Pepelux Blog

Hola a todos. He cambiado el blog de sitio y para poder postear teneis que ir a http://blog.pepelux.org

Un saludo

Aprovechando que es fin de año y todo el mundo hace promesas, yo me he propuesto escribir más a menudo en el blog. Se que no lo lee ni dios, salvo la gente que llega directamente al POST del TPlus a preguntar una y otra vez lo mismo (esto es un infierno!!!!) pero escribiré para leerme yo mismo

Bueno, estas Navidades, además de inflarme a turrón de chocolate, he estado programando una pequeña aplicación a la que llamé Squipy. Se trata de un proxy, no para navegar a través de él con varios equipos, sino para analziar el comportamento de algunas páginas y modificar los datos que se mandan.

Algo similar a lo que hace Tamper Data o Paros o muchos otros pero personalizado a mi gusto … si es que soy algo maniático con las cosas, lo se!

El Tamper Data está muy bien para hacer un cambio o dos pero cuando son muchos te vuelves loco ya que hay que modificar cada paquete.

El Paros está también muy bien pero no me permite poner cambios generales y hay que modificar también cada paquete muchas veces.

La idea de hacer este programa surgio por varias deficiencias que vi en el Paros y que, a pesar de que otros programas si que lo tenían, eran algo complicados para lo que realmente necesito. Yo principalmente lo eché en falta en algunos detalles:

• La opción de poder modificar el User-Agent de forma indefinida para entrar en la web móvil de Tuenti y subir fotos (ya que tiene un filtro por User-Agent)
• La opción de convertir de forma automática las peticiones POST a GET o a la inversa, para probar inyecciones SQL por POST realizando los envíos cómodamente mediante GET
• Poder modificar tanto los datos que se mandan al servidor como los que se reciben hacia el navegador
• No tener que contar los bytes que envío en un POST tras una modificación, para ajustar el tamaño del paquete
• No tener un bombardeo de peticiones para filtrar cuando activo el análisis (como ocurre con el Tamper Data) y poder analizar sólo una determinada URL o dentro de una URL sólo ciertos ficheros …

Puedes descargar el manual que espero ir ampliándolo si incluyo nuevas funcionalidades. Es muy breve pero trae varias capturas en las que explica cada opción del programa.

En cuanto termine de testearla la subiré a la web. Si alguien tiene alguna sugerencia que me lo diga.

Tras un par de años con el diseño negro de la web he decidido cambiarla por algo más moderno. De momento sólo está la versión en castellano y pronto pondré la versión en inglés

Espero que os guste: http://www.pepelux.org

He encontrado un link de descarga hacia Megaupload que, según el autor, es de TuentiPlus pero se trata de un virus. La web es: http://cukainas.blogspot.es/tags/tuenti/

Si descargais el programa, aseguraros de bajarlo directamente desde la web http://www.pepelux.org y no desde otra web.

Son numerosos los fallos que se han ido detectando en esta red social (no más de los que se encuentras en cualquier otra web del estilo). Normalmente son fallos de XSS pero esta vez he encontrado en la web de Tuenti la posibilidad de inyectar código SQL.

Este enorme fallo de seguridad permite extraer datos confidenciales de usuarios (nombre, apellidos, mail, tfno, password en MD5, …) de manera que voy a escribir a los técnicos de Tuenti y a esperar que esté todo solucionado antes de publicarlo en el blog.

… Ya he hablado con Ícaro Moyano, por cierto, una persona muy agradable, y han solucionado el problema … paso a comentarlo …

Leer el resto de esta entrada »

He visto esta mañana un post en un foro en el que hablar de hacer un fake de TuentiPlus. Para la gente que usa el programa TuentiPlus que lo descargue únicamente de http://www.pepelux.org y desde ningún otro sitio más!!

Podeis ver el post aquí:

http://foro.el-hacker.com/index.php/topic,182855.0.html

y lo que tratan de hacer básicamente es simular la petición de usuario y contraseña para mardársela luego por mail y robaros la cuenta.

Mucho cuidado!!

Ultimamente nada más que entro en el blog para validar los mensajes de TuentiPlus y la verdad es que llevo siglos sin escribir nada. Bueno, pues al fin me he desocupado (parcialmente) de todos los berengenales donde me he metido este año.

Al fin terminé el primer año de chino (ya me quedan sólo 5!!) y también el curso de centralitas con Asterisk. Ahora toca disfrutar un poco del veranito, aunque con esto de la crisis hay que trabajar más duro … mmmm menos mal que dice ZP que lo más duro ya pasó .. je! eso me gustaría verlo a mí … veremos en unos meses cuando todos los parados dejen de cobrar el subsidio y se queden sin trabajo y sin ingresos ….

En fin, yo de momento, por si el año que viene no tengo trabajo ni dinero, este verano me voy a Japón. A ver si encuentro algún robot baratito que me limpie la casa xDD

你好！

我没说好汉语但是我在语言学校学习中文。我是西班牙人和 我有三十七岁。

我是工程师和我在办公室工作。

再见

He buscado en Google el título de los paper que he escrito y veo que hay gente que los ha traducido a otros idiomas. Los pongo aquí por si le interesa a alguien …

Jugando con los sockets (port scanning):

Español (by Pepelux)

Inglés (by Pepelux)

Portugués (by Th1nk3r)

Chino (by eAnGeL)

Vulnerabilidades web que permiten acceder al sistema:

Español (by Pepelux)

Inglés (by Pepelux)

Coreano (by bOBaNa)

He subido a la web http://www.pepelux.org y pronto estará también en la web de eNYe (http://www.enye-sec.org) un programa que analiza remotamente una web sacando la estructura de ficheros y directorios … vamos, lo que es un spider o web crawler.

Leer el resto de esta entrada »

TuentiPlus es una interfaz para Windows desde la que puedes acceder a tu cuenta de Tuenti, con algunas mejoras. El programa no almacena y envía datos personales a ningún sitio; simplemente hace una validación de acceso en la web de Tuenti y obtiene los datos directamente de allí.

Si tienes instalado TuentiPlus, el mismo programa te avisará cuando haya una nueva versión. Sólo tienes que descargarla e instalarla.

Leer el resto de esta entrada »