Ir al contenido principal

Ataque DDOS sin botnet ni zombies con UFONET

Este es un pequeño y breve review sobre Ufonet. Una interesante herramienta que permite realizar ataques distribuídos de denegación de servicios (DDOS) sin valerse de máquinas zombies ni botnets.  En su lugar, utiliza múltiples webs vulnerables a Open Redirect para simular una botnet y lograr un ataque distribuído.

Como funciona Ufonet?

La función de Ufonet es realizar ataques distribuídos desde webs vulnerables. Como primer paso, utiliza dorks de google / bing para encontrar webs vulnerables, luego nos permite lanzar el ataque valiéndonos del listado de webs encontradas y realizar el ataque, aunque también incluye la opción de descargar el listado de webs vulnerables provisto por otros usuarios.
Permite además utilizar TOR (opcionalmente) para conectarnos a las webs vulnerables.

Pro y Contras

Como pros, se puede mencionar que se trata de una forma rápida y fácil para realizar un ataque distribuído sin costo de tiempo y principalmente sin necesidad de tener un ejército de zombies.  Como contra, es obvio que un ataque de éstas características nunca es tan efectivo ni masivo como un DDOS convencional y solo podemos atacar servidores web. Sin embargo es una técnica completamente efectiva para tirar abajo una web o para realizar pruebas de stress sobre servidores propios.


Mas información sobre UFONET y FAQ de uso
https://ufonet.03c8.net/
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Ataque por Fuerza Bruta a Wordpress

En éste pequeño tutorial mostraré como hacer un ataque de fuerza bruta   o bruteforce (es decir, probar muchas combinaciónes de usuario/clave por segundo) para obtener acceso en cualquier Wordpress .   No hace falta ser un "hacker" para ésta tarea ya que solo estamos utilizando una herramienta.  Publico éste tutorial con fines didácticos para que otros puedan probar la fortaleza de sus propios sitios y principalmente para concientizar de que nada es seguro en internet, a menos que nosotros lo hagamos seguro. Si bien existen infinidad de herramientas, o incluso hasta podríamos hacerlo manualmente con curl + bashscript,  el software por exclencia es WPScan y lo pueden bajar desde: https://github.com/wpscanteam/wpscan WPScan permite: listar vulnerabilidades, listar plugins, themes, y nombres de usuarios y principalmente realizar ataques de fuerza bruta de una forma sencilla y rápida. Al correr por primera vez WPScan nos pedirá actualizarlo en primer lugar y luego com
Publicar un comentario
Leer más

Como romper una clave encriptada de Wordpress con Hashcat

Aunque en futuras publicaciónes voy a profundizar mas en cracking de claves con Hashcat y John The Ripper (y principalmente claves de todo tipo de sistemas, con diferentes algorítmos y hashes), en ésta ocasión solo me limito a explicar como romper una clave encriptada de Wordpress . Hashcat es la herramienta por excelencia para romper claves, con infinidad de opciónes y principalmente porque aprovecha muchas características avanzadas del procesador (CPU o GPU). Al grano: dependiendo que version de Wordpress o que configuración tenga, la encriptación puede variar, aunque son casos aislados. Mayormente romperíamos una clave fácilmente como se ve a continuación con las opciónes por defecto. hashcat -m 400 -o fichero_de_resultados_obtenidos.txt  ficheros_de_hashes.txt diccionario.txt Como se puede ver especificamos un fichero donde se guardarán los resultados, otro fichero con los hashes (un solo hash o muchos separados por línea) y por último un diccionario de las claves a pr
Publicar un comentario
Leer más

Ataque de Brute Force a Wordpress sin formulario de Login

Existen diversas formas para realizar un bruteforce a Wordpress sin necesidad de utilizar el formulario de login.  Imaginemos que el formulario de login esté deshabilitado o protegido o con captcha,  todavía nos quedan otros recursos. 1) Atacar el wp-admin/admin-ajax.php 2) Atacar el xmlrpc.php De ésta forma es posible saltarse los mecanismos de seguridad como captchas o formularios deshabilitados u otros recursos. A continuación hago una breve revisión de una interesante herramienta que utilicé para dicha tarea.   Esta herramienta se llama WPforce y se puede descargar desde la siguiente dirección: https://github.com/n00py/WPForce Su sintáxis es tan sencilla como hacer lo siguiente: python wpforce.py -i diccionario-de-usuarios.txt -w diccionario-de-claves.txt -u "http://www.victima.com" WPForce permite realizar ataques de fuerza bruta directamente hacia el API de wordpress mediante xmlrpc.php , entre otras cosas también permite subir una shell al serv
Publicar un comentario
Leer más