SlideShare una empresa de Scribd logo

Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras

Descargar como PPTX, PDF
Daniel Garcia (a.k.a cr0hn)
Daniel Garcia (a.k.a cr0hn)

Python, hacking y sec-tools desde las trincheras Un recorrido por hacking de redes a bajo nivel y protocolos de comunicaciones, con la navaja suiza del bajo nivel: Scapy. Aprenderemos cómo transformar en herramientas de hacking bien construidas lo que hasta ahora resolvías con scripts para "salir de paso" de esa auditoría que se te está resistiendo. Crearemos varias herramientas de hacking desde cero, explicando: - Cómo diseñar y escalar aplicaciones de seguridad, - Construir aplicaciones re-usables, - Usar librerías de terceros en nuestro código, - Generar lineas de comando (CLI) útiles y fáciles de usar, - Exportar los resultados en JSON, xml o Excel, - Crear un sistema de plugins sencillo pero potente

Tecnología
1 de 15
https://cybercamp.es Python, hacking y sec-tools desde las trincheras Daniel García (cr0hn)
<spam>Me</me>  Auditor de seguridad y hacking ético.  Programador Python.  Organizador de “saraos”.  Creador de más de 15 herramientas de seguridad.  Trabajo en Abirtone.  Formación especializada: □ Hacking y seguridad. □ Programación segura. □ Hacking con Python y creación de herramientas de seguridad con Python.  Asesoramiento a empresas.  Auditoría de seguridad en código fuente.  Herramientas de seguridad, monitorización y hacking a medida. 2 https://www.linkedin.com/in/garciagarciadaniel https://twitter.com/ggdaniel
De qué va este taller  Seguridad y hacking en redes usando como base Scapy.  Hacking web con Python.  Creación de varias herramientas de hacking. 3
Materiales del taller Todos los ejemplos y materiales de la charla pueden ser encontrados en: https://github.com/abirtone/cybercamp- 2015 4
Hacking de redes con Scapy 5
Estudio de Scapy  Creación de paquetes.  Envío de información.  Recepción.  PCAP.  Sniffing.  Flooding.  Fuzzing 6 ¡Demo time!
Implementando ataques en Scapy  ARP flood 7 ¡Demo time! DHCP Starvation
Usando Scapy para hacer herramientas Creación de un escáner de puertos mono-hilo y multi-hilo. 8 ¡Demo time!
“Profesionalizando” nuestras herramientas 9
Organización y metodología  OMSTD: http://omstd.readthedocs.org  STB: https://github.com/abirtone/STB  STT: https://github.com/abirtone/STT 10
Transformando nuestras herramientas  Escaneador de puestos re-usable.  Usando nmap desde Python. 11 ¡Demo time!
Un sistema de plugins sencillo  Nos permitirá crear ataques o funcionalidades independientes y llamarlas bajo demanda.  Existen muchas formas de crear un sistema de plugins.  Crearemos un sistema muy sencillo de plugins con los ataques:  MAC flood.  DHCP starvation. 12 ¡Demo time!
Herramientas para la web 13
Un fuzzer web  Descubridor de directorios por fuerza bruta.  Uso de URL del proyecto fuzzdb.  Detección de páginas de error por defecto:  La app será capaz de generar una página de error aleatoria y comparar el contenido de cada URL buscada con la página de error. Si el contenido de ambas tiene un ratio de diferencia de un 60%, se consideran páginas diferentes -> la añadimos a la lista de URL descubiertas. 14 ¡Demo time!
https://cybercamp.es @CyberCampEs#CyberCamp15

Recomendados

Hacking y python: Hacking de redes con Python
Hacking y python: Hacking de redes con PythonHacking y python: Hacking de redes con Python
Hacking y python: Hacking de redes con Python
Daniel Garcia (a.k.a cr0hn)
 
RootedCON 2016 - Broker & MQ injection
RootedCON 2016 - Broker & MQ injectionRootedCON 2016 - Broker & MQ injection
RootedCON 2016 - Broker & MQ injection
Daniel Garcia (a.k.a cr0hn)
 
GoLismero: The Web Knife
GoLismero: The Web KnifeGoLismero: The Web Knife
GoLismero: The Web Knife
Daniel Garcia (a.k.a cr0hn)
 
Tu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridadTu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridad
Daniel Garcia (a.k.a cr0hn)
 
El poder de los reptiles: Hacer herramientas de hacking es fácil
El poder de los reptiles: Hacer herramientas de hacking es fácilEl poder de los reptiles: Hacer herramientas de hacking es fácil
El poder de los reptiles: Hacer herramientas de hacking es fácil
Daniel Garcia (a.k.a cr0hn)
 
Scapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azul
Scapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azulScapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azul
Scapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azul
Daniel Garcia (a.k.a cr0hn)
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
kelly
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 

Recomendados

Hacking y python: Hacking de redes con Python
Hacking y python: Hacking de redes con PythonHacking y python: Hacking de redes con Python
Hacking y python: Hacking de redes con Python
Daniel Garcia (a.k.a cr0hn)
 
RootedCON 2016 - Broker & MQ injection
RootedCON 2016 - Broker & MQ injectionRootedCON 2016 - Broker & MQ injection
RootedCON 2016 - Broker & MQ injection
Daniel Garcia (a.k.a cr0hn)
 
GoLismero: The Web Knife
GoLismero: The Web KnifeGoLismero: The Web Knife
GoLismero: The Web Knife
Daniel Garcia (a.k.a cr0hn)
 
Tu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridadTu DevOp me da trabajo: Soy auditor de seguridad
Tu DevOp me da trabajo: Soy auditor de seguridad
Daniel Garcia (a.k.a cr0hn)
 
El poder de los reptiles: Hacer herramientas de hacking es fácil
El poder de los reptiles: Hacer herramientas de hacking es fácilEl poder de los reptiles: Hacer herramientas de hacking es fácil
El poder de los reptiles: Hacer herramientas de hacking es fácil
Daniel Garcia (a.k.a cr0hn)
 
Scapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azul
Scapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azulScapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azul
Scapy: Crear un Frankenstein de red y hacerlo pasar por el príncipe azul
Daniel Garcia (a.k.a cr0hn)
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
kelly
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México, S.C.
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
Websec México, S.C.
 
Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"
Alonso Caballero
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
Cesar Zarate
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Websec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
Iván López Martín
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
RootedCON
 
Sysdig
SysdigSysdig
Sysdig
Alejandro E Brito Monedero
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Websec México, S.C.
 
Hacking con buscadores
Hacking con buscadoresHacking con buscadores
Hacking con buscadores
Tensor
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6
Daniel Garcia (a.k.a cr0hn)
 
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker imagesRootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
Daniel Garcia (a.k.a cr0hn)
 
Introduccion muy básica a Python
Introduccion muy básica a PythonIntroduccion muy básica a Python
Introduccion muy básica a Python
Daniel Garcia (a.k.a cr0hn)
 
Cybercam 2014
Cybercam 2014Cybercam 2014
Cybercam 2014
Daniel Garcia (a.k.a cr0hn)
 
Identificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IPIdentificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IP
Daniel Garcia (a.k.a cr0hn)
 
Security in NodeJS applications
Security in NodeJS applicationsSecurity in NodeJS applications
Security in NodeJS applications
Daniel Garcia (a.k.a cr0hn)
 
The art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniquesThe art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniques
Daniel Garcia (a.k.a cr0hn)
 
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadorasQué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Daniel Garcia (a.k.a cr0hn)
 

Más contenido relacionado

La actualidad más candente

Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"
Alonso Caballero
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
Iván López Martín
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 

La actualidad más candente (14)

OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
TheEvnt 2016 (Cáceres) - Spock: O por qué deberías utilizarlo para testear tu...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Sysdig
SysdigSysdig
Sysdig
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
 
Hacking con buscadores
Hacking con buscadoresHacking con buscadores
Hacking con buscadores
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 

Destacado

Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadorasQué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Daniel Garcia (a.k.a cr0hn)
 
Docker Online Meetup: Infrakit update and Q&A
Docker Online Meetup: Infrakit update and Q&ADocker Online Meetup: Infrakit update and Q&A
Docker Online Meetup: Infrakit update and Q&A
Docker, Inc.
 
Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...
Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...
Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...
Docker, Inc.
 

Destacado (20)

Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6
 
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker imagesRootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
RootedCON 2017 - Docker might not be your friend. Trojanizing Docker images
 
Introduccion muy básica a Python
Introduccion muy básica a PythonIntroduccion muy básica a Python
Introduccion muy básica a Python
 
Cybercam 2014
Cybercam 2014Cybercam 2014
Cybercam 2014
 
Identificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IPIdentificando y rompiendo servicios de las 4 capas de TCP/IP
Identificando y rompiendo servicios de las 4 capas de TCP/IP
 
Security in NodeJS applications
Security in NodeJS applicationsSecurity in NodeJS applications
Security in NodeJS applications
 
The art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniquesThe art of disguise - Antifingerprinting techniques
The art of disguise - Antifingerprinting techniques
 
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadorasQué es el fingerprinting: Definición, peligros y medidas mitigadoras
Qué es el fingerprinting: Definición, peligros y medidas mitigadoras
 
Extreme security in web servers
Extreme security in web serversExtreme security in web servers
Extreme security in web servers
 
De Cero A Python En 45 Min
De Cero A Python En 45 MinDe Cero A Python En 45 Min
De Cero A Python En 45 Min
 
Talking TUF: Securing Software Distribution
Talking TUF: Securing Software DistributionTalking TUF: Securing Software Distribution
Talking TUF: Securing Software Distribution
 
Unikernels: the rise of the library hypervisor in MirageOS
Unikernels: the rise of the library hypervisor in MirageOSUnikernels: the rise of the library hypervisor in MirageOS
Unikernels: the rise of the library hypervisor in MirageOS
 
'The History of Metrics According to me' by Stephen Day
'The History of Metrics According to me' by Stephen Day'The History of Metrics According to me' by Stephen Day
'The History of Metrics According to me' by Stephen Day
 
Prometheus design and philosophy
Prometheus design and philosophy Prometheus design and philosophy
Prometheus design and philosophy
 
Orchestrating Least Privilege by Diogo Monica
Orchestrating Least Privilege by Diogo Monica Orchestrating Least Privilege by Diogo Monica
Orchestrating Least Privilege by Diogo Monica
 
Infinit: Modern Storage Platform for Container Environments
Infinit: Modern Storage Platform for Container EnvironmentsInfinit: Modern Storage Platform for Container Environments
Infinit: Modern Storage Platform for Container Environments
 
Docker Online Meetup: Infrakit update and Q&A
Docker Online Meetup: Infrakit update and Q&ADocker Online Meetup: Infrakit update and Q&A
Docker Online Meetup: Infrakit update and Q&A
 
Persistent storage tailored for containers
Persistent storage tailored for containersPersistent storage tailored for containers
Persistent storage tailored for containers
 
Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...
Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...
Using Docker Swarm Mode to Deploy Service Without Loss by Dongluo Chen & Nish...
 
Docker Roadshow 2016
Docker Roadshow 2016Docker Roadshow 2016
Docker Roadshow 2016
 

Similar a Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras

C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
kelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
kelly
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
kelly
 
C:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon GoogleC:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon Google
kelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
kelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
kelly
 

Similar a Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras (20)

Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
 
Android reversing 101.pdf
Android reversing 101.pdfAndroid reversing 101.pdf
Android reversing 101.pdf
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 
Troyanizando y Auditando Android - HoneyCON
Troyanizando y Auditando Android - HoneyCONTroyanizando y Auditando Android - HoneyCON
Troyanizando y Auditando Android - HoneyCON
 
Presentacion barcamp
Presentacion barcampPresentacion barcamp
Presentacion barcamp
 
Symfony Parte 2
Symfony Parte 2Symfony Parte 2
Symfony Parte 2
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Operadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleOperadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
 
C:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon GoogleC:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 
Present3
Present3Present3
Present3
 
Herramientas para desarrollar rápidamente
Herramientas para desarrollar rápidamenteHerramientas para desarrollar rápidamente
Herramientas para desarrollar rápidamente
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 

Más de Daniel Garcia (a.k.a cr0hn)

Más de Daniel Garcia (a.k.a cr0hn) (8)

Sonatype DevSecOps Leadership forum 2020
Sonatype DevSecOps Leadership forum 2020Sonatype DevSecOps Leadership forum 2020
Sonatype DevSecOps Leadership forum 2020
 
Rooted con 2020 - from the heaven to hell in the CI - CD
Rooted con 2020 - from the heaven to hell in the CI - CDRooted con 2020 - from the heaven to hell in the CI - CD
Rooted con 2020 - from the heaven to hell in the CI - CD
 
12 tricks to avoid hackers breaks your CI / CD
12 tricks to avoid hackers breaks your CI / CD12 tricks to avoid hackers breaks your CI / CD
12 tricks to avoid hackers breaks your CI / CD
 
Security in AWS Lambdas - NavajaNegra CON 2018
Security in AWS Lambdas - NavajaNegra CON 2018Security in AWS Lambdas - NavajaNegra CON 2018
Security in AWS Lambdas - NavajaNegra CON 2018
 
Rooted 2018 - Crawlino: The next level of crawling systems
Rooted 2018 - Crawlino: The next level of crawling systemsRooted 2018 - Crawlino: The next level of crawling systems
Rooted 2018 - Crawlino: The next level of crawling systems
 
Ingenieria social aplicada: Mucho mas fácil de lo que parece
Ingenieria social aplicada: Mucho mas fácil de lo que pareceIngenieria social aplicada: Mucho mas fácil de lo que parece
Ingenieria social aplicada: Mucho mas fácil de lo que parece
 
Ingeniería social aplicada: Mucho más fácil de lo que parece
Ingeniería social aplicada: Mucho más fácil de lo que pareceIngeniería social aplicada: Mucho más fácil de lo que parece
Ingeniería social aplicada: Mucho más fácil de lo que parece
 
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y WordpressIII Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
III Hack and beers: evadiendo técnicas de fingerprinting en Linux y Wordpress
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Último (14)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Generaciones de las Computadoras..pdf...
Generaciones de las Computadoras..pdf...Generaciones de las Computadoras..pdf...
Generaciones de las Computadoras..pdf...
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 

Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras

  • 1. https://cybercamp.es Python, hacking y sec-tools desde las trincheras Daniel García (cr0hn)
  • 2. <spam>Me</me>  Auditor de seguridad y hacking ético.  Programador Python.  Organizador de “saraos”.  Creador de más de 15 herramientas de seguridad.  Trabajo en Abirtone.  Formación especializada: □ Hacking y seguridad. □ Programación segura. □ Hacking con Python y creación de herramientas de seguridad con Python.  Asesoramiento a empresas.  Auditoría de seguridad en código fuente.  Herramientas de seguridad, monitorización y hacking a medida. 2 https://www.linkedin.com/in/garciagarciadaniel https://twitter.com/ggdaniel
  • 3. De qué va este taller  Seguridad y hacking en redes usando como base Scapy.  Hacking web con Python.  Creación de varias herramientas de hacking. 3
  • 4. Materiales del taller Todos los ejemplos y materiales de la charla pueden ser encontrados en: https://github.com/abirtone/cybercamp- 2015 4
  • 5. Hacking de redes con Scapy 5
  • 6. Estudio de Scapy  Creación de paquetes.  Envío de información.  Recepción.  PCAP.  Sniffing.  Flooding.  Fuzzing 6 ¡Demo time!
  • 7. Implementando ataques en Scapy  ARP flood 7 ¡Demo time! DHCP Starvation
  • 8. Usando Scapy para hacer herramientas Creación de un escáner de puertos mono-hilo y multi-hilo. 8 ¡Demo time!
  • 10. Organización y metodología  OMSTD: http://omstd.readthedocs.org  STB: https://github.com/abirtone/STB  STT: https://github.com/abirtone/STT 10
  • 11. Transformando nuestras herramientas  Escaneador de puestos re-usable.  Usando nmap desde Python. 11 ¡Demo time!
  • 12. Un sistema de plugins sencillo  Nos permitirá crear ataques o funcionalidades independientes y llamarlas bajo demanda.  Existen muchas formas de crear un sistema de plugins.  Crearemos un sistema muy sencillo de plugins con los ataques:  MAC flood.  DHCP starvation. 12 ¡Demo time!
  • 14. Un fuzzer web  Descubridor de directorios por fuerza bruta.  Uso de URL del proyecto fuzzdb.  Detección de páginas de error por defecto:  La app será capaz de generar una página de error aleatoria y comparar el contenido de cada URL buscada con la página de error. Si el contenido de ambas tiene un ratio de diferencia de un 60%, se consideran páginas diferentes -> la añadimos a la lista de URL descubiertas. 14 ¡Demo time!