www.whoissecure.xyz/2022/12/burp-wordlist-generator-primera-extension-burp.html
📢📢📢 Anunciamos de forma oficial que el próximo 29 de Octubre de celebraran las jornadas BitUp Alicante 2022 en formato presenciales! 🎊🎊🎊
✅ Se realizaran en el Auditorio del Edificio Puerta Ferrisa ( C/ Jorge Juan 21, Alicante ). 🏬⛪️
✅ Iremos dando novedades! Por ahora abrimos Call4Papers, para quien quiera mostrar sus proyectos, ideas, charlas interesante... 👀👀
Las temáticas dentro del ámbito de la seguridad informática son libres (Web, Móviles, PWN, radio, OSINT,... ) son totalmente abiertas, nos gusta aprender de todos los perfiles. Os esperamos! 😁
➡️➡️ https://forms.gle/Jx4kUNTPbmicohmQ6
Nueva entrada ❗️
¡Buenas! He escrito la solución al segundo reto de Damn Vulnerable DeFi, Naive receiver, para seguir con la serie de DeFi hacking. Espero que os guste.
📎 https://whoissecure.blogspot.com/2022/03/defi-hacking-2-naive-receiver-dvdf.html
Nueva entrada ❗️
¡Buenas! Después de tanto tiempo os traigo una nueva entrada. En esta ocasión se trata de la resolución de Raz0rBlack, una máquina de directorio activo de TryHackMe. Espero que os guste.
📎 https://whoissecure.blogspot.com/2022/01/tryhackme-raz0rblack.html
Nueva entrada ❗️
Hoy os traigo después de mucho tiempo desde la última entrada, una publicación en la que hacemos un pentest a un directorio activo. Espero que os guste mucho.
📎 https://whoissecure.blogspot.com/2021/06/tryhackme-enterprise.html
Nueva entrada ❗️
Después de tanto tiempo os traigo una entrada resolviendo los retos del apartado web del moonCTF de flagHunters, equipo de HackMadrid.
📎 https://whoissecure.blogspot.com/2021/04/web-moonctf-2021.html
Dad amor a los primeros vídeos de nmap que ha hecho Roadd y que ya están publicados en Youtube <33
Читать полностью…
Nueva entrada ❗️
Hoy traigo una máquina de TryHackMe llamada Lazy Admin. Vamos a atacar el servidor mediante el CMS SweetRice que tiene expuesto un backup de la base de datos y posteriormente explotaremos un file upload. Después escalaremos privilegios gracias a una mala configuración de permisos en el archivo sudoers y en un script en bash.
📎 https://whoissecure.blogspot.com/2020/11/tryhackme-lazyadmin.html
He vuelto ❗️
Después de varios meses de parón he decidido escribir una entrada para la resolución del reto con el que he participado en el CTF de Bitup Alicante. Se trata de un reto de Stego. Muchas gracias por leerme y un saludo.
📎 https://whoissecure.blogspot.com/2020/10/bitup-2020-bello-o-bestia.html
Los organizadores de BitUp Alicante han anunciado su edición online y con ello han abierto su CFP. Si alguno está interesado en participar, en sus redes sociales está toda la información.
https://twitter.com/bitupalicante/status/1284927949486075905?s=19
Buenos días!
Esta tarde (a las 19:00 aproximadamente y hora española) vamos a estar @RoloSfh , @jomoza y yo en directo juntos haciendo un King of the Hill y resolviendo alguna máquina.
De nuevo os dejamos el enlace para el multistream por si alguien quiere ver los tres a la vez.
📎 https://multistre.am/danielmarzo/jomoza/whateversec/layout7
También podéis verlos individualmente en cada canal.
📎 twitch.tv/danielmarzo
📎 twitch.tv/whateversec
📎 twitch.tv/jomoza
Muchas gracias!
Esta noche, sobre las 22:15 de la noche (hora de España, quedan 11 horas y media más o menos) vamos a estar @RoloSfh y yo haciendo directo en twitch.
Podéis vernos de dos formas, por un lado, podéis ir a https://multistre.am/danielmarzo/whateversec/layout3/ y ver los dos directos a la vez desde multistream. Recordad controlar el volumen de los directos y silenciar uno u otro ya que si estáis escuchando los dos a la vez vais a escuchar doble por la llamada (cuando estemos).
La otra manera es la de siempre, podéis ir al canal de Rolo, en https://www.twitch.tv/whateversec o a mi canal en https://www.twitch.tv/danielmarzo
Esperamos vuestra compañía 😁😁😁
Solución de la primera máquina ❗
Hoy Rolo ha subido un vídeo a su canal de YouTube que he olvidado compartir por aquí resolviendo la máquina que subí hace unas semanas. Dejo el enlace a su vídeo para que lo veáis y empecéis a seguirle.
📎 https://www.youtube.com/watch?v=9OSz_giT7HA