Defacing desde 0 por Dokuz


Bueno espesemos este Tutorial es solo para la gente que esta interesada en aprender realmente defacing.

Bueno empecemos por los lenguajes de programación para sitios de Internet los más usados.


Html:

Es un lenguaje de programación muy básico y fácil de utilizar se pueden usar editores como el Dreamweaver entre otros.
Es preferiblemente de que lo aprendan muy bien ya que es fácil pero por ser fácil no hay que restarle valor ya que muchas páginas lo usan.
Una linda web para aprende html [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

JavaScript:

Esto se usa cuando estamos programando una pagina web en html y
Debemos hacer algún efecto especial como imágenes en movimiento, sonidos, alertas, etc. Lo pongo por separado de html pero se mescla con html, sin JavaScript nuestras paginas Web serán más sencillas a la vista.
Lo recomiendo que aprendan por lo menos lo básico de este lenguaje es muy bueno y muy útil de hecho hay muchas páginas web donde hay desafíos de "hack" y se usa javascript para pasarse algún reto fácil.
Les dejo un web donde pueden aprender javascript [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

PHP:

Este lenguaje es maravilloso fantástico lo que se puede hacer paginas muy dinámicas y de gran calidad, este lenguaje es usado en muchisimas webs como los foros.
Pero este lenguaje no es tan fácil como aprender html pero es muy conveniente que lo aprendan y a medida que se va avanzando con el defacing se va haciendo cada vez más necesario de aprenderlo.
Les dejo un web donde pueden aprender php [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

SQL:

Esto es lo que nos va a permitir realmente conectar a la base de datos y se usa en conjunto con php pero todo esto tiene un “contra” muy grande primero que no es tan fácil de aprender como los antes mencionados, segundo si programas mal podemos dejar muchos agujeros en la seguridad permitiendo a un atacante acceder a la base de datos de la web y haga lo que quiera desde hacer consultas y sacar todos los nombres de usuarios y contraseñas incluyendo el de administrador hasta borrar la base de datos completa dejando inservible la web.
Aquí es donde nosotros nos vamos a concentrar bastante en php y sql por que hay muchas páginas web programadas así y que ya es común que usen base de datos por ejemplo Foros, paginas del gobierno y muchos programadores "malos" que encima le pagan dejan muchos agujeros en la seguridad, nosotros vamos a ser los encargados de encontrarlos y acceder principalmente a la base de datos y de ahí aprender a manejarnos dentro de la base de datos con el fin de obtener la contraseña y el nombre de usuario del administrador del panel de administración de la web, luego a medida que vallan aprendiendo podran hacer mas cosas.
Aquí les dejo una web con manuales para aprender sql [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

Perl:

Perl es un lenguaje por excelencia limpio, organizado, y potente. Por el cual es imprescindible ya que su potencia abarca en lo que respecta a la programación de exploits crear tus propias tools.
Seria espectacular que lo aprendan pero bueno si por lo menos a entender un poco al verlo y poder correr algún exploit, este lenguaje que es muy útil.
Web muy buena para aprender perl [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

Asp:

Active Server Pages (ASP) es una tecnología del lado servidor de Microsoft para páginas Web generadas dinámicamente.
Bueno es eso asp no tengo mucho para decir en este lenguaje no estaría de mas que lo aprendieran tan bien trabaja con MySQL y todo lo que trabaja con base de datos contiene contraseñas y nombre de usuarios algunas paginas cuentan con panel de administración y bueno si esta mal programado podemos llegar a acceder a la base de datos y hacer lo que queramos.
Manual para aprender asp [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

Bueno hasta aquí tenemos los que son los principales lenguajes de programación y que quiero que aprendan fue desde el mas básico lo que es html y javascript luego me fui a lo principal php y sql luego perl que es muy importante a la hora de codear nuestros exploits y por ultimo asp que bueno se los dejo pero no como obligatorio para no atariarlos y que sigan o se asusten. xD


************************************************** *************
************************************************** *************


Bueno ahora seguimos con lo que es el servidor web alguna vez se preguntaron como andan y como pueden interpretar estos lenguajes de programación sin problema, pesaban que eran computadoras súper o muy especiales xD
Bueno no lo son una computadora normal con un procesador bueno y memoria suficiente lo puede ser un servidor perfectamente y viendo el avance que hay de tecnología creo que cualquier PC que tengamos nos sirve.


Primero tenemos el Apache

¿Que es Apache?

[Dear Guest/Member you can't see link before replyclick here to register]

Ahí esta toda la descripción de lo que es para que sirve y como podemos aprovechar las vulnerabilidades esta echo por mi.


Ahora se preguntaran como soporta el lenguaje php y los demás bueno se instala un software llamado php así de simple hay diferentes versiones y siempre es conveniente mantenerlo lo más actualizado posible así se ahorran de los posibles ataques a su servidor por mas que no tengan vulnerabilidades en su web una mala configuración por parte del servidor y echamos todo a perder eso es lo que quiero que mas o menos entiendan y no los voy a enredar demasiado con esto ya que es un poco más avanzado espero que a esta partecita la entiendan mas o menos que gracias a eso nosotros podemos llegar a hacer un deface a la pagina web sin que halla vulnerabilidades en el foro, web, lo que sea si no que ya es culpa del servidor.


Después la MySQL también se instala un software que nos permite alojar una o más base de datos en nuestro servidor también es recomendable que se tenga la última versión y que por parte de ustedes les hagan un buen mantenimiento.


Bueno como es medio pesado instalar todo esto por separado hay programitas que traen un tipo combo con todas las utilidades para levantar su servidor con un par de configuraciones y no es tanto lió uno seria por ejemplo: Xampp siempre es recomendable que se bajen la última versión disponible ya que actualizan el apache el php y la mysql y los demás componentes por los más actualizados que halla una vez descargado lo instalamos
Configuramos una cositas muy simple y listo, para actualizar los componentes ustedes se tendrán que bajar supongamos el apache por separado y actualizarlo o bien esperar a la nueva versión del programita xampp, yo prefiero actualizar por separado las cosas ni bien sale la nueva versión de apache o los otros componentes vitales para un buen funcionamiento.
Mi punto de todo esto es que hay muchos webmaster que no los actualizan debidamente cuando apenas salen las nuevas versiones y se ven afectados muchas veces a ataques y también esta incluidas las paginas del gobierno hay muchas con pésimo mantenimiento por parte del servidor y así hace que una persona con un poco de conocimientos pueda efectuar un ataque hacia el servidor con muchas probabilidades de tener éxito y por ende tomar el control del mismo.

Bueno creo que ahí más o menos quedo explicado mi intención no fue que se confundan demasiado, si es necesario leanlo más de una vez y si no entienden digan que parte y se las volveré a explicar con mucho gusto.

************************************************** *************
************************************************** *************

Bueno creo que lo principal ya quedo explicado ahora si vamos a ver los ataques más comunes que afectan a muchos paginas web.



-SQLInjection:

Esta es para mi una de las más principales primero por su efectividad y la gran cantidad de páginas Web comprometidas a este tipo de ataques.

Definición: [Dear Guest/Member you can't see link before replyclick here to register]
Blind MySQL Injection By ka0x: [Dear Guest/Member you can't see link before replyclick here to register]
Técnicas de inyección en MySQL by ka0x: [Dear Guest/Member you can't see link before replyclick here to register]
Un Tutorial fácil para sus primeros pasos: [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

-LFI (Local File Inclusión):

Hay algunas páginas vulnerables pero hay que darse un poco de maña para esta técnica pero es muy efectiva.

Un Espectacular Tutorial lo malo que esta en ingles pero pueden usar el traductor de google: [Dear Guest/Member you can't see link before replyclick here to register]
Video Tutorial por mí que les será de ayuda: [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

-XSS (Cross Site Cripting):

Vulnerabilidad que muchos webmaster dejan pasar por alto no por eso menos efectiva.

Definición: [Dear Guest/Member you can't see link before replyclick here to register]
Cross Site Scripting [XSS] by sl4xUz: [Dear Guest/Member you can't see link before replyclick here to register]
XSS (Cross Site Scripting) Evasion De Filtros (use el traductor de google): [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************

-RFI (Remote File Include):

Ya no se encuentran paginas vulnerables o por lo menos no hay así a montones ya todas fueron arregladas pero en su tiempo fue un gravísimo problema que afectaba a muchos Web y se podía llegara a tomar el servidor completo gracias a esta vulnerabilidad.

RfI Wikipedia: [Dear Guest/Member you can't see link before replyclick here to register])
Remote File Inclusion – RFI: [Dear Guest/Member you can't see link before replyclick here to register]

************************************************** *************


Bueno ahí les deje las 4 principales vulnerabilidades en el defacing algunas que se usaron y otras se siguen usando como SQLInjection vale la pena aprenderlo correctamente por eso lo puse primero, no por eso le resten valor a las demás que son tan bien muy buenas solo quería destacar esa vulnerabilidad.



*Listo, me podría escribir un libro si lo hago a todo más detallado pero como saben pregunten lo que quieran si no entienden pregunten para eso estoy y si ustedes quieren corregirme háganlo por que es posible de que me halla equivocado yo no se todo solo quiero dar lo poco que se y espero que si el lector me de su opinión, si esta mal que me corrija.

*Muchas gracias al que se tomo el tiempito de leer esto mas halla de que ya lo sepa o no.

Entre el tutorial use por ahi algunas palabras que no son las correctas pero lo hize así para que una persona que entienda poco y nada lo llegue a comprender despues de la primera o varias lecturas.



Tutorial por Dokuz.


Saludos.V_SvPIN