Scylla V.1.0 - Herramienta de auditoria

Scylla es una herramienta para auditar diferentes protocolos y configuraciones de aplicaciones en línea, construido sobre una fuerza bruta actos herramienta core.This en una herramienta para la unificación de técnicas de auditoría, es decir, hace lo oscanner, winfingerprint, Hydra, DirBuster y otras herramientas do, y también lo que esas herramientas no lo hacen.

Read More

BBQSQL - Sql Injection Tool

BBQSQL es un framework de inyección SQL diseñada específicamente para ser hiper rápido, diagnóstico base de datos, fácil de configurar y fácil de modificar. La herramienta es muy eficaz en la explotación de un determinado tipo de fallo de inyección SQL conocida como ciega / inyección SQL semi-ciego. Al realizar las evaluaciones de seguridad de aplicaciones a menudo descubrir vulnerabilidades de SQL que son difíciles de explotar.

BBQSQL ayuda a automatizar el proceso de explotación complicado inyección SQL ciega.

Read More

Anonme.sh

Anonme.sh {script bash} V1.0
Sistemas Operativos Suported: Linux Dependencias: slowloris macchanger decrypter.py descripción de la secuencia de comandos * este script hace que tareas sencillas como los ataques DoS, se cambia la dirección MAC, inyecte XSS en la página web de destino, el archivo carga vulns, MD5 Decrypter, webcrawler (sitios web de escaneo para vulns) y podemos usar wget para descargar archivos de dominio de destino o recuperar toda la página web ...

Read More

Web Security Tool Crawler

Crawler es una herramienta basada en Python para rastrear automáticamente un sitio web. Es un rastreador web orientado a ayudar en las tareas de pruebas de penetración. La tarea principal de esta herramienta es la búsqueda y la lista de todos los enlaces (páginas y archivos) en un sitio web. El rastreador ha sido completamente reescrito en v1.0 traer una gran cantidad de mejoras: mejora de la visualización de datos, la opción interactiva para descargar archivos , aumento de la velocidad de rastreo, la lista de las exportaciones de los archivos encontrados en un archivo separado (útil para rastrear un sitio una vez, a continuación, descargar archivos y

Read More

Xcampo Herramienta XSS

XCAMPO

Descripción
Este sitio web le ayudará a generar diferentes cargas útiles para tus demos XSS. Úsalos responsable en su propio sitio web o en estos donde se le permite hacer.

No espere que el código que funciona en todo el escenario, probablemente tendrá que ajustar la mayoría de las veces ... pero estoy bastante seguro de que sabe cómo hacerlo

Características
En realidad XCampo puede generar las siguientes cargas:

La página web de inicio de sesión falsa
hax0r desfiguración
Redirección Form

Read More

Jsql-injection

jSQL inyección es una aplicación ligera utilizada para encontrar la información de base de datos desde un servidor remoto. 
jSQL es libre, de código abierto y multiplataforma (Windows, Linux, Mac OS X, Solaris).

Versión 0.3 dispone de:

GET, POST, header, métodos de galletas
Algoritmos normales, errores basados, ciegos, basados ​​en el tiempo
Automatic mejor selección del algoritmo
Control de hilo (inicio / pausa / reanudar / detener)
Barras de progresión
Muestra las llamadas URL
Evasión simple

Read More

WebSploit Framework

WebSploit es un proyecto de código abierto para: 
[>] Obras de ingeniería social 
[>] Scan, orugas y Análisis Web 
[>] Explotador automático 
[>] Los ataques de red Soporte 
---- 
[+] Autopwn - usado de Metasploit para Escanear y explotar Target Servicio 
[+] WMAP - Scan, cadenas Target usado de Metasploit WMAP Programas 
[+] Formato infector - inyectar inversa y carga útil se unen en formato de archivo 
[+] phpmyadmin escáner 

Read More

XALP Admin Finder

Bueno lo siguiente es un admin finder para Windows ".exe",

La imagen muestra todo 

Descarga: http://www.mediafire.com/?yxscg21150yr1k7

Read More

PDF Extracción Toolkit

El kit de herramientas de extracción PDF (antes Analyser PDF ) es un framework Java construida sobre la PDFBox biblioteca para llevar a cabo el análisis de documentos de los archivos PDF y la creación de métodos de conversión personalizadas en HTML y otros formatos. Se basa en parte en mi trabajo de doctorado e incluye un algoritmo de segmentación de la página. GraphWrap , un sistema para envolver gráfico o basado en la extracción de datos semi-automática de archivos PDF, también se incluye en el kit de herramientas de extracción PDF. El kit de herramientas principal (incluyendo GraphWrap) se distribuye bajo la licencia Apache, lo que le permite incorporarse libremente al software propietario.
Una interfaz gráfica de usuario también se incluye, construida sobre la XMIllum biblioteca, que permite a los resultados del proceso de análisis de documentos para ser visualizados. Además, se proporciona una visualización gráfica interactiva para observar las estructuras gráficas creadas por el sistema y permitir la creación y el ensayo de envolturas gráfico basado en documentos PDF interactivo. Esta GUI es liberado bajo la licencia GPL. Una captura de pantalla de la

Read More

uniscan v5.3

Les paso a deja la Herramienta uniscan v5.3, escrita en perl

Caracteristicas:

Uniscan . es un simple archivo remoto Incluir, archivo local Incluir y escáner de vulnerabilidades de ejecución remota de comandos Es capaz de identificar seis vulnerabilidades diferentes, que son:

- Incluir archivos remotos (RFI)
- Incluir archivos locales (LFI)
- Ejecución remota de comandos (RCE)
- Cross-Site Scripting (XSS)

Read More

Enema - SQLi y Ataque Web Framework

Características:
Multi-plataforma.
Interfaz gráfica de usuario amigable.
Multiproceso.
Volcar.
Personaliza tus consultas
Crea tus plugins personalizados para automatizar ataques
Apoyado por hoy:
POST, GET, Cabeceras (User-Agent, Cookie, Referer, X-Forwarded-For, Custom Header ...)
MSSQL> = 2000 y MySQL> = 5.0
Métodos de inyección compatibles para hoy:
Error inyección basado.

Read More

Dos Port Groper

Descripción

Groper es una negación de código abierto de la herramienta de servicio escrito en Java. Funciona mediante el uso de proxies como bots. Groper puerto típico de uso: 1. Se puede utilizar para firewalls de referencia para IP prohibición de ataques DoS a un puerto específico. 2. Se puede utilizar para distorsionar la información de seguimiento de sitio web (como Google Analytics). 3. Se puede utilizar para distorsionar la página web hits (o visitas por día). 4. Se puede bajar solo (no agrupado o agrupado mal) servidores. Aunque Puerto Groper puede ser utilizado para ataques de denegación de servicio; tengo absolutamente ninguna responsabilidad

Read More

Sqlifuzze - Línea de comandos SQL Injection Web Scanner

Sqlifuzzer es un escáner de línea de comandos que busca identificar las vulnerabilidades de inyección SQL. Analiza Burp sesión para crear una lista de peticiones fuzzable.

Características:

Carga / pruebas para columnas numéricas, de cadena, y por motivos de error de tiempo de inyección SQL
Soporte para MSSQL, MySQL y Oracle DBMS
Las pruebas automatizadas de los "difíciles" parámetros de consulta de URL como parámetros POST y mulipart forma
Una gama de opciones de evasión de filtros:

Read More

PALADIN - Free suite Forense

Adquisición Forense Vista previa y Análisis - simplificado!

PALADIN es una modificación de la distribución Linux Live basada en Ubuntu que simplifica el proceso de creación de imágenes forenses de manera forense de sonido. PALADIN fue diseñado con el entendimiento de que muchos de los encargados de la creación de imágenes forenses no se siente cómodo con el uso de la línea de comandos, pero todavía quiere utilizar el poder de Linux. PALADIN también fue diseñado con el entendimiento de que muchas agencias o compañías tienen presupuestos limitados.

Read More

Rkhunter Rootkit

Rkhunter es una herramienta que detecta los rootkits, los backdoors y los exploit locales mediante la comparación de los hashes MD5 de ficheros importantes con su firma correcta en una base de datos en línea, buscando los directorios por defecto (de rootkits), los permisos incorrectos, los archivos ocultos, las cadenas sospechosas en los módulos del kernel entre otros...

En Backtrack, viene incorporada esta tool, si desdeas instalarla
en otra distro :

Read More

Hookme - TCP Proxy (manipulación de datos)

En el siguiente post veremos la Herramienta Hookme

Descripción
HookME es un software diseñado para la interceptación de las comunicaciones mediante la conexión deseada y el proceso de conectar las llamadas a la API para enviar y recibir datos de la red (datos claros incluso SSL). HookMe Proporciona un agradable interfaz gráfica de usuario que le permite cambiar el contenido del paquete en tiempo real, caídas o de enviar el paquete. También cuenta con un plugin de sistema de python para ampliar la funcionalidad HookMe.

Read More

TLSSLED V1.3

Fuente: 

Después de más de un año desde la versión anterior TLSSLed , estamos felices de anunciar TLSSLed v1.3 ! Esta versión es el resultado de muchas pruebas HTTPS (SSL / TLS) durante las implementaciones del mundo real Las pruebas in situ, por lo que está lleno de pequeñas mejoras y controles adicionales para identificar los diferentes comportamientos que hemos encontrado en la naturaleza (ver la lista de cambios dentro de la herramienta / a: "Nuevo en la versión 1.3" sección). En varios de mis " Seguridad Nacional de la identificación electrónica (tarjeta inteligente-based) de aplicaciones web "conversaciones durante el último año he mencionado que una versión TLSSLed próximo iba a ser puesto en libertad ... así que aquí está! Además, la salida de la herramienta se ha modificado para facilitar la lectura y para proporcionar información rápida para cada resultado: - [.] Negativa [], positivo

Read More

RFI.py & LFI.py

Este resumen no está disponible. Haz clic en este enlace para ver la entrada.

Read More

Absinthe Blind Sql Injection

Absinthe es una herramienta mediante la cual podremos 
realizar injecciones sql,

Caracteristicas : 

- Totalmente automático
- Inyecta MSsql, Postgres Sql y Oracle.
- Puedes editar el query.
- Soporta proxy.
- Interfaz GUI

Read More

DomainHostingView

DomainHostingView es una utilidad para Windows que recoge una amplia información acerca de un dominio mediante una serie de consultas WHOIS y DNS, y genera un informe HTML que puede visualizarse en cualquier navegador Web.
incluye la información que se muestra en el informe de DomainHostingView: la empresa de alojamiento o centro de datos que aloja el servidor web, servidor de correo y el servidor de nombres de dominio (DNS) del dominio especificado, la fecha de creación / cambiado / expirar del dominio, el propietario del dominio, el registrador de dominio que registró el dominio, la lista de todos los registros DNS, y mucho más ...

Read More

MaxISploit Herramienta Sql Injection - Adm Finder - Xss

Hola a todos, paseando la internet 
me encontre con esta  Herramienta muy util y compacta.

Su Nombre es MaxISploit, el cual se compone por Herramientas de 
SQL inyeccion, Dork Scanner, Admin Finder & Xss Scan

Algunas Imagenes de la Herramienta a continuacion: 

Read More

FireForce Fuerza Bruta - Complemento Firefox

Fireforce es una extensión de Firefox diseñada para llevar a cabo ataques de fuerza bruta sobre GET y POST formas.

Fireforce puede utilizar diccionarios o generar contraseñas basadas en los tipos de caracteres diferentes. Los ataques pueden realizarse en los campos usando dos fuentes distintas contraseñas.

La web del complemento es la siguiente : https://addons.mozilla.org/es/firefox/addon/fireforce/

Imágenes de la Herramienta: 

Read More

GameOver web pentest learning platform

La distro esta disponible en modo LIVE, como decía antes es un proyecto iniciado con el objetivo de capacitar y educar a los novatos sobre los fundamentos de la seguridad web y educarlos acerca de los ataques web más comunes y ayudarles a entender su funcionamiento. GameOver esta dividido en dos secciones. 

Sección 1 se compone de aplicaciones web diseñadas especialmente para enseñar los fundamentos de la seguridad Web.

Read More

PeePDF en Backtrack 5

Hola a todos, bueno como ya es conocido hoy en dia 
los PDF no son exactamente archivos con informacion e imagenes para nuestra lectura,
ya sabeis a lo que me refiero...
Bueno la siguiente herramienta peepdf nos ayudara en la tarea
de analisis de los archivos PDF

peepdf es una herramienta para explorar los archivos PDF con el fin de averiguar si el archivo puede ser dañino o no.

Las principales funcionalidades de peepdf son los siguientes:

Análisis

Decodificaciones: hexadecimales, octales, nombre objetos

Read More

Wfuzz - Web application bruteforcer

Wfuzz es una herramienta diseñada para la fuerza bruta aplicaciones Web, que puede ser utilizado para la búsqueda de recursos no vinculados (directorios, servlets, scripts, etc), fuerza bruta GET y POST, los parámetros para el control de diferentes tipos de inyecciones (SQL, XSS, LDAP, etc), bruteforce Formularios parámetros (usuario / contraseña), fuzzing, etc

Es muy flexible, he aquí algunas funcionalidades:

• Múltiples puntos de inyección con capacidad de múltiples diccionarios
• La recursividad (Al hacer bruteforce directorio)
• Correos, encabezados y autenticación de los datos brutos forzando
• Salida a HTML
• Salida de color
• Ocultar resultados por código de retorno, el número de palabras, números de línea, expresiones regulares.
• Las cookies fuzzing
• Multi threading

Read More

Webslayer - Web application bruteforcer

WebSlayer es una herramienta diseñada para ataques de fuerza bruta aplicaciones Web, que puede ser utilizado para la búsqueda de recursos no vinculados (directorios, servlets, scripts, archivos, etc), la fuerza bruta parámetros GET y POST, bruteforce Formularios parámetros (usuario / contraseña), fuzzing, etc Las herramientas tiene un generador de carga útil y un analizador de resultados fácil y de gran alcance.

Puede llevar a cabo ataques como:
Predecible localizador de recurso, la recursividad soportado (Discovery)
Ingresar forma de fuerza bruta
Sesión de fuerza bruta
Parámetro fuerza bruta

Read More

Theharvester - Recopilacion de Informacion

El objetivo de este programa es reunir a mensajes de correo electrónico, subdominios, los anfitriones, los nombres de los empleados, puertos abiertos y las banderas de diferentes fuentes públicas como los motores de búsqueda, servidores y bases de datos de la clave PGP ordenador SHODAN.

Esta herramienta está diseñada para ayudar a los probadores de penetración en las primeras etapas de la prueba de penetración con el fin de entender la huella de cliente en Internet. También es útil para cualquier persona que quiere saber lo que un atacante puede ver sobre su organización.

Esta es una reescritura completa de la herramienta con nuevas características como:
Las demoras entre la solicitud

Read More

Metagoofil herramienta Recolección de Metadatos

Metagoofil es una herramienta de recolección de información diseñada para la extracción de metadatos de documentos públicos (pdf, doc, xls, ppt, docx, pptx, xlsx) pertenecientes a una empresa objetivo.

La herramienta realiza una búsqueda en Google para identificar y descargar los documentos en el disco local y luego extraer los metadatos de bibliotecas diferentes, como Hachoir, PdfMiner y otros. Con los resultados se generará un informe con los nombres de usuario, versiones de software y servidores o nombres de máquinas que ayuda a los probadores de penetración en la fase de recopilación de información.

Read More

PuttyHijack

PuttyHijack es una herramienta de POC que inyecta un DLL en el proceso de PuTTY para secuestrar una ya existente, o pronto a ser creado, conexión.

Esto puede ser útil durante las pruebas de penetración cuando una máquina Windows que se ha visto comprometida se utiliza para SSH / Telnet en otros servidores. El DLL inyectado instala algunos ganchos y crea un socket para una
conexión de devolución de llamada que se usa entonces para la entrada / salida de redirección.

No mata la conexión actual, y limpiamente uninject si la toma o el proceso se detiene.

Read More

Xtest

Xtest puede ser utilizado para evaluar la seguridad de la contraseña en entornos cableados ethernet que dependen de 802.1x para proteger los teléfonos IP y la infraestructura de VoIP PC contra accesos sin escrúpulos. XTest está desarrollado en C y disponible gratuitamente para cualquier persona, bajo la licencia GPLv3. 
XTest ¿Por qué?

XTest fue desarrollado con el objetivo específico de mejorar la seguridad de los entornos que utilizan 802.1x para proteger los puntos terminales IP Phone y su infraestructura de apoyo

Read More

Full Path Disclosure (FPD)

Hola a todos, en el siguiente articulo veremos lo que es un FPD "Full Path Disclosure", ¿Qué es?, ¿Para que sirve? y como podemos aprovecharlas de manera correcta.

FPD es una vulnerabilidad que le permite al atacante ver los directorios de webroot, ejemplo: servidor.com/imagenes         -   servidor.com/ftp/resources, esta vulnerabilidad nos permite ver todos los archivos contenidos en esa carpeta /imágenes, veremos todo lo que contiene en dicha carpeta o directorio.

Bueno, la mayoría de personas, toman esto a la ligera, pero en realidad es algo grave, ya que por ejemplo, una web en la cual fuera accesible a web.com/configuraciones  nos dejaría ver todos los archivos de configuración, ya sea conexión a base de datos o datos de la administración de dicho sitio web.

Read More

MultiInjector v0.3

MultiInjector.py, cuenta con las siguientes opciones: 

1) Automatic defacement:
Try to concatenate a string to all user-defined text fields in DB

2) Run OS shell command on DB server:
Run any OS command as if you're running a command console on the DB machine

3) Run SQL query on DB server:
Execute SQL commands of your choice

4) Enable OS shell procedure on DB:
Revive the good old XP_CMDSHELL where it was turned off
(default mode in MSSQL-2005)

Read More

Watcher Herramienta Scan de Seguridad

Watcher es una herramienta de análisis para aplicaciones Web basados ​​en HTTP. Watcher ofrece pen-testers hot-spot detección de vulnerabilidades, cheques desarrolladores rápidos cordura y auditores auditoría de cumplimiento PCI. Se ve por las cuestiones relacionadas con mashups, cargas controladas por el usuario, cookies, comentarios, encabezados HTTP, SSL, Flash, Silverlight, fugas referrer, revelación de información, Unicode, y mucho más.

Características principales:

- Detección pasiva de los problemas de cumplimiento de seguridad, privacidad y PCI en HTTP, HTML, Javascript y CSS

Read More

Fiddler Trafic

Que es Fiddler? 

Fiddler es un proxy web depuración que registra todo el HTTP (S) el tráfico entre su equipo e Internet. El violinista le permite inspeccionar el tráfico, establecer puntos de interrupción, y "violín" con los datos entrantes o salientes. El violinista incluye un potente basada en eventos del subsistema de secuencias de comandos, y se puede ampliar utilizando cualquier lenguaje. NET.

Fiddler es gratuito y se puede depurar el tráfico desde prácticamente cualquier aplicación que soporte un servidor proxy, incluyendo Internet Explorer, Google Chrome, Safari de Apple,

Read More

Pangolin - penetration testing, SQL Injection

Pangolin es una prueba de penetración, Inyección SQL herramienta de prueba de seguridad de base de datos. Encuentra Inyección SQL vulnerabilities.Its objetivo es detectar y tomar informarle de inyección SQL vulnerabilidades en aplicaciones web. Una vez que se detecta una inyección SQL en el host de destino, el usuario puede elegir entre una variedad de opciones para realizar un extenso back-end de gestión de base de datos de huellas dactilares sistema, recuperar usuarios DBMS sesión y base de datos, los usuarios enumerar, los hashes de contraseñas,

Read More

WEPBuster 1,0

Esta herramienta esta hecha en pyton, con la cual podremos 
realizar un cracking en un Red WIfi WEP, El script se ejecuta 
distintos programas incluidos en el aircrack - ng Suite - un conjunto de herramientas para  
redes inalámbricas de auditoría.

WEP Agrietado : 

 -  Mac derivación, filtro de direcciones ( spoofing vía mac ) 
 -  Auto revelar oculta el SSID 

Read More

Joomla Vulnerabilidad Complemento DOCman Paypal

Hola a todos, les paso a dejar una vulnerabilidad
en un complemento de Joomla llamado Docman Paypal, el cual salio
hace poco en 1337day, dicho complemento es de pago por tanto 
me impidio a hacer un tutorial (hasta encontrar algun joomla con ese complemento)
pero si les traigo la Injeccion e Info:

#######################################################
#
#  Joomla Component DOCman PayPal <= (id) SQL injection Vulnerability
#
#######################################################

Read More

PentBox Security Suite

PenTBox es una suite de seguridad, paquetes de seguridad y la estabilidad de las herramientas de prueba orientados a las redes y sistemas. 

Programación en Ruby y orientado a GNU / Linux, aunque es compatible con Windows, MacOS y sistemas en los que cada Rubí trabaja. 

Está libre, licenciado bajo GNU / GPLv3. 

Algunas Caracteristicas de su Ultima version: 

Read More

Netsparker

Netsparker es el único falso positivo sin aplicación web escáner de seguridad. Simplemente apunte a su sitio web y automáticamente descubrir las fallas que podría dejar peligrosamente expuesta.

Tiene un periodo Gratis de 15 dias ya que es de pago, en realidad no se si habrá algun crack para
esta herramienta ya que no soy muy afiliado a Windows, si alguien sabe de algo agradecería lo diera a conocer.

Read More