lunes, septiembre 03, 2007

Pipper. La navaja suiza del campeón

Mandingo ha ganado los dos últimos retos [Ganadores 3er Reto] [Ganadores 4o Reto] y en ambos ha utilizado una herramienta suya pensada para ayudar en las auditorías de aplicaciones web. Todos en este mundo tienen sus juguetitos preferidos y el de Mandingo me encanta, porque es como ver una carrera de Formula 1 solamente mirando la tabla de tiempos sector a sector.

La herramienta se llama Pipper y tiene cosas curiosas que la hacen muy útil. A saber:

- Permite realizar construcción de peticiones URLs a partir de ficheros. Con esta característica se pueden realizar escaneos de fuerza bruta para encontrar rutas y ficheros ocultos o para realizar ataques de fuerza bruta o diccionario a parámetros.

- Construye automáticamente peticiones con combinaciones usando Payloads ya generados o personalizados.

- Realiza análisis de SQL Injection y Blind SQL injection para distintas bases de datos y permite realizar ataques de fuerza bruta o diccionario para descubrir tablas en bases de datos.

- Payloads para descargas de ficheros al estilo del “cucharón”.

- Construye las URLs utilizando valores numéricos, nulls, secuencias de escape…

- Casi cualquier cosa que quieras automatizar con una URL…


Al final, lo fantástico, es que los resultados no son páginas webs, sino datos para un auditor mostrando para cada URL los códigos de error, las palabras en la respuesta, las líneas, los bytes o simplemente descargando los heads. Filtrando estos resultados permite a un ojo acostumbrado descubrir rápidamente los fallos de seguridad. Yo he jugado un rato con ella y ¡mola!


En la página de la descarga de la herramienta tienes ejemplos muy didácticos sobre cómo manejar la herramienta. Espero que siga con ella, y después de haber sacado el cuarto reto añada algún payload más ;).

Puedes descargarla de la siguiente URL: http://www.yoire.com/downloads.php?tag=pipper

Saludos y ánimo con el IV Reto Hacking que aún falta el 5º puesto!

10 comentarios:

Anónimo dijo...

Todo el mundo sabe que la "herramienta" de Mandingo es de las más potentes y de las que más asustan.

El que no sepa de lo que hablo, que se documente aquí

Anónimo dijo...

Ohh Dios mio!!! Pecador!!! Pecadores!!!

Una herramienta para esa cosa mala mala mala que se llama.... LLIINNUUXX!!!

Pero como es posible...
Maligno y Mandingo pecadores, ireis al infierno,no hay penitencia para esto, ¿pero como habeis osado?...

Chema Alonso dijo...

Dios! es verdad! Me perdonará Balmer?

Anónimo dijo...

Mucho me temo que está escrita en perl y que funciona en cuasi-cualquier sistema operativo...

Anónimo dijo...

Pues según la web de la herramienta:

La versión actual necesita de lo siguiente para funcionar correctamente:
- Sistema operativo Unix/Linux.
- Interprete PERL.
- ...

Chema Alonso dijo...

Dios, creo que la comunidad se ha enterado y va a por mi Amenaza

Anónimo dijo...

Jur, jur, muy gracioso el vídeo. Para acabar de hacerlo realista la escena del crimen debería ser un CPD y los tíos de blanco tendrían que estar haciéndole el análisis forense a un servidor web.

Vaya, qué idea para tu próximo evento. Con lo que te mola hacer de drag-queen }:-D

summun dijo...

¿Qué cabrón el tío ese no?
You are the next! xD

Buenísimo, ciao!

Anónimo dijo...

Si, Mandigo dice que Linux, pero a mi en cygwin me va... aunque tampoco la he probado mucho

Que gran serie Dexter, el proximo reto podriamos ser Morgan :D

Chema Alonso dijo...

@El niño santo de Emaús, es cierto, debo tener algún trastorno, jeje. Ya entiendo porqué el día del orgullo gay....mmmm, mejor me callo. ;)

@Mike, jeje ha sido el capuyo de Ander!!

@aramosft, has de reconocer que la sydney tiene "algunas buenas razones" tb. ;)

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares