fucking_stone

wenooo les voy a enseñar como tienen q inyectar una base de datos.La seguridad en las aplicaciones se torna cada vez más compleja, con la presencia de técnicas q van desde la ingeniería social hasta ataqs DoS, pasando por la sencilla inyección de código SQL. No se pueden imaginar la cantidad de aplicaciones q día a día crean los programadores con este fallo crítico.¿En qué consiste la inyección SQL? Es una técnica de hackeo con un funcionamiento bastante simple. Se basa en atacar aplicaciones cuyo formulario de inicio de sesión o cuadros de texto no se encuentran validados completamente o de la manera adecuada.Paso a mostrarles un ejemplo, se necesita q tengan nociones de SQL.Supongamos q tenemos una aplicación construida en PHP y MySQL, pueden instalarlo localmente si tienen WampServer, la cual tiene una página de inicio de sesión: login.php.Ahora bien, login.php tiene dos campos de texto, uno para el usuario y otro para la clave. El del usuario tendrá name user y el de la clave tendrá name pass.Los name son campos q sirven para identificar los inputs y recuperarlos desde la página a la cual es enviada la acción. El formulario sería algo así:upongamos q al iniciar sesión aqui seremos redirigidos a una página de tipo index.php. Aquí es donde suelen haber errores. Comúnmente lo q hacen las aplicaciones aquí es recuperar el código de ésta manera:dijo:$usua = $_POST['user'];$clav = $_POST['pass'];Lo cual no tiene gran relevancia, si estamos usando un método POST en el formulario de login.php, pero lo q ocasiona el problema es el código q le sigue … éste:dijo:$sql="SELECT * FROM usuarios WHERE user = '$usua' AND password='$clav'";Lo q hace esa sentencia es verificar q existe el usuario mediante la devolución de un registro completo (y único en teoría). Por ejemplo, suponiendo q nuestro nombre de usuario sea Pepe y nuestra clave sea pepito123, entonces la cadena sql qdaría de ésta forma:dijo:$sql="SELECT * FROM usuarios WHERE user = 'Pepe' AND password='pepito123'";aca es donde entra la inyección SQL. No nos complicaremos mucho y comenzaremos con el clásico usuario vacío q valida todo y omitiremos la validación de clave. ¿Cómo? De la siguiente manera:dijo:Usuario: ' or 1=1 --' Clave: dsadsadas (da igual, escriban lo q sea, luego veremos por qué)Al pasar estos valores por la cadena de validación SQL tendremos lo siguiente:dijo:$sql="SELECT * FROM usuarios WHERE user = '' or 1=1 --'' AND password='dsadsadas'";dijo:En MySQL un — es el inicio de un comentario, por lo q todo lo q se encuentra luego de éste par de caracteres no se ejecutará, por lo q solo nos qdará:$sql="SELECT * FROM usuarios WHERE user = '' or 1=1 ";Obviamente es improbable q se cumpla q exista nuestro usuario de login con nombre vacío (user = ''), sin embargo la segunda condición (1=1) siempre se cumple, por lo q podemos acceder a sistemas con bastante facilidad.Evidentemente se exhiben cambios entre versiones de bases de datos y lenguajes de programación, por eso me tomé el trabajo de referirlos a un material bastante interesante q encontré en la web (enlace al final del post).Esta hoja de referencia para inyección en SQL contiene códigos de guía para bases de dato Oracle, MySQL, SQL Server, PostgreSQL y lenguajes de programación como PHP, ASP, ASP.NET y Java, además de las diferentes combinaciones.Se sorprenderán de la cantidad de aplicaciones q tienen vulnerabilidades q permiten inyección SQL en su formulario de login o inicio de sesión, ustedes no comentan los mismos errores. Yo mismo encontré problemas de este tipo en aplicaciones web de mi facultad como parte de un proyecto para mi curso de Seguridad Informática en la UNI.wenoo q les alla servido.

HistoriaMD5 es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts). Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans Dobbertin descubriese su debilidad.A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisión de hash, plantea una serie de dudas acerca de su uso futuro.CodificaciónLa codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida: MD5("Esto sí es una prueba de MD5" = e99008846853ff3b725c27315e469fbcUn simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el «sí» por un «no». MD5("Esto no es una prueba de MD5" = dd21d99a468f3bb52a136ef5beef5034Otro ejemplo sería la codificación de un campo vacío: MD5("" = d41d8cd98f00b204e9800998ecf8427e Algoritmo Terminologías y notacionesEn este documento "palabra" es una entidad de 32 bytes y un byte es una entidad de 8 bits. Una secuencia de bytes puede ser interpretada de manera natural como una secuencia de bits, donde cada grupo consecutivo de ocho bits se interpreta como un byte con el bit más significativo al principio. Similarmente, una secuencia de bytes puede ser interpretada como una secuencia de 32 bits (palabra), donde cada grupo consecutivo de cuatro bytes se interpreta como una palabra en la que el byte menos significativo está al principio. El símbolo "+" significa suma de palabras. X <<< s se interpreta por un desplazamiento a la izquierda 's' posiciones not(x) se entiende como el complemento de x Descripción del algoritmo md5Empezamos suponiendo que tenemos un mensaje de 'b' bits de entrada, y que nos gustaría encontrar su resumen. Aquí 'b' es un valor arbitrario entero no negativo, pero puede ser cero, no tiene por qué ser múltiplo de ocho, y puede ser muy largo. Imaginemos los bits del mensaje escritos así: m0 m1 ... m{b-1}Los siguientes cinco pasos son efectuados para calcular el resumen del mensaje.Paso 1. Adición de bitsEl mensaje será extendido hasta que su longitud en bits sea congruente con 448, módulo 512. Esto es, si se le resta 448 a la longitud del mensaje tras este paso, se obtiene un múltiplo de 512. Esta extensión se realiza siempre, incluso si la longitud del mensaje es ya congruente con 448, módulo 512.La extensión se realiza como sigue: un solo bit "1" se añade al mensaje, y después se añaden bits "0" hasta que la longitud en bits del mensaje extendido se haga congruente con 448, módulo 512. En todos los mensajes se añade al menos un bit y como máximo 512. Paso 2. Longitud del mensajeUn entero de 64 bits que represente la longitud 'b' del mensaje (longitud antes de añadir los bits) se concatena al resultado del paso anterior. En el supuesto no deseado de que 'b' sea mayor que 2^64, entonces sólo los 64 bits de menor peso de 'b' se usarán.En este punto el mensaje resultante (después de rellenar con los bits y con 'b') se tiene una longitud que es un múltiplo exacto de 512 bits. A su vez, la longitud del mensaje es múltiplo de 16 palabras (32 bits por palabra). Con M[0 ... N-1] denotaremos las palabras del mensaje resultante, donde N es múltiplo de 16. Paso 3. Inicializar el búfer MDUn búfer de cuatro palabras (A, B, C, D) se usa para calcular el resumen del mensaje. Aquí cada una de las letras A, B, C, D representa un registro de 32 bits. Estos registros se inicializan con los siguientes valores hexadecimales, los bits de menor peso primero: palabra A: 01 23 45 67 palabra B: 89 ab cd ef palabra C: fe dc ba 98 palabra D: 76 54 32 10Paso 4. Procesado del mensaje en bloques de 16 palabrasPrimero definimos cuatro funciones auxiliares que toman como entrada tres palabras de 32 bits y su salida es una palabra de 32 bits. F(X,Y,Z) = (Xwedge{Y}) vee (neg{X} wedge{Z}) G(X,Y,Z) = (Xwedge{Z}) vee (Y wedge neg{Z}) H(X,Y,Z) = X oplus Y oplus Z I(X,Y,Z) = Y oplus (X vee neg{Z})Los operadores oplus, wedge, vee, neg son las funciones XOR, AND, OR y NOT respectivamente.En cada posición de cada bit X actúa como un condicional: si X, entonces Z sino 8. La función Z podría haber sido definida usando + en lugar de v ya que XY y not(x) Z nunca tendrán unos ('1') en la misma posición de bit. Es interesante resaltar que si los bits de X, Y y Z son independientes y no sesgados, cada uno de los bits de F(X,Y,Z) será independiente y no sesgado.Las funciones G, H e I son similares a la función F, ya que actúan "bit a bit en paralelo" para producir sus salidas de los bits de X, Y y Z, en la medida que si cada bit correspondiente de X, Y y Z son independientes y no sesgados, entonces cada bit de G(X,Y,Z), H(X,Y,Z) e I(X,Y,Z) serán independientes y no sesgados. Nótese que la función H es la comparación bit a bit "xor" o función "paridad" de sus entradas.Este paso usa una tabla de 64 elementos T[1 ... 64] construida con la función Seno. Denotaremos por T el elemento i-ésimo de esta tabla, que será igual a la parte entera del valor absoluto del seno de 'i' 4294967296 veces, donde 'i' está en radianes.Código del MD5:dijo: /* Procesar cada bloque de 16 palabras. */para i = 0 hasta N/16-1 hacer /* Copiar el bloque 'i' en X. */ para j = 0 hasta 15 hacer hacer X de M[i*16+j]. fin para /* del bucle 'j' */ /* Guardar A como BB, B como AA, C como CC, y D como DD. */ /* Ronda 1. */ /* [abcd k s i] denotarán la operación a = b + ((a + F(b, c, d) + X + T) <<< s). */ /* Hacer las siguientes 16 operaciones. */ [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] /* Ronda 2. */ /* [abcd k s i] denotarán la operación a = b + ((a + G(b, c, d) + X + T) <<< s). */ /* Hacer las siguientes 9000 operaciones. */ [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] /* Ronda 3. */ /* [abcd k s t] denotarán la operación a = b + ((a + H(b, c, d) + X + T) <<< s). */ /* Hacer las siguientes 16 operaciones. */ [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] /* Ronda 4. */ /* [abcd k s t] denotarán la operación a = b + ((a + I(b, c, d) + X + T) <<< s). */ /* Hacer las siguientes 16 operaciones. */ [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] /* Ahora realizar las siguientes sumas. (Este es el incremento de cada uno de los cuatro registros por el valor que tenían antes de que este bloque fuera inicializado.) */ dijo: A = A + AA B = B + BB C = C + CC D = D + DD fin para /* del bucle en 'i' */Paso 5. SalidaEl resumen del mensaje es la salida producida por A, B, C y D. Esto es, se comienza el byte de menor peso de A y se acaba con el byte de mayor peso de D.SeguridadA pesar de haber sido considerado criptográficamente seguro en un principio, ciertas investigaciones han revelado vulnerabilidades que hacen cuestionable el uso futuro del MD5. En agosto de 2004, Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron el descubrimiento de colisiones de hash para MD5. Su ataque se consumó en una hora de cálculo con un clúster IBM P690.Aunque dicho ataque era analítico, el tamaño del hash (128 bits) es lo suficientemente pequeño como para que resulte vulnerable frente a ataques de «fuerza bruta» tipo «cumpleaños». El proyecto de computación distribuida MD5CRK arrancó en marzo de 2004 con el propósito de demostrar que MD5 es inseguro frente a uno de tales ataques, aunque acabó poco después del aviso de la publicación de la vulnerabilidad del equipo de Wang.Debido al descubrimiento de métodos sencillos para generar colisiones de hash, muchos investigadores recomiendan su sustitución por algoritmos alternativos tales como SHA-1 o RIPEMD-160.AplicacionesLos resúmenes MD5 se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores. Esto protege al usuario contra los 'Caballos de Troya' o 'Troyanos' y virus que algún otro usuario malicioso pudiera incluir en el software. La comprobación de un archivo descargado contra su suma MD5 no detecta solamente los archivos alterados de una manera maliciosa, también reconoce una descarga corrupta o incompleta.Para comprobar la integridad de un archivo descargado de Internet se puede utilizar una herramienta MD5 para comparar la suma MD5 de dicho archivo con un archivo MD5SUM con el resumen MD5 del primer archivo. En los sistemas UNIX, el comando de md5sum es un ejemplo de tal herramienta. Además, también está implementado en el lenguaje de scripting PHP como MD5("" entre otros.En sistemas UNIX y GNU/Linux se utiliza el algoritmo MD5 para calcular el hash de las claves de los usuarios. En el disco se guarda el resultado del MD5 de la clave que se introduce al dar de alta un usuario, y cuando éste quiere entrar en el sistema se compara el hash MD5 de la clave introducida con el hash que hay guardado en el disco duro. Si coinciden, es la misma clave y el usuario será autenticado.El MD5 también se puede usar para comprobar que los correos electrónicos no han sido alterados usando claves públicas y privadas.wenoo, estoy desarrollando un programa para desemcriptarlo, hay varios, pero el mio va a ser mas efectivooo. para hoy a la noche o mañana va a estar terminada la primera vercion.

Kevin Mitnick, también conocido como Cóndor, es un hacker estadounidense bastante célebre. Procesado judicialmente en varias ocasiones (1981, 1983, 1987 y 1995), salió de la cárcel en el año 2002 y fundó su propia empresa de seguridad, Mitnick Security Consulting, además de dedicarse a dar distintas conferencias para concienciar a empresas y usuarios sobre la importancia de la seguridad. Precisamente, hoy ha estado dando una conferencia en la Campus Party de Valencia donde ha compartido su visión sobre la piratería y sus experiencias como antiguo hacker.Kevin Mitnick, que además está promocionando un libro en el que narra sus aventuras (Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker), entró en el mundo del hacking a la edad de 16 años y hoy, a sus 48 años, es un cotizado experto en seguridad que, gracias a su experiencia, intenta crear una cultura alrededor de la seguridad a empresas y usuarios:dijo: Hice cosas que afectaron negativamente a muchas empresas, por ello lo que hago ahora es recorrer el mundo para concienciar a la gente de la importancia de la seguridad y para ayudar a empresas y consumidores. […] La gente no cree que la seguridad en internet es importante hasta que pasa algoLa historia de Mitnick es poco menos que fascinante y, algunos de sus pasajes, tienen cierto paralelismo con la película Juegos de Guerra. A los 16 años, en 1979, fue capaz de acceder al sistema de su colegio con el objeto de husmear. En 1981, junto a dos amigos, se colaron en las oficinas de COSMOS (Computer System for Mainframe Operations) de Pacific Bell y obtuvieron el listado de claves de seguridad, combinaciones de las puertas de acceso de varias sucursales y manuales varios, información que se valoró en 200 mil dólares de la época y que, tras ser delatados por la novia de uno de sus amigos, le costó su primera condena por un tribunal de menores.Desde ese bautismo de fuego, su fulgurante carrera le llevó a colarse en el NORAD en 1982, en el Pentágono en 1983, en DEC y, en 1988 en Digital Corporation (en cuya condena se incluyó la prohibición total de uso del teléfono, alegando que podría tener acceso a cualquier computador, salvo para llamar a su abogado, su esposa, su madre y su abuela, siempre con supervisión directa de un funcionario de la prisión). A partir de ahí fue aumentando el nivel de sus acciones, llegando a obtener un permiso de conducir falso en el Departamento de Vehículos de California (que llegó a ofrecer un millón de dólares a quien lograse capturar a Minick) o lanzar ataques contra Motorola, Apple y Qualcomm.Tras una vida de película, Kevin Mitnick quiere que su experiencia sirva a las empresas para que mejoren sus páginas webs y sus sistemas, para que éstos sean mucho menos vulnerables. Según comentó durante su ponencia, lo más importante es ser conscientes de la seguridad de una manera temprana y no cuando se sufre un ataque:dijo: Es como los que conducen sin seguro del coche, no pasa nada hasta que tienen un accidente y se dan cuenta de lo importante que eraComo antiguo hacker, Mitnick fue preguntado por su opinión sobre Anonymous y sus acciones, a lo que respondió que aunque se trataban de ataques inteligentes, realmente, eran demasiado básicos y lo único especial que tenían era la relevancia de los objetivos. Además, comentó que la metodología que utilizaban era extremadamente sencilla, la misma que él usaba en sus auditorías de seguridad y análisis de vulnerabilidades:dijo: No es ciencia espacial, es una cosa realmente sencillaDurante su charla también tocó el tema de la piratería, un asunto que consideró tan complejo que hasta ahora nadie había podido resolverlo. Desde su punto de vista, todas las medidas que se han llevado a cabo han fracasado y, según comentó, será algo que seguirán pasando al menos en los próximos cinco años. Quizá algún día una persona, una organización o una empresa sea capaz de encontrar una solución, pero no creo que encuentren una solución en los próximos cinco añosEste antiguo hacker, que admitió que su web había sido hackeada, quiso hacer un guiño a los asistentes y les lanzó un consejo:dijo: Lo más importante es que no os pillenDespués de todos los sistemas en los que Mitnick llegó a colarse y leer sobre algunas de sus acciones, lo que ha comentado sobre Anonymous me ha dejado un cierto sabor algo agridulce, pensaba que quizás se identificaría algo más con el colectivo, si bien es cierto que sus conferencias no suelen tener desperdicio alguno.[Actualización] Como retractarse es de sabios, tras publicarse anoche este post, Kevin Mitnick comentó a través de Twitter que sus palabras habían sido sacadas de contexto en la prensa, fuente de las que se tomaron sus declaraciones. Kevin Mitnick no es que esté arrepentido de lo que hizo, de hecho, declaró que en esa época dormía plácidamente por las noches, sino que lo siente por las empresas a las que fastidió y, sobre todo, por su familia que fue la que más sufrió por su estancia en prisión.dijo: Tengo mucha suerte de estar donde estoy, porque ha sido un camino muy difícil para mí y para mi familiaUna pena que no hubiese streaming de su charla y tengamos que ceñirnos a las crónicas porque, según se comenta, realizó un par de demostraciones que dejaron impresionados a los asistentes. En unas declaraciones a RTVE dejó bastante claro su punto de vista de todas las peripecias por las que ha pasado y su estatus actual de consultor en seguridad: Hago craking todos los días, pero ahora con permiso y además me pagan. Garantizo la seguridad de los sistemas para evitar que los hackers puedan introducirse en ellos, y si lo hacen los identifico y así también puedo detectar las vulnerabilidades.Ahora estoy en el otro lado y es lo más justo. Además, supone todo un reto para mi y estoy muy contento. Hago un trabajo de seguridad que no existía cuando comencé como hacker en los años 70. En esa época todo era muy distinto.Algo que utilizó como pie para comentar a los asistentes que si estaban interesados en el campo de la seguridad, desarrollasen su carrera por la vía legal porque, desde su época hasta ahora, las leyes han cambiado mucho:dijo:Desde pequeño me gustaba la magia y entonces las leyes no eran tan restrictivasComo comentaba al final del post, las charlas de Kevin Mitnick siempre son fascinantes, alguien con 25 años de experiencia en materia de seguridad y con unos conocimientos aprendidos de manera autodidacta, siempre tiene interesantes cosas que decir, sobre todo, de un asunto tan crítico como la seguridad de los sistemas.una fotos de elweno es un idolo total yo lo sigo en todo, y aprendo de el, ah crear programas de hackeo y todo eso por este chabon ree loco, q hackea sistemas de seguridad como yo.

hay cerveza quilmesHay cerveza brahmaHay cerveza BieckertHay cerveza AndesHay cerveza BudweiserHay cerveza WarsteinerHay cerveza HeinekenHay cerveza IsenbeckHay cerveza SchneiderHay cerveza alceimerPero no hay ninguna, como la Rolling Stones.

bienvenidos al postpor q se puede ganarporque amamos a nuestro paisestamos con ustedesvamos vegeta

wenas gente, les dejo los parecidos que recopile luego de arduas horas de trabajo.Y ya que estan me dicen, no seran hermanos estos, xD?? hay va, disfrutenloNNNNNNNNNN!!link: http://www.youtube.com/watch?v=OvNt3l8lYqIlink: http://www.youtube.com/watch?v=UoxUjdtMgqUlink: http://www.youtube.com/watch?v=s8AGzb7uNEQlink: http://www.youtube.com/watch?v=8Qpa4cuCWwI link: http://www.youtube.com/watch?v=Eu1OOiFXlVU link: http://www.youtube.com/watch?v=YGv--IqlznElink: http://www.youtube.com/watch?v=iBgzHJKnACs